Spletna stran ni samo samostojna aplikacija. Sestavljen je iz map, imenikov in strani, ki vsebujejo navodila in informacije za določeno nalogo ali zahtevo. Ko komunicirate s spletnim mestom, vas vodijo skozi vrsto imenikov. Toda vsi imeniki vam niso vidni; nekateri so skriti javnosti. Kako hekerji spoznajo skrite imenike in jih izkoristijo?

Kaj je razpokanje imenika?

Razpokanje imenikov (znano tudi kot brutalno vsiljenje imenikov) je tehnologija spletnih aplikacij, ki se uporablja za iskanje in prepoznavanje možnih skritih imenikov na spletnih mestih. To se naredi z namenom iskanja pozabljenih ali nezavarovanih spletnih imenikov, da se ugotovi, ali so ranljivi za izkoriščanje.

Kako deluje razpokanje imenikov?

Razpokanje imenikov se izvaja s kombinacijo avtomatiziranih orodij in zbirke skript, imenovanih seznami besed. Nekatera od teh orodij vključujejo Gobuster, Dirb, FFUF, Dirbuster itd. Kako deluje razpokanje imenikov?

Kaj je imenik?

Imenik je mapa ali zbirka datotek, ki vsebujejo informacije. Uporablja se za organizacijske namene in uporablja hierarhični sistem. Spletne aplikacije so sestavljene iz številnih imenikov in podimenikov, ti pa se uporabljajo za shranjevanje informacije, kot so statične datoteke HTML, strežni programi, datoteke CSS in JavaScript, zunanje knjižnice, slike itd.

Na primer, avtorjeva stran MakeUseOf bi lahko glasila »www[pika]makeuseof.com/author/author-name/page/2/«, če bi bili na drugi strani avtorjevega profila. Ime spletnega mesta ali korenskega imenika je "www[dot]makeuseof.com". Ima podimenik, ki shranjuje profile avtorjev in dela z imenom "/author/". Ta imenik ima še en podimenik, ki vsebuje dela tega določenega avtorja. Nato naslednji imenik vsebuje številko strani, na kateri ste.

Ročno vnašanje na stotine imen imenikov na spletno mesto za iskanje možnih skritih imenikov bi bilo zamudno in nekoristno opravilo. Namesto tega hekerji uporabljajo orodja poleg seznamov besed za avtomatizacijo napadov, ki razpočijo imenike. Ta avtomatizirana orodja so običajno večnitna in delujejo izdelava zahteve HTTP ali HTTPS vsakega imena datoteke na seznamu besed. Če ime imenika obstaja, se zapišeta in prikažeta odzivna koda in ime.

Orodje za razpokanje imenikov ali brute forcing je tako dobro kot seznam besed. Besedni seznam, kot že ime pove, je običajno datoteka .txt, ki vsebuje na tisoče možnih imen imenikov in datotek, ki jih je treba pregledati z orodjem za bruteforcing imenikov. Na internetu je na voljo ogromno besednih seznamov, številna orodja za razpokanje imenikov pa imajo tudi vgrajena.

Če želite imenike spletnega mesta z grobo silo, potrebujete URL spletnega mesta in seznam besed. Nekatera orodja za razpokanje imenikov ponujajo možnosti, kot so hitrost, razširitve datotek ali vam omogočajo, da določite, na kateri ravni imenikov želite skenirati ali skriti določene besede.

Kako zaščititi svoje spletno mesto pred pokanjem imenikov

Razpokanje imenikov ali brute force samo po sebi ni škodljivo, saj samo našteje skrite imenike, ki jih morda imate na svojem spletnem mestu. Podatki, ki bi jih heker lahko našel v teh imenikih, ustvarjajo ranljivosti na vašem spletnem mestu. Če shranite občutljive podatke, kot so izvorna koda ali baze podatkov, v imenike, ne da bi uveljavili ustrezna dovoljenja, bi to lahko hekerji izkoristili.

In vsak je lahko ranljiv: celo Izšla je Microsoftova izvorna koda!

Najpogostejša ranljivost, ki bi lahko nastala zaradi razpočenja imenika, je ranljivost pri prehodu imenika ali poti. Ta ranljivost hekerju omogoča dostop do datotek in imenikov, za katere običajno ne bi smeli imeti dovoljenja. S prehodom po imeniku lahko hekerji berejo in včasih ponovno pišejo poljubne datoteke v spletni aplikaciji. To storijo tako, da privilegije povečajo z uporabniških pravic na privilegije root.

Tukaj je nekaj nasvetov za zaščito vaših spletnih mest pred ranljivostmi, ki povzročajo razpoke v imenikih:

  • Uveljavljanje dovoljenj za datoteke in imenike.
  • Vedno preverite uporabnike in uporabniški vnos.
  • Posodabljajte svoje strežnike in infrastrukturo za njimi.

Presejanje imenikov ne samo, da identificira skrite imenike na vašem spletnem mestu, temveč zagotavlja tudi informacije o strukturi vašega spletnega mesta⁠ – informacije, ki bi se lahko izkazale za koristne za izkušenega hekerja.

Razbijanje imenikov in etično vdiranje

Etični hekerji uporabljajo orodja za razbijanje imenikov, da ublažijo ranljivosti, preden jih najde kibernetski kriminalec. Razpokanje imenikov je pomembno v fazi naštevanja pri testu spletne penetracije in lahko izboljša varnost spletne strani z iskanjem informacij o spletni storitvi, ki ne bi smele biti dostopne javnosti in njihovo odstranjevanje.

Kaj je testiranje penetracije in kako izboljša varnost omrežja?

Preberite Naprej

DelitiTweetDelitiE-naslov

Povezane teme

  • Varnost
  • internet
  • Spletna varnost
  • Vdiranje

O avtorju

Chioma Ibeakanma (22 objavljenih člankov)

Chioma je tehnična pisateljica, ki s svojim pisanjem rada komunicira s svojimi bralci. Ko nečesa ne piše, jo lahko najdemo v druženju s prijatelji, prostovoljstvu ali preizkušanju novih tehnoloških trendov.

Več od Chioma Ibeakanma

Naročite se na naše novice

Pridružite se našemu glasilu za tehnične nasvete, ocene, brezplačne e-knjige in ekskluzivne ponudbe!

Kliknite tukaj, da se naročite