Webová stránka nie je len samostatná aplikácia. Pozostáva z priečinkov, adresárov a stránok, ktoré obsahujú pokyny a informácie pre konkrétnu úlohu alebo požiadavku. Pri interakcii s webovou stránkou vás prevedie séria adresárov. Ale nie všetky adresáre sú vám viditeľné; niektoré sú pred verejnosťou skryté. Ako sa hackeri dozvedia o skrytých adresároch a ako ich zneužijú?
Čo je prasknutie adresára?
Pretrhnutie adresárov (tiež známe ako brutálne vynútenie adresárov) je technológia webovej aplikácie, ktorá sa používa na nájdenie a identifikáciu možných skrytých adresárov na webových stránkach. Deje sa tak s cieľom nájsť zabudnuté alebo nezabezpečené webové adresáre, aby sa zistilo, či sú zraniteľné voči zneužitiu.
Ako funguje pretrhnutie adresárov?
Prerušovanie adresárov sa vykonáva pomocou kombinácie automatizovaných nástrojov a súboru skriptov nazývaných zoznamy slov. Niektoré z týchto nástrojov zahŕňajú Gobuster, Dirb, FFUF, Dirbuster atď. Ako funguje praskanie adresárov?
Čo je to adresár?
Adresár je priečinok alebo zbierka súborov obsahujúcich informácie. Používa sa na organizačné účely a využíva hierarchický systém. Webové aplikácie sa skladajú z mnohých adresárov a podadresárov a tie zase slúžia na ukladanie informácie, ako sú statické súbory HTML, servlety, súbory CSS a JavaScript, externé knižnice, obrázky atď.
Napríklad stránka MakeUseOf autora by mohla znieť „www[bodka]makeuseof.com/author/meno-autora/stranka/2/“, ak ste boli na druhej stránke profilu autora. Názov stránky alebo koreňového adresára je „www[bodka]makeuseof.com“. Má podadresár, v ktorom sú uložené profily autorov a diela s názvom „/autor/“. Tento adresár má ďalší podadresár obsahujúci diela tohto konkrétneho autora. Potom nasledujúci adresár obsahuje číslo stránky, na ktorej sa nachádzate.
Manuálne zadávanie stoviek názvov adresárov na webovú stránku na vyhľadávanie možných skrytých adresárov by bolo časovo náročnou a zbytočnou úlohou. Namiesto toho hackeri používajú nástroje spolu so zoznamami slov na automatizáciu útokov na prasknutie adresárov. Tieto automatizované nástroje sú zvyčajne viacvláknové a fungujú vytvorenie požiadavky HTTP alebo HTTPS každého názvu súboru v zozname slov. Ak názov adresára existuje, zaznamená sa a zobrazí sa kód odpovede a názov.
Nástroj na praskanie adresárov alebo hrubé vynútenie je len taký dobrý ako zoznam slov. Zoznam slov, ako už názov napovedá, je zvyčajne súbor .txt, ktorý obsahuje tisíce možných názvov adresárov a súborov, ktoré majú byť naskenované nástrojom na hrubé vynútenie adresárov. Na internete je k dispozícii obrovské množstvo zoznamov slov a mnoho nástrojov na prepínanie adresárov je dodávaných so vstavanými.
Na hrubú silu adresárov webových stránok potrebujete adresu URL webovej stránky a zoznam slov. Niektoré nástroje na praskanie adresárov poskytujú možnosti ako rýchlosť, prípony súborov alebo vám umožňujú určiť, na akej úrovni adresárov sa majú skenovať alebo skryť konkrétne slová.
Ako chrániť svoj web pred prasknutím adresára
Samotné praskanie adresárov alebo hrubé vynútenie nie je škodlivé, pretože iba vymenúva skryté adresáre, ktoré môžete mať na svojich webových stránkach. Sú to informácie, ktoré môže hacker nájsť v týchto adresároch, ktoré vytvárajú zraniteľné miesta na vašom webe. Ak ukladáte citlivé informácie, ako je zdrojový kód alebo databázy, do adresárov bez vynútenia správnych povolení, hackeri by to mohli zneužiť.
A ktokoľvek môže byť zraniteľný: dokonca Zdrojový kód Microsoftu unikol!
Najbežnejšou zraniteľnosťou, ktorá môže vzniknúť v dôsledku prasknutia adresára, je zraniteľnosť pri prechode adresára alebo cesty. Táto chyba zabezpečenia umožňuje hackerom pristupovať k súborom a adresárom, na ktoré by za normálnych okolností nemali mať povolenie. Pomocou prechodu cez adresár môžu hackeri čítať a niekedy prepisovať ľubovoľné súbory vo webovej aplikácii. Robia to eskaláciou privilégií z používateľských privilégií na privilégiá root.
Tu je niekoľko tipov na ochranu vašich webových stránok pred zraniteľnými miestami spojenými s prasknutím adresára:
- Vynútiť povolenia súborov a adresárov.
- Vždy overujte používateľov a užívateľský vstup.
- Udržujte svoje servery a infraštruktúru za nimi aktuálne.
Hrubé vynútenie adresárov nielen identifikuje skryté adresáre na vašom webe, ale poskytuje aj informácie o štruktúre vášho webu – informácie, ktoré by sa mohli osvedčiť ako užitočné pre skúseného hackera.
Trhanie adresárov a etické hackovanie
Etickí hackeri používajú nástroje na prelomenie adresárov na zmiernenie zraniteľných miest skôr, ako ich nájde kyberzločinec. Pretrhnutie adresárov je dôležité vo fáze enumerácie testu penetrácie webu a môže zlepšiť zabezpečenie webovej stránky nájdením informácií o webovej službe, ktorá by nemala byť prístupná verejnosti a ich odstránením.
Čo je penetračné testovanie a ako zlepšuje bezpečnosť siete?
Prečítajte si ďalej
Súvisiace témy
- Bezpečnosť
- internet
- Online bezpečnosť
- Hackovanie
O autorovi
Chioma je technická spisovateľka, ktorá miluje komunikáciu so svojimi čitateľmi prostredníctvom svojho písania. Keď niečo nepíše, možno ju nájsť, ako sa stretáva s priateľmi, dobrovoľne alebo skúša nové technologické trendy.
prihlásiť sa ku odberu noviniek
Pripojte sa k nášmu bulletinu a získajte technické tipy, recenzie, bezplatné e-knihy a exkluzívne ponuky!
Kliknutím sem sa prihlásite na odber