En hjemmeside er ikke bare en selvstændig applikation. Den består af mapper, mapper og sider, der indeholder instruktioner og oplysninger til en bestemt opgave eller anmodning. Når du interagerer med et websted, ledes du gennem en række mapper. Men ikke alle mapper er synlige for dig; nogle er skjult for offentligheden. Hvordan får hackere at vide om skjulte mapper og udnytter dem?

Hvad er Directory Bursting?

Directory bursting (også kendt som directory brute forcing) er en webapplikationsteknologi, der bruges til at finde og identificere mulige skjulte mapper på websteder. Dette gøres med det formål at finde glemte eller usikrede webmapper for at se, om de er sårbare over for udnyttelse.

Hvordan fungerer Directory Bursting?

Directory bursting udføres ved hjælp af en kombination af automatiserede værktøjer og en samling af scripts kaldet ordlister. Nogle af disse værktøjer inkluderer Gobuster, Dirb, FFUF, Dirbuster osv. Hvordan fungerer directory bursting?

Hvad er en mappe?

En mappe er en mappe eller samling af filer, der indeholder information. Det bruges til organisatoriske formål og bruger et hierarkisk system. Webapplikationer består af mange mapper og undermapper, og disse bruges igen til at gemme information som statiske HTML-filer, servlets, CSS- og JavaScript-filer, eksterne biblioteker, billeder osv.

instagram viewer

For eksempel kunne MakeUseOf-siden for en forfatter læse "www[dot]makeuseof.com/author/author-name/page/2/", hvis du var på den anden side af forfatterens profil. Navnet på webstedet eller rodmappen er "www[dot]makeuseof.com". Den har en undermappe, der gemmer forfatternes profiler og værker med navnet "/author/". Denne mappe har en anden undermappe, der indeholder den pågældende forfatters værker. Derefter indeholder den næste mappe det sidenummer, du er på.

Manuel indtastning af hundredvis af mappenavne på et websted for at scanne for mulige skjulte mapper ville være en tidskrævende og forgæves opgave. I stedet bruger hackere værktøjer sammen med ordlister til at automatisere angreb med katalogsprængning. Disse automatiserede værktøjer er normalt flertrådede og fungerer efter lave en HTTP- eller HTTPS-anmodning af hvert filnavn i ordlisten. Hvis biblioteksnavnet findes, registreres og vises svarkoden og navnet.

Et mappesprængnings- eller brute-forcing-værktøj er kun så godt som ordlisten. En ordliste, som navnet antyder, er normalt en .txt-fil, der indeholder tusindvis af mulige navne på mapper og filer, der skal scannes af directory brute-forcing-værktøjet. Der er et stort antal ordlister tilgængelige på internettet, og mange directory bursting-værktøjer kommer også med indbyggede.

For at brute force et websteds mapper skal du bruge webstedets URL og en ordliste. Nogle mappe-bursting-værktøjer giver muligheder som hastighed, filtypenavne eller giver dig mulighed for at angive, hvilket niveau af mapper der skal scannes eller skjule specifikke ord.

Sådan beskytter du dit websted mod katalogbrud

Directory bursting eller brute-forcering i sig selv er ikke skadeligt, da det blot opregner de skjulte mapper, du måtte have på dit websted. Det er den information, som en hacker kan finde i disse mapper, der skaber sårbarheder på dit websted. Hvis du gemmer følsomme oplysninger som kildekode eller databaser i mapper uden at håndhæve ordentlige tilladelser, ville hackere være i stand til at udnytte det.

Og enhver kan være sårbar: endda Microsofts kildekode blev lækket!

Den mest almindelige sårbarhed, der kan opstå ved katalogsprængning, er katalog- eller stigennemløbssårbarheden. Denne sårbarhed tillader en hacker at få adgang til filer og mapper, som de normalt ikke burde have tilladelse til at gøre. Med mappegennemgang er hackere i stand til at læse og nogle gange omskrive vilkårlige filer på webapplikationen. De gør dette ved at eskalere privilegier fra brugerrettigheder til root-privilegier.

Her er nogle tips til at beskytte dine websteder mod katalogsprængende sårbarheder:

  • Håndhæv fil- og mappetilladelser.
  • Valider altid brugere og brugerinput.
  • Hold dine servere og infrastrukturen bag dem opdateret.

Directory brute-forcing identificerer ikke kun skjulte mapper på dit websted, men giver også oplysninger om strukturen på dit websted⁠—information, der kan vise sig nyttig for en dygtig hacker.

Directory Bursting og etisk hacking

Etiske hackere bruger directory bursting-værktøjer til at afbøde sårbarheder, før en cyberkriminel finder dem. Directory bursting er vigtigt i opregningsfasen af ​​en webpenetrationstest, og det kan forbedre sikkerhed på et websted ved at finde information på en webtjeneste, der ikke burde være tilgængelig for offentligheden og at fjerne dem.

Hvad er penetrationstest, og hvordan forbedrer det netværkssikkerheden?

Læs Næste

DelTweetDelE-mail

Relaterede emner

  • Sikkerhed
  • Internettet
  • Online sikkerhed
  • Hacking

Om forfatteren

Chioma Ibeakanma (22 artikler udgivet)

Chioma er en teknisk forfatter, der elsker at kommunikere til sine læsere gennem sit forfatterskab. Når hun ikke skriver noget, kan hun blive fundet ved at hænge ud med venner, arbejde frivilligt eller prøve nye teknologiske trends.

Mere fra Chioma Ibeakanma

Abonner på vores nyhedsbrev

Tilmeld dig vores nyhedsbrev for tekniske tips, anmeldelser, gratis e-bøger og eksklusive tilbud!

Klik her for at abonnere