Hjem Personlig finansiering Slik oppdager og forhindrer Directory Traversal Hacks - dummies

Slik oppdager og forhindrer Directory Traversal Hacks - dummies

Innholdsfortegnelse:

Video: SCP-4730 Earth, Crucified | keter | extradimensional scp 2024

Video: SCP-4730 Earth, Crucified | keter | extradimensional scp 2024
Anonim

Directory traversal er en virkelig grunnleggende svakhet, men det kan vise seg å være interessant - noen ganger sensitiv - informasjon om et websystem, noe som gjør den utsatt for hack. Dette angrepet innebærer å surfe på et nettsted og lete etter ledetråder om serverens katalogstruktur og sensitive filer som kan ha blitt lastet med vilje eller utilsiktet.

Utfør følgende tester for å finne informasjon om nettstedets katalogstruktur.

Crawlers

Et edderkoppprogram, som den gratis HTTrack-nettstedet Kopimaskin, kan gjennomsøke nettstedet ditt for å se etter all offentligheten som er tilgjengelig. For å bruke HTTrack, bare last det, gi prosjektet ditt et navn, fortell HTTrack hvilke nettsider som skal speil, og etter noen få minutter, muligens timer, har du alt som er offentlig tilgjengelig på nettstedet som er lagret på din lokale stasjon i c: Mine nettsteder.

Kompliserte nettsteder avslører ofte mer informasjon som ikke burde være der, inkludert gamle datafiler og selv applikasjonsskript og kildekoden.

Uansett, når du utfører websikkerhetsvurderinger, er det vanligvis. zip eller. rar filer på webservere. Noen ganger inneholder de søppel, men de holder ofte sensitiv informasjon som ikke burde være tilgjengelig for publikum.

Se på utgangen av ditt gjennomsøkingsprogram for å se hvilke filer som er tilgjengelige. Vanlige HTML- og PDF-filer er sannsynligvis greit fordi de mest sannsynlig er nødvendige for normal webbruk. Men det ville ikke skade for å åpne hver fil for å sikre at den tilhører det og ikke inneholder sensitiv informasjon du ikke vil dele med verden.

Google

Google kan også brukes til katalogtraversal. Faktisk er Googles avanserte spørringer så kraftige at du kan bruke dem til å utrydde sensitiv informasjon, kritiske webserverfiler og kataloger, kredittkortnumre, webkameraer - i utgangspunktet alt som Google har oppdaget på nettstedet ditt - uten å måtte speile nettstedet ditt og sikt gjennom alt manuelt. Den sitter allerede der i Googles cache og venter på å bli vist.

Følgende er et par avanserte Google-spørringer som du kan skrive direkte inn i Googles søkefelt:

  • nettsted: vertsnavn søkeord - Denne søken søker etter hvilket som helst søkeord du lister, for eksempel SSN <, konfidensielt , kredittkort, og så videre. Et eksempel er: nettsted: www. principlelogic. com-høyttaler

    filtype: filtypenavn: vertsnavn

  • - Denne søken søker etter bestemte filtyper på et bestemt nettsted, for eksempel doc, pdf, db, dbf, zip og mer.Disse filtyper kan inneholde sensitiv informasjon. Et eksempel er: filetype: pdf-side: www. principlelogic. com

Andre avanserte Google-operatører inkluderer følgende:

allintitle

  • søker etter nøkkelord i tittelen på en nettside. inurl

  • søker etter nøkkelord i nettadressen til en nettside. relatert

  • finner sider som ligner denne nettsiden. link

  • viser andre nettsteder som lenker til denne nettsiden. En utmerket ressurs for Google hacking er Johnny Longs Google Hacking Database.

Når du siver gjennom nettstedet ditt med Google, må du passe på å finne sensitiv informasjon om serverne, nettverket og organisasjonen i Google Grupper, som er Usenet-arkivet. Hvis du finner noe som ikke trenger å være der, kan du jobbe med Google for å få det redigert eller fjernet. For mer informasjon, se Googles Kontakt oss side.

Tiltak mot katalogoverskridelser

Du kan bruke tre hovedtiltak mot å ha filer som er kompromittert via skadelige katalogoverskridelser:

Ikke lagre gamle, sensitive eller ellers ikke-offentlige filer på din webserver.

  • De eneste filene som skal være i mappen / htdocs eller DocumentRoot er de som trengs for at nettstedet skal fungere skikkelig. Disse filene bør ikke inneholde fortrolige opplysninger som du ikke vil at verden skal se. Konfigurer dine

  • roboter. txt -fil for å forhindre at søkemotorer, for eksempel Google, gjennomsøker de sensitive områdene på nettstedet ditt. Kontroller at webserveren er riktig konfigurert for å tillate offentlig tilgang til bare de katalogene som trengs for at nettstedet skal fungere.

  • Minimumsprivilegier er nøkkelen her, så gi tilgang til bare filene og katalogene som trengs for at webapplikasjonen skal kunne fungere riktig. Se dokumentasjonen til webserveren din for å få instruksjoner om hvordan du kontrollerer allmenn tilgang. Avhengig av webserverversjonen, er disse tilgangskontrollene satt i

    httpd. conf fil og. htaccess-filer for Apache.

    • Internet Information Services Manager for IIS

    • De nyeste versjonene av disse webserverne har som standard god sikkerhetskopiering, så sørg for at du kjører de nyeste versjonene, hvis det er mulig.

Endelig vurdere å bruke en søkemotor honeypot, for eksempel Google Hack Honeypot. En honeypot trekker inn ondsinnede brukere, slik at du kan se hvordan de slemmene jobber mot nettstedet ditt. Deretter kan du bruke kunnskapen du får for å holde dem i sjakk.

Slik oppdager og forhindrer Directory Traversal Hacks - dummies

Redaktørens valg

Redaktørens valg

Slik bruker du Smart Sharpen i Photoshop CS6 - dummies

Slik bruker du Smart Sharpen i Photoshop CS6 - dummies

Sosiale medier

Smart Sharpen gjør en god jobb med å oppdage kanter og skjerpe dem i Photoshop CS6. Dette filteret gir deg mye kontroll over innstillingsinnstillingene. Her er scoop på disse innstillingene: Forhåndsvisning: Åpenbart, hold dette valget valgt slik at du kan ta en gander på hva som skjer når du skjerper. Du vil sette pris på ...

Hvordan du bruker Handlingspanelet i Photoshop CS6 - dummies

Hvordan du bruker Handlingspanelet i Photoshop CS6 - dummies

Sosiale medier

Ikke overraskende, Adobe Photoshop Creative Suite 6 har et panel dedikert til automatisering av ulike oppgaver. Hvis du vil vise handlingspanelet, velger du Vindu → Handlinger, eller klikker Handlinger-ikonet i paneldocken. Du kan vise handlingspanelet i to moduser, knapp og liste. Hver modus er nyttig på sin egen måte. Du kan ...

Slik bruker du BMP-formatet i Photoshop CS6 - dummies

Slik bruker du BMP-formatet i Photoshop CS6 - dummies

Sosiale medier

Adobe Photoshop Creative Suite 6 har mange format alternativer, en er BMP. BMP (Bitmap) er et standard Windows-filformat som vanligvis brukes til å lagre bilder som du vil gjøre en del av datamaskinens ressurser, for eksempel bakgrunnen du ser på Windows-skrivebordet. BMP er også et format som brukes av dataprogrammerere. ...

Redaktørens valg

Identifisere nettverkstypene - dummies

Identifisere nettverkstypene - dummies

Personlig finansiering

Et av områdene nettverk som A + sertifiseringstestene dekker, er nettverksteori / nettverksmaskinvare. Å kunne identifisere typer nettverk er viktig. Et nettverk er en gruppe tilkoblede systemer for å dele data eller enheter. De to hovedtyper av nettverk er peer-to-peer og server-basert (klient-server). Peer-to-peer-nettverk i en peer-to-peer ...

(ISC) 2 frivillige muligheter - dummies

(ISC) 2 frivillige muligheter - dummies

Personlig finansiering

Internasjonalt informasjonssikkerhetssertifiseringskonsortium (ISC) 2 er mye mer enn en sertifiserende organisasjon: Det er en årsak. Det er sikkerhetspersonellens raison d'être, årsaken til at du eksisterer - profesjonelt, uansett. Som en av gruppene, bør du vurdere å kaste vekten din til årsaken. Frivillige har gjort (ISC) 2 hva det er i dag og bidrar til sertifiseringen. ...

Metoder for sikring av overføringer - dummies

Metoder for sikring av overføringer - dummies

Personlig finansiering

For kompTIA A + sertifiseringstester, du må forstå metodene som er tilgjengelige for sikring av overføringer. Etter at du har godkjent brukere og autorisert dem til å få tilgang til visse deler av nettverket, bør du vurdere metoder for å sikre informasjon mens den beveger seg langs nettverkskabelen. De fleste nettverkskommunikasjon sendes langs nettverkskabelen i ...

Redaktørens valg

Trådløs nettverksadministrasjon: Roaming - dummies

Trådløs nettverksadministrasjon: Roaming - dummies

Personlig finansiering

Du kan bruke to eller flere trådløse tilgangspunkter (WAP) for å lage en stor trådløst nettverk der datamaskinen brukere kan streife fra område til område og fortsatt være koblet til det trådløse nettverket. Når brukeren beveger seg utenfor rekkevidden av ett tilgangspunkt, henter et annet tilgangspunkt automatisk brukeren og ...

Trådløs nettverksadministrasjon: Rogue Access Points - dummies

Trådløs nettverksadministrasjon: Rogue Access Points - dummies

Personlig finansiering

Et av de største problemene som nettverksadministratorer har å håndtere er problemet med rogue-tilgangspunkter. Et rogue-tilgangspunkt er et tilgangspunkt som plutselig ser ut av ingensteds på nettverket ditt. Det som vanligvis skjer, er at en medarbeider bestemmer seg for å koble en bærbar datamaskin til nettverket via et trådløst ...

Trådløs nettverksadministrasjon: Sette opp en Hotspot-dummies

Trådløs nettverksadministrasjon: Sette opp en Hotspot-dummies

Personlig finansiering

Slik at du eier en liten kafé, og du tror det ville være kult å sette opp et hotspot for kundene dine å bruke, eh? Hvis du vil sette opp et gratis hotspot, er alt du trenger: En pålitelig bredbåndstilkobling. DSL, kabel eller T-1 vil fungere pent. Et trådløst tilgangspunkt. For en ...

Redaktørens valg

Redaktørens valg

Populære kategorier

© Copyright no.blender3dtutorials.com, 2024 September | Om nettstedet | Kontakter | Personvernregler.