Veebisait ei ole lihtsalt iseseisev rakendus. See koosneb kaustadest, kataloogidest ja lehtedest, mis sisaldavad juhiseid ja teavet konkreetse ülesande või päringu jaoks. Kui suhtlete veebisaidiga, juhitakse teid läbi mitmete kataloogide. Kuid mitte kõik kataloogid pole teile nähtavad; mõned on avalikkuse eest varjatud. Kuidas häkkerid peidetud kataloogidest teada saavad ja neid ära kasutavad?

Mis on kataloogi lõhkemine?

Kataloogide lõhkumine (tuntud ka kui kataloogi toore sundimine) on veebirakenduste tehnoloogia, mida kasutatakse veebisaitidelt võimalike peidetud kataloogide leidmiseks ja tuvastamiseks. Seda tehakse eesmärgiga leida unustatud või turvamata veebikataloogid, et näha, kas need on ekspluateerimise suhtes haavatavad.

Kuidas kataloogide lõhkumine töötab?

Kataloogide lõhkumine toimub automatiseeritud tööriistade ja skriptide kogumi abil, mida nimetatakse sõnaloenditeks. Mõned neist tööriistadest hõlmavad Gobuster, Dirb, FFUF, Dirbuster jne. Kuidas kataloogide lõhkumine töötab?

instagram viewer

Mis on kataloog?

Kataloog on teavet sisaldav kaust või failide kogu. Seda kasutatakse organisatsioonilistel eesmärkidel ja see kasutab hierarhilist süsteemi. Veebirakendused koosnevad paljudest kataloogidest ja alamkataloogidest ning neid kasutatakse omakorda salvestamiseks teave, nagu staatilised HTML-failid, servletid, CSS- ja JavaScript-failid, välised teegid, pildid jne.

Näiteks võib autori MakeUseOfi leht lugeda "www[dot]makeuseof.com/author/author-name/page/2/", kui asute autori profiili teisel lehel. Saidi või juurkataloogi nimi on "www[dot]makeuseof.com". Sellel on alamkataloog, mis salvestab autorite profiilid ja teosed nimega "/autor/". Selles kataloogis on veel üks alamkataloog, mis sisaldab selle konkreetse autori teoseid. Seejärel sisaldab järgmine kataloog leheküljenumbrit, millel viibite.

Sadade katalooginimede käsitsi sisestamine veebisaidile, et otsida võimalikke peidetud katalooge, oleks aeganõudev ja mõttetu ülesanne. Selle asemel kasutavad häkkerid sõnaloendite kõrval tööriistu, et automatiseerida kataloogide lõhkemise rünnakuid. Need automatiseeritud tööriistad on tavaliselt mitme lõimega ja töötavad HTTP- või HTTPS-päringu esitamine iga sõnaloendi failinime kohta. Kui kataloogi nimi on olemas, salvestatakse ja kuvatakse vastuse kood ja nimi.

Kataloogide lõhkemise või jämeda sundimise tööriist on sama hea kui sõnaloend. Sõnaloend, nagu nimigi viitab, on tavaliselt .txt-fail, mis sisaldab tuhandeid võimalikke kataloogide ja failide nimesid, mida kataloogi jõhkra sundimise tööriist kontrollib. Internetis on saadaval tohutul hulgal sõnaloendeid ja paljudele kataloogide lõhkemistööriistadele on kaasas ka sisseehitatud need.

Veebisaidi kataloogide jõhkraks jõuks kasutamiseks vajate veebisaidi URL-i ja sõnaloendit. Mõned kataloogide lõhkumise tööriistad pakuvad selliseid valikuid nagu kiirus, faililaiendid või võimaldavad teil määrata, millisel tasemel katalooge konkreetseid sõnu skannida või peita.

Kuidas kaitsta oma veebisaiti kataloogi purunemise eest

Kataloogide lõhkumine või jõhker sundimine iseenesest ei ole kahjulik, kuna see lihtsalt loetleb peidetud kataloogid, mis teie veebisaidil võivad olla. Just teave, mille häkker võib nendest kataloogidest leida, tekitab teie veebisaidil haavatavusi. Kui salvestate tundlikku teavet (nt lähtekoodi või andmebaase) kataloogidesse ilma õigeid õigusi jõustamata, saavad häkkerid seda ära kasutada.

Ja haavatav võib olla igaüks: isegi Microsofti lähtekood lekkis!

Kõige tavalisem haavatavus, mis võib tekkida kataloogi lõhkemisest, on kataloogi või tee läbimise haavatavus. See haavatavus võimaldab häkkeril pääseda juurde failidele ja kataloogidele, millel neil tavaliselt selleks luba ei peaks olema. Kataloogide läbimise abil saavad häkkerid lugeda ja mõnikord ka ümber kirjutada veebirakenduses olevaid suvalisi faile. Nad teevad seda, suurendades privileege kasutajaõigustelt juurõigustele.

Siin on mõned näpunäited oma veebisaitide kaitsmiseks kataloogide purunemise eest.

  • Jõustada failide ja kataloogide õigused.
  • Kontrollige alati kasutajaid ja kasutaja sisend.
  • Hoidke oma serverid ja nende taga olev infrastruktuur ajakohasena.

Kataloogi jõhker sundimine mitte ainult ei tuvasta teie veebisaidil peidetud katalooge, vaid annab teavet ka teie veebisaidi struktuuri kohta – teavet, mis võib vilunud häkkerile kasulikuks osutuda.

Kataloogide lõhkemine ja eetiline häkkimine

Eetilised häkkerid kasutavad haavatavuste leevendamiseks kataloogide lõhkumise tööriistu enne, kui küberkurjategija need üles leiab. Kataloogide lõhkumine on veebiläbivuse testi loendusfaasis oluline ja võib parandada veebisaidi turvalisust, leides veebiteenusest teavet, mis ei peaks olema avalikkusele juurdepääsetav ja nende eemaldamine.

Mis on läbitungimistest ja kuidas see võrgu turvalisust parandab?

Loe edasi

JagaSäutsJagaMeil

Seotud teemad

  • Turvalisus
  • Internet
  • Interneti-turvalisus
  • Häkkimine

Autori kohta

Chioma Ibeakanma (Avaldatud 22 artiklit)

Chioma on tehniline kirjanik, kes armastab oma kirjutamise kaudu oma lugejatega suhelda. Kui ta midagi ei kirjuta, võib teda leida sõpradega aega veetmas, vabatahtlikuna töötamas või uusi tehnikasuundi proovimas.

Veel Chioma Ibeakanmalt

Liituge meie uudiskirjaga

Liituge meie uudiskirjaga tehniliste näpunäidete, arvustuste, tasuta e-raamatute ja eksklusiivsete pakkumiste saamiseks!

Tellimiseks klõpsake siin