Что такое атака с доказательством взрыва и как она работает?

Сайт — это не просто отдельное приложение. Скорее, он состоит из множества папок, руководств и страниц, содержащих инструкции и информацию для конкретной задачи или запроса. Когда вы взаимодействуете с веб-сайтом, вы направляетесь через ряд каталогов. Но не все подсказки видны вам; Некоторые из них скрыты от общественности. Итак, как хакер узнает о скрытых доказательствах и использует их для атаки на сервер? Проверять Лучшие брандмауэры веб-приложений для защиты веб-сайтов.

Что такое атака с доказательством взрыва и как она работает? - защита

Что такое доказательство взрывной атаки?

Взрыв каталога (также известный как brute proof) — это технология веб-приложений, используемая для поиска и идентификации потенциальных скрытых доказательств на веб-сайтах. Это делается с целью поиска забытых или небезопасных веб-каталогов, чтобы узнать, уязвимы ли они для эксплуатации.

Как работает защита от взрыва?

Взрыв каталога выполняется с помощью набора автоматических инструментов и набора сценариев, называемых списками слов. Некоторые из этих инструментов включают Gobuster, Dirb, FFUF, Dirbuster и т. д. Как работает защита от взрыва?

каковы доказательства?

Что такое атака с доказательством взрыва и как она работает? - защита

Каталог — это папка или набор файлов, содержащих информацию. Он используется в организационных целях и использует иерархическую систему. Веб-приложения состоят из множества каталогов и подкаталогов, которые, в свою очередь, используются для хранения такой информации, как статические файлы HTML, сервлеты, файлы CSS и JavaScript, внешние библиотеки, изображения и т. д.

Например, страница автора DzTechs может ссылаться на «www [точка] dz-techs.com/author/author-name/page/2/», если вы находитесь на второй странице профиля автора. Название оригинального веб-сайта или каталога — «www [точка] dz-techs.com». Который содержит подкаталог, в котором хранятся профили авторов и работ с именем «/author/». Этот каталог содержит еще один подкаталог, содержащий работы этого конкретного автора. Далее следующий каталог содержит номер страницы, которую вы просматриваете.

Инструменты Blast Guide и списки слов

Ручной ввод сотен имен каталогов на веб-сайте для поиска потенциальных скрытых каталогов был бы трудоемкой и бесполезной задачей. Вместо этого хакер использует специальные инструменты вместе со списками слов для автоматизации атак взрыва каталога. Эти автоматизированные инструменты обычно являются многопоточными и работают, выполняя HTTP- или HTTPS-запрос для каждого имени файла в списке слов. Если имя каталога существует, код ответа и имя будут зарегистрированы и показаны.

Evidence Blast или Brute Effect будут хороши только в том случае, если используется список слов. Список слов обычно, как следует из названия, представляет собой файл .txt, содержащий тысячи возможных имен для каталогов и файлов, которые будут сканироваться инструментом грубой проверки каталогов. В Интернете доступно большое количество списков слов, и многие инструменты для слияния каталогов также имеют встроенные списки.

Чтобы принудительно просматривать каталоги веб-сайтов, вам нужен URL-адрес веб-сайта и список возможных слов. Некоторые инструменты очистки каталогов предоставляют такие параметры, как скорость, форматы файлов или позволяют указать уровень каталогов, чтобы стереть или скрыть определенные слова. Проверять Лучшие сайты, которые научат вас взламывать легально.

Как защитить сайт от взрыва каталога

Что такое атака с доказательством взрыва и как она работает? - защита

Взрыв каталога или грубое влияние само по себе не вредно, поскольку он перечисляет скрытые каталоги, которые могут быть на вашем веб-сайте. Это информация, которую хакер может найти в тех каталогах, которые создают уязвимости на вашем сайте. Если вы храните конфиденциальную информацию, такую ​​как исходный код или базы данных, в каталогах без обеспечения надлежащих разрешений, хакер сможет использовать ее.

И любой может быть уязвимым: даже исходный код Microsoft просочился!

Наиболее распространенной уязвимостью, которая может возникнуть в результате взрыва каталога, является уязвимость обхода каталога или обхода пути. Эта уязвимость позволяет хакеру получить доступ к файлам и каталогам, к которым он обычно не имеет доступа без разрешения. С помощью обхода каталога хакер может читать, а иногда и перезаписывать случайные файлы в веб-приложении. Он делает это путем повышения привилегий от привилегий пользователя до привилегий администратора.

Вот несколько советов по защите ваших веб-сайтов от взлома каталогов:

  • Применять права доступа к файлам и каталогам.
  • Всегда проверяйте правильность ввода пользователей.
  • Держите свои серверы и инфраструктуру за ними в актуальном состоянии.

Атака каталогов грубой силой не только находит скрытые каталоги на вашем веб-сайте, но также предоставляет информацию о структуре вашего веб-сайта — информацию, которая может быть полезна опытному хакеру. Проверять Лучшие инструменты тестирования на проникновение для профессионалов в области кибербезопасности.

Взрывозащищенный и этичный взлом

Этический хакер использует инструменты для анализа улик, чтобы смягчить уязвимости до того, как их обнаружит киберпреступник. Взлом каталога важен на этапе перечисления при тестировании на проникновение в Интернет и может повысить безопасность веб-сайта, найдя и удалив информацию о веб-службе, которая не должна быть общедоступной. Ты можешь видеть Как хакер использует наши технологии против нас.

Источник
Перейти к верхней кнопке