Svetainė nėra tik atskira programa. Jį sudaro aplankai, katalogai ir puslapiai, kuriuose pateikiamos konkrečios užduoties ar užklausos instrukcijos ir informacija. Kai bendraujate su svetaine, esate vedami per daugybę katalogų. Tačiau ne visi katalogai jums matomi; kai kurie yra paslėpti nuo visuomenės. Kaip įsilaužėliai sužino apie paslėptus katalogus ir juos išnaudoja?

Kas yra katalogų sprogdinimas?

Katalogų suskirstymas (taip pat žinomas kaip brute forcing) yra žiniatinklio taikomųjų programų technologija, naudojama norint rasti ir nustatyti galimus paslėptus katalogus svetainėse. Tai daroma siekiant surasti pamirštus ar neapsaugotus interneto katalogus ir išsiaiškinti, ar jie nėra pažeidžiami išnaudojimo.

Kaip veikia katalogų sujungimas?

Katalogų suskirstymas atliekamas naudojant automatinių įrankių ir scenarijų, vadinamų žodžių sąrašais, derinį. Kai kurie iš šių įrankių yra „Gobuster“, „Dirb“, „FFUF“, „Dirbuster“ ir kt. Kaip veikia katalogų sujungimas?

Kas yra katalogas?

Katalogas yra aplankas arba failų rinkinys, kuriame yra informacijos. Jis naudojamas organizaciniais tikslais ir naudoja hierarchinę sistemą. Žiniatinklio programos sudarytos iš daugybės katalogų ir pakatalogių, kurie savo ruožtu naudojami saugojimui informacija, pvz., statiniai HTML failai, servletai, CSS ir JavaScript failai, išorinės bibliotekos, vaizdai ir kt.

instagram viewer

Pavyzdžiui, autoriaus MakeUseOf puslapyje gali būti nurodyta „www[taškas]makeuseof.com/author/author-name/page/2/“, jei esate antrame autoriaus profilio puslapyje. Svetainės arba šakninio katalogo pavadinimas yra „www[dot]makeuseof.com“. Jame yra pakatalogis, kuriame saugomi autorių profiliai ir darbai pavadinimu „/author/“. Šiame kataloge yra kitas pakatalogis, kuriame yra to konkretaus autoriaus darbai. Tada kitame kataloge yra puslapio, kuriame esate, numeris.

Neautomatinis šimtų katalogų pavadinimų įvedimas į svetainę, norint nuskaityti galimus paslėptus katalogus, būtų daug laiko užimanti ir bergždžia užduotis. Vietoj to, įsilaužėliai naudoja įrankius kartu su žodžių sąrašais, kad automatizuotų katalogų sprogdinimo atakas. Šie automatiniai įrankiai paprastai yra daugiasriegiai ir veikia pagal pateikti HTTP arba HTTPS užklausą kiekvieno failo pavadinimo žodžių sąraše. Jei katalogo pavadinimas yra, atsakymo kodas ir pavadinimas įrašomi ir rodomi.

Katalogų sulaužymo arba žiauraus priverstinio įrankio įrankis yra toks pat geras kaip žodžių sąrašas. Žodžių sąrašas, kaip rodo pavadinimas, paprastai yra .txt failas, kuriame yra tūkstančiai galimų katalogų ir failų pavadinimų, kuriuos reikia nuskaityti naudojant katalogų brutalumo įrankį. Internete yra daugybė žodžių sąrašų, o daugelis katalogų sujungimo įrankių taip pat yra su integruotais.

Norėdami brutaliąja jėga priverstinai panaudoti svetainės katalogus, jums reikia svetainės URL ir žodžių sąrašo. Kai kurie katalogų sujungimo įrankiai teikia tokias parinktis kaip greitis, failų plėtiniai arba leidžia nurodyti, kokio lygio katalogus reikia nuskaityti arba slėpti konkrečius žodžius.

Kaip apsaugoti savo svetainę nuo katalogų sprogimo

Pats katalogų suskaidymas ar brutalus privertimas nėra žalingas, nes tik išvardija paslėptus katalogus, kuriuos galite turėti savo svetainėje. Tai informacija, kurią įsilaužėlis gali rasti tuose kataloguose, sukuria pažeidžiamumą jūsų svetainėje. Jei saugosite slaptą informaciją, pvz., šaltinio kodą ar duomenų bazes, kataloguose, neįgyvendindami tinkamų leidimų, įsilaužėliai galės tuo pasinaudoti.

Ir bet kas gali būti pažeidžiamas: net „Microsoft“ šaltinio kodas buvo nutekintas!

Dažniausias pažeidžiamumas, kuris gali atsirasti dėl katalogo sulaužymo, yra katalogo arba kelio perėjimo pažeidžiamumas. Šis pažeidžiamumas leidžia įsilaužėliams pasiekti failus ir katalogus, kuriems jie paprastai neturėtų turėti leidimo tai daryti. Naudodami katalogų peržiūrą, įsilaužėliai gali skaityti ir kartais perrašyti savavališkus failus žiniatinklio programoje. Jie tai daro padidindami privilegijas iš vartotojo teisių į pagrindines teises.

Štai keletas patarimų, kaip apsaugoti savo svetaines nuo katalogų sprogimo spragų:

  • Vykdykite failų ir katalogų teises.
  • Visada patvirtinkite naudotojus ir vartotojo įvestis.
  • Atnaujinkite savo serverius ir už jų esančią infrastruktūrą.

Katalogų brutalus privertimas ne tik identifikuoja paslėptus katalogus jūsų svetainėje, bet ir suteikia informacijos apie jūsų svetainės struktūrą⁠ – informaciją, kuri gali būti naudinga patyrusiam įsilaužėliui.

Katalogų sulaužymas ir etiškas įsilaužimas

Etiški įsilaužėliai naudoja katalogų sulaužymo įrankius, kad sumažintų pažeidžiamumą, kol kibernetinis nusikaltėlis jų neaptinka. Katalogų sujungimas yra svarbus žiniatinklio skverbties testo surašymo etape ir gali pagerinti svetainės saugumas, ieškant informacijos žiniatinklio paslaugoje, kuri neturėtų būti prieinama visuomenei ir juos pašalinant.

Kas yra skverbties tikrinimas ir kaip jis pagerina tinklo saugumą?

Skaitykite toliau

DalintisTviteryjeDalintisEl. paštas

Susijusios temos

  • Saugumas
  • internetas
  • Interneto sauga
  • Įsilaužimas

Apie autorių

Chioma Ibeakanma (Paskelbta 22 straipsniai)

Chioma yra techninė rašytoja, kuri mėgsta bendrauti su savo skaitytojais per savo rašymą. Kai ji ko nors nerašo, ji gali būti su draugais, savanoriaujanti ar išbandanti naujas technologijų tendencijas.

Daugiau iš Chioma Ibeakanma

Prenumeruokite mūsų naujienlaiškį

Prisijunkite prie mūsų naujienlaiškio, kad gautumėte techninių patarimų, apžvalgų, nemokamų el. knygų ir išskirtinių pasiūlymų!

Norėdami užsiprenumeruoti, spustelėkite čia