Web není jen samostatná aplikace. Skládá se ze složek, adresářů a stránek, které obsahují pokyny a informace pro konkrétní úkol nebo požadavek. Když komunikujete s webovou stránkou, jste vedeni řadou adresářů. Ale ne všechny adresáře jsou pro vás viditelné; některé jsou veřejnosti skryty. Jak se hackeři dozvědí o skrytých adresářích a jak je zneužijí?

Co je prasknutí adresáře?

Directory bursting (také známé jako Directory brute forcing) je technologie webových aplikací používaná k nalezení a identifikaci možných skrytých adresářů na webových stránkách. To se provádí s cílem najít zapomenuté nebo nezabezpečené webové adresáře a zjistit, zda jsou zranitelné vůči zneužití.

Jak funguje praskání adresářů?

Shlukování adresářů se provádí pomocí kombinace automatických nástrojů a souboru skriptů nazývaných seznamy slov. Některé z těchto nástrojů zahrnují Gobuster, Dirb, FFUF, Dirbuster atd. Jak funguje praskání adresářů?

Co je to adresář?

Adresář je složka nebo kolekce souborů obsahujících informace. Používá se pro organizační účely a využívá hierarchický systém. Webové aplikace se skládají z mnoha adresářů a podadresářů a ty zase slouží k ukládání informace, jako jsou statické soubory HTML, servlety, soubory CSS a JavaScript, externí knihovny, obrázky atd.

Například stránka MakeUseOf autora může znít „www[tečka]makeuseof.com/author/jméno-autora/stranka/2/“, pokud jste byli na druhé stránce profilu autora. Název webu nebo kořenového adresáře je „www[tečka]makeuseof.com“. Má podadresář, ve kterém jsou uloženy profily a díla autorů s názvem „/author/“. Tento adresář má další podadresář obsahující díla tohoto konkrétního autora. Potom další adresář obsahuje číslo stránky, na které se nacházíte.

Ruční zadávání stovek názvů adresářů na webové stránky za účelem vyhledání možných skrytých adresářů by bylo časově náročným a zbytečným úkolem. Místo toho hackeři používají nástroje spolu se seznamy slov k automatizaci útoků přerušováním adresářů. Tyto automatizované nástroje jsou obvykle vícevláknové a fungují vytvoření požadavku HTTP nebo HTTPS každého názvu souboru v seznamu slov. Pokud název adresáře existuje, zaznamená se a zobrazí se kód odpovědi a název.

Nástroj pro rozbití adresářů nebo hrubé vynucení je jen tak dobrý jako seznam slov. Seznam slov, jak název napovídá, je obvykle soubor .txt, který obsahuje tisíce možných názvů adresářů a souborů, které mají být prohledány nástrojem pro hrubou kontrolu adresářů. Na internetu je k dispozici velké množství seznamů slov a mnoho nástrojů pro rozbití adresářů je dodáváno s vestavěnými.

Chcete-li hrubou silou adresáře webových stránek, potřebujete adresu URL webové stránky a seznam slov. Některé nástroje pro shlukování adresářů poskytují možnosti, jako je rychlost, přípony souborů, nebo vám umožňují určit, jakou úroveň adresářů chcete skenovat nebo skrýt konkrétní slova.

Jak chránit svůj web před prasknutím adresáře

Samotné praskání adresářů nebo hrubé vynucování není škodlivé, protože pouze vyjmenovává skryté adresáře, které můžete mít na svém webu. Jsou to informace, které může hacker najít v těchto adresářích, které vytvářejí zranitelnosti vašeho webu. Pokud ukládáte citlivé informace, jako je zdrojový kód nebo databáze v adresářích, aniž byste si vynutili správná oprávnění, hackeři by toho mohli zneužít.

A kdokoli může být zranitelný: dokonce Zdrojový kód Microsoftu unikl!

Nejběžnější zranitelností, která může vzniknout v důsledku prasknutí adresáře, je zranitelnost při průchodu adresáře nebo cesty. Tato chyba zabezpečení umožňuje hackerům přistupovat k souborům a adresářům, ke kterým by normálně neměli mít oprávnění. Díky procházení adresářů jsou hackeři schopni číst a někdy přepisovat libovolné soubory ve webové aplikaci. Dělají to eskalací oprávnění z oprávnění uživatele na oprávnění root.

Zde je několik tipů, jak chránit vaše webové stránky před zranitelností způsobenou prasknutím adresáře:

  • Vynutit oprávnění k souborům a adresářům.
  • Vždy ověřujte uživatele a uživatelský vstup.
  • Udržujte své servery a infrastrukturu za nimi aktuální.

Hrubé vynucování adresářů nejen identifikuje skryté adresáře na vašem webu, ale také poskytuje informace o struktuře vašeho webu⁠ – informace, které se mohou ukázat jako užitečné pro zkušeného hackera.

Trhání adresářů a etické hackování

Etičtí hackeři používají nástroje pro prolomení adresářů ke zmírnění zranitelnosti dříve, než je najde kyberzločinec. Roztržení adresářů je důležité ve fázi výčtu testu penetrace webu a může zlepšit zabezpečení webové stránky vyhledáním informací o webové službě, která by neměla být přístupná veřejnosti a jejich odstranění.

Co je penetrační testování a jak zlepšuje zabezpečení sítě?

Přečtěte si další

PodíltweetPodílE-mailem

Související témata

  • Bezpečnostní
  • Internet
  • Online bezpečnost
  • Hackování

O autorovi

Chioma Ibeakanma (22 zveřejněných článků)

Chioma je technická spisovatelka, která ráda komunikuje se svými čtenáři prostřednictvím svého psaní. Když něco nepíše, můžete ji najít, jak chodí s přáteli, dobrovolně nebo zkouší nové technologické trendy.

Více od Chioma Ibeakanma

Přihlaste se k odběru našeho newsletteru

Připojte se k našemu zpravodaji a získejte technické tipy, recenze, bezplatné e-knihy a exkluzivní nabídky!

Chcete-li se přihlásit k odběru, klikněte sem