Веб-сайт — это не просто отдельное приложение. Он состоит из папок, каталогов и страниц, содержащих инструкции и информацию для конкретной задачи или запроса. Когда вы взаимодействуете с веб-сайтом, вы проходите через серию каталогов. Но не все каталоги видны вам; некоторые из них скрыты от общественности. Как хакеры узнают о скрытых каталогах и используют их?

Что такое разрыв каталога?

Взрыв каталога (также известный как подбор каталога) — это технология веб-приложений, используемая для поиска и идентификации возможных скрытых каталогов на веб-сайтах. Это делается с целью поиска забытых или незащищенных веб-каталогов, чтобы увидеть, уязвимы ли они для эксплуатации.

Как работает разрыв каталога?

Разбивка каталогов выполняется с использованием комбинации автоматизированных инструментов и набора сценариев, называемых списками слов. Некоторые из этих инструментов включают Gobuster, Dirb, FFUF, Dirbuster и т. д. Как работает разрыв каталога?

Что такое каталог?

Каталог — это папка или набор файлов, содержащих информацию. Он используется в организационных целях и использует иерархическую систему. Веб-приложения состоят из множества каталогов и подкаталогов, которые, в свою очередь, используются для хранения такая информация, как статические файлы HTML, сервлеты, файлы CSS и JavaScript, внешние библиотеки, изображения и т. д.

instagram viewer

Например, страница MakeUseOf автора может выглядеть как «www[dot]makeuseof.com/author/author-name/page/2/», если вы находитесь на второй странице профиля автора. Имя сайта или корневого каталога — «www[dot]makeuseof.com». В нем есть подкаталог, в котором хранятся профили авторов и работы с именем «/author/». В этом каталоге есть еще один подкаталог, содержащий работы этого конкретного автора. Затем следующий каталог содержит номер страницы, на которой вы находитесь.

Ручной ввод сотен имен каталогов на веб-сайте для сканирования возможных скрытых каталогов был бы трудоемкой и бесполезной задачей. Вместо этого хакеры используют инструменты наряду со списками слов для автоматизации атак на разрыв каталогов. Эти автоматизированные инструменты обычно являются многопоточными и работают выполнение запроса HTTP или HTTPS каждого имени файла в списке слов. Если имя каталога существует, код ответа и имя записываются и отображаются.

Инструмент для разрыва каталога или грубой силы настолько же хорош, как и список слов. Список слов, как следует из названия, обычно представляет собой файл .txt, который содержит тысячи возможных имен каталогов и файлов, которые должны быть просканированы инструментом полного перебора каталогов. В Интернете доступно огромное количество списков слов, и многие инструменты для разрыва каталогов также имеют встроенные списки.

Чтобы перебрать каталоги веб-сайта, вам нужен URL-адрес веб-сайта и список слов. Некоторые инструменты разрыва каталогов предоставляют такие параметры, как скорость, расширения файлов или позволяют указать, какой уровень каталогов сканировать или скрывать определенные слова.

Как защитить свой сайт от взлома каталога

Взрыв каталога или перебор сам по себе не наносит вреда, поскольку он просто перечисляет скрытые каталоги, которые могут быть на вашем веб-сайте. Именно информация, которую хакер может найти в этих каталогах, создает уязвимости на вашем веб-сайте. Если вы храните конфиденциальную информацию, такую ​​как исходный код или базы данных, в каталогах без обеспечения надлежащих разрешений, хакеры смогут воспользоваться этим.

И любой может быть уязвимым: даже Исходный код Microsoft просочился!

Наиболее распространенной уязвимостью, которая может возникнуть из-за разрыва каталога, является уязвимость обхода каталога или пути. Эта уязвимость позволяет хакеру получить доступ к файлам и каталогам, на которые у него обычно не должно быть разрешения. Благодаря обходу каталогов хакеры могут читать, а иногда и перезаписывать произвольные файлы в веб-приложении. Они делают это, повышая привилегии от привилегий пользователя до привилегий root.

Вот несколько советов по защите ваших веб-сайтов от уязвимостей, связанных с разрывом каталога:

  • Применять права доступа к файлам и каталогам.
  • Всегда проверяйте пользователей и пользовательский ввод.
  • Держите свои серверы и инфраструктуру за ними в актуальном состоянии.

Перебор каталогов не только идентифицирует скрытые каталоги на вашем веб-сайте, но также предоставляет информацию о структуре вашего веб-сайта⁠ — информацию, которая может оказаться полезной для опытного хакера.

Взрыв каталога и этичный взлом

Этичные хакеры используют инструменты разрыва каталогов для устранения уязвимостей до того, как их обнаружит киберпреступник. Разрыв каталога важен на этапе перечисления теста на проникновение в Интернет, и он может улучшить безопасность веб-сайта путем поиска информации о веб-службе, которая не должна быть доступна для общественности и удаление их.

Что такое тестирование на проникновение и как оно повышает безопасность сети?

Читать далее

ДелитьсяТвитнутьДелитьсяЭл. адрес

Похожие темы

  • Безопасность
  • Интернет
  • Интернет-безопасность
  • Взлом

Об авторе

Чиома Ибеаканма (опубликовано 22 статьи)

Чиома — технический писатель, которая любит общаться со своими читателями посредством своих текстов. Когда она ничего не пишет, ее можно застать с друзьями, заниматься волонтерской деятельностью или пробовать новые технологические тренды.

Другие работы Чиомы Ибеаканмы

Подпишитесь на нашу рассылку

Подпишитесь на нашу рассылку технических советов, обзоров, бесплатных электронных книг и эксклюзивных предложений!

Нажмите здесь, чтобы подписаться