Verkkosivusto ei ole vain itsenäinen sovellus. Se koostuu kansioista, hakemistoista ja sivuista, jotka sisältävät ohjeita ja tietoja tiettyä tehtävää tai pyyntöä varten. Kun olet vuorovaikutuksessa verkkosivuston kanssa, sinut ohjataan sarjan hakemistojen läpi. Mutta kaikki hakemistot eivät näy sinulle; jotkut ovat piilossa yleisöltä. Miten hakkerit saavat tietää piilohakemistoista ja hyödyntävät niitä?

Mikä on hakemistojen purkaminen?

Hakemistojen purkaminen (tunnetaan myös nimellä hakemistojen raa'a pakottaminen) on verkkosovellustekniikka, jota käytetään mahdollisten piilotettujen hakemistojen etsimiseen ja tunnistamiseen verkkosivustoilla. Tämän tarkoituksena on löytää unohdettuja tai suojaamattomia verkkohakemistoja, jotta voidaan nähdä, ovatko ne alttiita hyväksikäytölle.

Miten hakemistopurkaus toimii?

Hakemiston purkaminen suoritetaan käyttämällä automaattisten työkalujen ja sanalistoiksi kutsuttujen komentosarjojen yhdistelmää. Joitakin näistä työkaluista ovat Gobuster, Dirb, FFUF, Dirbuster jne. Miten hakemistopurkaus toimii?

Mikä on hakemisto?

Hakemisto on kansio tai kokoelma tietoja sisältäviä tiedostoja. Sitä käytetään organisaatiotarkoituksiin ja se käyttää hierarkkista järjestelmää. Verkkosovellukset koostuvat monista hakemistoista ja alihakemistoista, ja niitä käytetään puolestaan ​​tallentamiseen tiedot, kuten staattiset HTML-tiedostot, servletit, CSS- ja JavaScript-tiedostot, ulkoiset kirjastot, kuvat jne.

Esimerkiksi kirjoittajan MakeUseOf-sivulla voisi lukea "www[piste]makeuseof.com/author/author-name/page/2/", jos olit kirjoittajan profiilin toisella sivulla. Sivuston tai juurihakemiston nimi on "www[dot]makeuseof.com". Siinä on alihakemisto, joka tallentaa tekijöiden profiilit ja teokset nimeltä "/author/". Tässä hakemistossa on toinen alihakemisto, joka sisältää kyseisen kirjailijan teoksia. Sitten seuraava hakemisto sisältää sivunumeron, jolla olet.

Satojen hakemistonimien kirjoittaminen manuaalisesti verkkosivustolle mahdollisten piilotettujen hakemistojen etsimiseksi olisi aikaa vievää ja turhaa tehtävää. Sen sijaan hakkerit käyttävät työkaluja sanalistojen ohella automatisoidakseen hakemistopurkautumishyökkäyksiä. Nämä automaattiset työkalut ovat yleensä monisäikeisiä ja toimivat HTTP- tai HTTPS-pyynnön tekeminen jokaisesta sanaluettelon tiedostonimestä. Jos hakemiston nimi on olemassa, vastauskoodi ja nimi tallennetaan ja näytetään.

Hakemiston purkaminen tai raa'an pakotuksen työkalu on vain yhtä hyvä kuin sanalista. Sanalista, kuten nimestä voi päätellä, on yleensä .txt-tiedosto, joka sisältää tuhansia mahdollisia hakemistojen ja tiedostojen nimiä, jotka hakemistojen raa'a pakotustyökalu tarkistaa. Internetissä on saatavilla valtava määrä sanalistoja, ja monissa hakemistojen purkamistyökaluissa on myös sisäänrakennetut sanaluettelot.

WWW-sivuston hakemistojen raa'aksi pakottamiseksi tarvitset verkkosivuston URL-osoitteen ja sanaluettelon. Jotkin hakemistojen purkamistyökalut tarjoavat vaihtoehtoja, kuten nopeuden, tiedostopäätteet tai voit määrittää, minkä tason hakemistoja tarkistetaan tai piilotetaan tietyt sanat.

Kuinka suojata verkkosivustoasi hakemistojen murtumiselta

Hakemistojen purkaminen tai raa'a pakottaminen itsessään ei ole haitallista, koska se vain luettelee piilotetut hakemistot, joita sinulla saattaa olla verkkosivustollasi. Tieto, jonka hakkeri saattaa löytää näistä hakemistoista, luo haavoittuvuuksia verkkosivustollesi. Jos tallennat arkaluontoisia tietoja, kuten lähdekoodia tai tietokantoja, hakemistoihin ilman asianmukaisia ​​käyttöoikeuksia, hakkerit voivat hyödyntää sitä.

Ja kuka tahansa voi olla haavoittuvainen: jopa Microsoftin lähdekoodi on vuotanut!

Yleisin haavoittuvuus, joka voi johtua hakemiston purkautumisesta, on hakemiston tai polun läpikulkuhaavoittuvuus. Tämän haavoittuvuuden ansiosta hakkeri voi käyttää tiedostoja ja hakemistoja, joihin heillä ei normaalisti pitäisi olla lupaa. Hakemistojen läpikäynnin avulla hakkerit voivat lukea ja joskus kirjoittaa uudelleen mielivaltaisia ​​tiedostoja verkkosovelluksessa. He tekevät tämän siirtämällä oikeuksia käyttäjäoikeuksista pääkäyttäjän oikeuksiin.

Tässä on joitain vinkkejä verkkosivustosi suojaamiseksi hakemistojen purkautumiselta:

  • Pakota tiedostojen ja hakemistojen käyttöoikeudet.
  • Tarkista aina käyttäjät ja käyttäjän syöte.
  • Pidä palvelimesi ja niiden takana oleva infrastruktuuri ajan tasalla.

Hakemistojen raa'a pakottaminen ei ainoastaan ​​tunnista piilotettuja hakemistoja verkkosivustollasi, vaan tarjoaa myös tietoa verkkosivustosi rakenteesta⁠ – tietoa, joka voi osoittautua hyödylliseksi taitavalle hakkerille.

Hakemistojen purkaminen ja eettinen hakkerointi

Eettiset hakkerit käyttävät hakemistojen purkamistyökaluja vähentääkseen haavoittuvuuksia ennen kuin kyberrikollinen löytää ne. Hakemiston purkaus on tärkeä verkkoläpäisytestin luettelointivaiheessa, ja se voi parantaa verkkosivuston turvallisuutta etsimällä verkkopalvelusta tietoa, jonka ei pitäisi olla yleisön saatavilla ja poistamalla niitä.

Mikä on läpäisytestaus ja kuinka se parantaa verkon turvallisuutta?

Lue Seuraava

JaaTweetJaaSähköposti

Liittyvät aiheet

  • Turvallisuus
  • Internet
  • Verkkoturvallisuus
  • Hakkerointi

Kirjailijasta

Chioma Ibeakanma (22 artikkelia julkaistu)

Chioma on tekninen kirjailija, joka rakastaa kommunikointia lukijoilleen kirjoittamisensa kautta. Kun hän ei kirjoita jotain, hänet voidaan löytää viettävän aikaa ystävien kanssa, tekemässä vapaaehtoistyötä tai kokeilemassa uusia tekniikkatrendejä.

Lisää Chioma Ibeakanmasta

tilaa uutiskirjeemme

Liity uutiskirjeemme saadaksesi teknisiä vinkkejä, arvosteluja, ilmaisia ​​e-kirjoja ja eksklusiivisia tarjouksia!

Klikkaa tästä tilataksesi