ما هو هجوم انفجار الدليل وكيف يعمل؟

موقع الويب ليس مُجرد تطبيق مُستقل. بل يتألف من الكثير من المجلدات والأدلة وصفحات تحمل الإرشادات والمعلومات لمُهمة أو طلب مُعين. عندما تتفاعل مع موقع ويب ، يتم توجيهك عبر سلسلة من الدلائل. لكن ليست كل الدلائل مرئية لك ؛ بعضها مخفي عن الجمهور. إذًا ، كيف يتعرف المُتسلل على الأدلة المخفية ويستغلها لإستهداف الخادم؟ تحقق من أفضل خدمات جدار حماية تطبيقات الويب لتأمين موقع الويب.

ما هو هجوم انفجار الدليل وكيف يعمل؟ - حماية

ما هو هجوم انفجار الدليل؟

انفجار الدليل (المعروف أيضًا باسم الدليل الغاشم) هي تقنية تطبيق ويب تُستخدم للعثور على الأدلة المخفية المُحتملة في مواقع الويب وتحديدها. يتم ذلك بهدف البحث عن أدلة الويب المنسية أو غير الآمنة لمعرفة ما إذا كانت عُرضة للاستغلال.

كيف يعمل انفجار الدليل؟

يتم تنفيذ انفجار الدليل باستخدام مجموعة من الأدوات التلقائية ومجموعة من البرامج النصية تُسمى قوائم الكلمات. تتضمن بعض هذه الأدوات Gobuster و Dirb و FFUF و Dirbuster وما إلى ذلك. فكيف يعمل انفجار الدليل؟

ما هو الدليل؟

ما هو هجوم انفجار الدليل وكيف يعمل؟ - حماية

الدليل هو مجلد أو مجموعة ملفات تحتوي على معلومات. يتم استخدامه للأغراض التنظيمية ويستخدم نظامًا هرميًا. تتكون تطبيقات الويب من العديد من الأدلة والأدلة الفرعية وتستخدم هذه بدورها لتخزين المعلومات مثل ملفات HTML الثابتة ، وسيرفلت ، وملفات CSS و JavaScript ، والمكتبات الخارجية ، والصور ، وما إلى ذلك.

على سبيل المثال ، يُمكن أن تُشير صفحة DzTechs للمُؤلف إلى “www [dot] dz-techs.com/author/author-name/page/2/” إذا كنت في الصفحة الثانية من الملف الشخصي للمُؤلف. اسم موقع الويب أو الدليل الأصلي هو “www [dot] dz-techs.com”. والذي يحتوي على دليل فرعي يُخزِن ملفات تعريف المؤلفين والأعمال المُسماة “/author/”. يحتوي هذا الدليل على دليل فرعي آخر يحتوي على أعمال ذلك المؤلف المُعين. بعد ذلك ، يحتوي الدليل التالي على رقم الصفحة الذي تتصفحها.

أدوات انفجار الدليل وقوائم الكلمات

إنَّ الكتابة يدويًا لمئات أسماء الدلائل في موقع ويب للبحث عن أدلة مخفية مُحتملة ستكون مُهمة تستغرق وقتًا طويلاً وغير مُجدية. بدلاً من ذلك ، يستخدم المتسلل أدوات مُخصصة جنبًا إلى جنب مع قوائم الكلمات لأتمتة هجمات انفجار الدليل. عادةً ما تكون هذه الأدوات التلقائية مُتعددة مؤشرات الترابط وتعمل عن طريق تقديم طلب HTTP أو HTTPS لكل اسم ملف في قائمة الكلمات. إذا كان اسم الدليل موجودًا ، فسيتم تسجيل رمز الاستجابة والاسم وإظهارهما.

ستكون أداة انفجار الدليل أو التأثير الغاشم جيدة فقط إذا كانت قائمة الكلمات المُستخدمة كذلك. عادةً ما تكون قائمة الكلمات ، كما يوحي الاسم ، عبارة عن ملف .txt يحتوي على الآلاف من الأسماء المُحتملة للأدلة والملفات التي سيتم فحصها بواسطة أداة فرض الدليل الغاشم. هناك عدد كبير من قوائم الكلمات المُتاحة على الإنترنت ، والعديد من أدوات دمج الدليل تأتي مع قوائم مُضمنة أيضًا.

لفرض تصفح أدلة موقع الويب ، تحتاج إلى عنوان URL لموقع الويب وقائمة الكلمات المُحتملة. تُوفر بعض أدوات تفجير الدليل خيارات مثل السرعة أو تنسيقات الملفات أو تسمح لك بتحديد مستوى الدلائل لمسح أو إخفاء كلمات معينة. تحقق من أفضل المواقع التي تعلمك كيفية الاختراق بشكل قانوني.

كيفية حماية موقع الويب من انفجار الدليل

ما هو هجوم انفجار الدليل وكيف يعمل؟ - حماية

إنَّ انفجار الدليل أو التأثير الغاشم في حد ذاته ليس ضارًا ، لأنه يُعدد الأدلة المخفية التي قد تكون لديك على موقع الويب الخاص بك. إنَّ المعلومات التي قد يجدها المُخترق في تلك الأدلة هي التي تخلق نقاط ضعف في موقع الويب الخاص بك. إذا قُمتَ بتخزين معلومات حساسة مثل التعليمات البرمجية للمصدر أو قواعد البيانات في أدلة دون فرض الأذونات المناسبة ، فسيكون المُتسلل قادرًا على استغلال ذلك.

ويُمكن لأي شخص أن يكون عرضة للخطر: حتى الكود المصدر لـ Microsoft تم تسريبه!

أكثر نقاط الضعف شيوعًا التي قد تنشأ من انفجار الدليل هي ثغرة اجتياز الدليل أو اجتياز المسار. تسمح هذه الثغرة الأمنية للمُتسلل بالوصول إلى الملفات والدلائل التي لا ينبغي أن يتمكن من الوصول إليها عادةً دون إذن للقيام بذلك. باستخدام اجتياز الدليل ، يستطيع المتسلل قراءة الملفات العشوائية وإعادة كتابتها في بعض الأحيان على تطبيق الويب. يفعل ذلك عن طريق تصعيد الامتيازات من امتيازات المستخدم إلى امتيازات المسؤول.

فيما يلي بعض النصائح لحماية مواقع الويب الخاصة بك من ثغرات اختراق الدليل:

  • فرض أذونات الملف والدليل.
  • تحقق دائمًا من صحة إدخال المستخدمين.
  • حافظ على الخوادم الخاصة بك والبُنية التحتية وراءها محدثة.

لا يُحدد هجوم الدليل الغاشم الأدلة المخفية في موقع الويب الخاص بك فحسب ، بل يُوفر أيضًا معلومات حول بنية موقع الويب الخاص بك — وهي معلومات يُمكن أن تكون مفيدة للمتسلل الماهر. تحقق من أفضل أدوات اختبار الاختراق لمُتخصصي الأمن السيبراني.

انفجار الدليل والقرصنة الأخلاقية

يستخدم المتسلل الأخلاقي أدوات تفجير الدليل للتخفيف من نقاط الضعف قبل أن يكتشفها مجرم الإنترنت. يُعد هجوم انفجار الدليل مُهمًا في مرحلة التعداد لاختبار اختراق الويب ، ويُمكنه تحسين أمان موقع الويب من خلال العثور على معلومات على خدمة ويب لا ينبغي أن تكون مُتاحة للجمهور وإزالتها. يُمكنك الإطلاع على كيف يستخدم المُتسلل التكنولوجيا التي نملكها ضدنا.

المصدر
زر الذهاب إلى الأعلى