Rumah Kewangan Peribadi Bagaimana Mengesan dan Mencegah Direktori Traversal Hacks - dummies

Bagaimana Mengesan dan Mencegah Direktori Traversal Hacks - dummies

Isi kandungan:

Video: Day 3 Keynote: Made Here Together (Cloud Next '18) 2024

Video: Day 3 Keynote: Made Here Together (Cloud Next '18) 2024
Anonim

Traversal Direktori adalah kelemahan yang benar-benar asas, tetapi ia boleh muncul menarik - kadang-kadang sensitif - maklumat tentang sistem web, menjadikannya rentan terhadap hacks. Serangan ini melibatkan melayari laman web dan mencari petunjuk tentang struktur direktori pelayan dan fail sensitif yang mungkin dimuat secara sengaja atau tidak sengaja.

Lakukan ujian berikut untuk menentukan maklumat mengenai struktur direktori laman web anda.

Crawler

Program labah-labah, seperti laman web Copier HTTrack percuma, boleh merangkak laman web anda untuk mencari setiap fail yang boleh diakses secara umum. Untuk menggunakan HTTrack, muatkan saja, beri nama projek anda, beritahu HTTrack laman web mana yang akan menjadi cermin, dan selepas beberapa minit, mungkin jam, anda akan mempunyai segala-galanya yang boleh diakses secara umum di laman web yang disimpan di pemacu setempat anda c: laman web saya.

Situs yang rumit sering mendedahkan lebih banyak maklumat yang tidak sepatutnya berada di sana, termasuk fail data lama dan juga skrip aplikasi dan kod sumber.

Tidak dapat dielakkan, semasa menjalankan penilaian keselamatan web, biasanya ada. zip atau. rar fail pada pelayan web. Kadang-kadang mereka mengandungi sampah, tetapi seringkali mereka memegang maklumat sensitif yang tidak sepatutnya ada untuk orang ramai mengakses.

Lihatlah output program merangkak anda untuk melihat fail-fail apa yang tersedia. Fail HTML dan PDF biasa mungkin okay kerana mereka kemungkinan besar diperlukan untuk kegunaan web biasa. Tetapi tidak mustahil untuk membuka setiap fail untuk memastikan ia dimiliki dan tidak mengandungi maklumat sensitif yang anda tidak mahu berkongsi dengan dunia.

Google

Google juga boleh digunakan untuk traversal direktori. Malah, pertanyaan lanjutan Google sangat kuat yang boleh anda gunakan untuk menyingkirkan maklumat sensitif, fail pelayan web kritis dan direktori, nombor kad kredit, webcam - pada dasarnya apa sahaja yang telah Google temukan di laman web anda - tanpa harus mencerminkan laman web anda dan menapis segala-galanya secara manual. Ia sudah pun duduk di dalam cache Google yang sedang menunggu untuk dilihat.

Berikut ialah beberapa pertanyaan Google yang maju yang boleh anda masukkan terus ke dalam medan carian Google:

  • tapak: kata kunci nama host - Pencarian ini mencari kata kunci yang Anda daftar, seperti SSN <, sulit , kad kredit, dan sebagainya. Contohnya ialah: tapak: www. principlelogic. penyampai com

    filetype: tapak lanjutan fail: nama host

  • - Pertanyaan ini mencari jenis fail tertentu pada tapak web tertentu, seperti doc, pdf, db, dbf, zip dan banyak lagi.Jenis fail ini mungkin mengandungi maklumat sensitif. Contohnya ialah: filetype: pdf site: www. principlelogic. com

Pengeluar Google yang lebih maju lain termasuk yang berikut:

allintitle

  • mencari kata kunci dalam judul halaman web. inurl

  • mencari kata kunci dalam URL halaman web. berkaitan

  • mendapati halaman yang serupa dengan halaman web ini. pautan

  • memperlihatkan laman lain yang menghubungkan ke laman web ini. Sumber yang sangat baik untuk penggodaman Google ialah Pangkalan Data Penggodam Google Johnny Long.

Apabila menapis laman web anda dengan Google, pastikan anda mencari maklumat sensitif mengenai pelayan, rangkaian dan organisasi anda dalam Kumpulan Google, yang merupakan arkib Usenet. Sekiranya anda mendapati sesuatu yang tidak perlu berada di sana, anda boleh bekerjasama dengan Google supaya ia diedit atau dialih keluar. Untuk maklumat lanjut, rujuk halaman Kenalan Google.

Penangguhan terhadap traversal direktori

Anda boleh menggunakan tiga tindak balas utama terhadap fail yang dikompromikan melalui traversal direktori berniat jahat:

Jangan simpan fail lama, sensitif, atau tidak umum di pelayan web anda.

  • Satu-satunya fail yang perlu berada dalam folder / htdocs atau DocumentRoot anda adalah yang diperlukan untuk tapak berfungsi dengan betul. Fail-fail ini tidak boleh mengandungi maklumat rahsia yang anda tidak mahu melihat dunia. Konfigurasikan robot

  • anda. txt fail untuk menghalang enjin carian, seperti Google, daripada merayap kawasan yang lebih sensitif di tapak anda. Pastikan pelayan web anda dikonfigurasikan dengan betul untuk membenarkan akses awam hanya untuk direktori tersebut yang diperlukan untuk berfungsi di laman web ini.

  • Keistimewaan minimum adalah penting di sini, jadi memberi akses kepada hanya fail dan direktori yang diperlukan untuk aplikasi web untuk berfungsi dengan baik. Semak dokumentasi pelayan web anda untuk arahan mengenai mengawal akses awam. Bergantung kepada versi pelayan web anda, kawalan akses ini ditetapkan dalam

    httpd. fail conf dan. fail htaccess untuk Apache.

    • Pengurus Perkhidmatan Maklumat Internet untuk IIS

    • Versi terbaru dari pelayan web ini mempunyai keselamatan direktori yang baik secara lalai, jika boleh, pastikan anda menjalankan versi terkini.

Akhir sekali, pertimbangkan untuk menggunakan honeypot enjin carian, seperti Google Hack Honeypot. Sebuah honeypot menarik pengguna berniat jahat supaya anda dapat melihat bagaimana orang jahat bekerja terhadap laman web anda. Kemudian, anda boleh menggunakan pengetahuan yang anda peroleh untuk mengekalkannya.

Bagaimana Mengesan dan Mencegah Direktori Traversal Hacks - dummies

Pilihan Editor

Pilihan Editor

Pengekodan All-in-One Untuk Dummies Cheat Sheet - dummies

Pengekodan All-in-One Untuk Dummies Cheat Sheet - dummies

Kewangan Peribadi

Logik, dan sintaks. Pengekodan pada mulanya mungkin menakutkan, tetapi dengan amalan, mudah untuk mendapatkan selesa dengan terminologi, konsep, dan strukturnya. Memahami pengekodan tidak seperti belajar bahasa baru: Gunakannya cukup kerap dan anda akan mendapati diri anda dapat bercakap, berfikir, dan menulis dalam kod. Namun, ...

Kolej Kurikulum Sains Komputer untuk Pekerjaan di Coding - dummies

Kolej Kurikulum Sains Komputer untuk Pekerjaan di Coding - dummies

Kewangan Peribadi

Kursus apa yang perlu anda ambil di kolej dapatkan pekerjaan pengkodan? Kursus CS College menawarkan tinjauan keseluruhan sistem komputer dari perkakasan yang digunakan untuk mengagihkan memori ke perisian peringkat tinggi yang menjalankan program dan teori yang digunakan untuk menulis perisian itu. Akibatnya, anda mendapat akal ...

3 Tips untuk Menggunakan Template dalam C ++ - dummies

3 Tips untuk Menggunakan Template dalam C ++ - dummies

Kewangan Peribadi

Template fungsi membolehkan anda menulis sesuatu yang kelihatan seperti fungsi tetapi menggunakan satu atau lebih jenis pemegang yang C + + menukar menjadi jenis yang benar pada masa kompilasi. Anda harus ingat beberapa perkara apabila menggunakan templat. Pertama, tiada kod dijana untuk templat. (Kod dijana selepas templat ditukarkan ...

Pilihan Editor

Memecah Daripada Gelung Tanpa Infin dalam Program Bahasa C Anda - dummies

Memecah Daripada Gelung Tanpa Infin dalam Program Bahasa C Anda - dummies

Kewangan Peribadi

Ketika anda masuk gelung pengaturcaraan dalam bahasa C, anda dapati kegembiraan dan ketakutan gelung tanpa had, atau tidak terhingga. Gelung ini terus selama-lamanya kerana sama ada programmer terlupa memasukkan cara untuk keluar dari gelung atau keadaan keluar tidak pernah dipenuhi. Sama ada jalan, gelung tidak berkesudahan adalah rasa sakit. Tetapi ...

C All-in-One Reference Desk For Dummies Cheat Sheet - dummies

C All-in-One Reference Desk For Dummies Cheat Sheet - dummies

Kewangan Peribadi

When working dalam bahasa pengaturcaraan C, anda perlu mengetahui bagaimana C melakukan perkara - contohnya, urutan keutamaan, jenis pembolehubah, pengendali, dan perbandingan dan lawannya.

C Bahasa Simbol Perbandingan - dummies

C Bahasa Simbol Perbandingan - dummies

Kewangan Peribadi

Jika anda menulis program di C, anda perlu menggunakan simbol perbandingan. Penggunaan simbol C, makna dan contohnya ditunjukkan dalam jadual berikut: Contoh Perbendaharaan Arti atau Sebutan Sebutan Sebenar Lebih daripada 8 ...

Pilihan Editor

Di Premis Antispam Perisian - dummies

Di Premis Antispam Perisian - dummies

Kewangan Peribadi

Program antispam di premis berjalan pada pelayan di rangkaian anda dan berinteraksi langsung dengan pelayan e-mel anda. E-mel yang tiba di pelayan anda diserahkan kepada program antispam, yang menilai e-mel untuk menentukan sama ada spam atau mel yang sah. Perisian antispam menggunakan pelbagai teknik untuk mengenal pasti spam dan ...

OSI untuk CCNA Layer 6: Presentation - dummies

OSI untuk CCNA Layer 6: Presentation - dummies

Kewangan Peribadi

Semasa anda mempersiapkan peperiksaan CCNA, kebanyakannya berkaitan dengan format data. Ia menukarkan data antara format yang berbeza supaya kedua-dua penghantar dan penerima boleh menggunakan data heterogen. Sebagai contoh, mesej mel mengandungi pelbagai format data: teks, lampiran aplikasi, video, audio, dan tandatangan grafik. Lapisan persembahan pada ...

OSI untuk Lapisan CCNA 7: Permohonan - dummies

OSI untuk Lapisan CCNA 7: Permohonan - dummies

Kewangan Peribadi

Peperiksaan CCNA memerlukan pengetahuan lapisan aplikasi model rujukan OSI . Lapisan ini mewakili pelbagai aplikasi rangkaian seperti pembaca e-mel, pelayar web, Protokol Pemindahan Hypertext (HTTP), Protokol Pemindahan Fail (FTP) dan Sistem Fail Rangkaian (NFS). Lapisan aplikasi menyediakan antara muka pengguna dan memproses data rangkaian. Lapisan aplikasi pada penghantaran ...

Pilihan Editor

Pilihan Editor

Kategori popular

© Copyright ms.blender3dtutorials.com, 2024 September | Mengenai laman web | Kenalan | Dasar Privasi..