Eine Website ist nicht nur eine eigenständige Anwendung. Es besteht aus Ordnern, Verzeichnissen und Seiten, die Anweisungen und Informationen für eine bestimmte Aufgabe oder Anfrage enthalten. Wenn Sie mit einer Website interagieren, werden Sie durch eine Reihe von Verzeichnissen geführt. Aber nicht alle Verzeichnisse sind für Sie sichtbar; einige sind vor der Öffentlichkeit verborgen. Wie erfahren Hacker versteckte Verzeichnisse und nutzen sie aus?
Was ist Directory Bursting?
Directory Bursting (auch bekannt als Directory Brute Force) ist eine Webanwendungstechnologie, die verwendet wird, um mögliche versteckte Verzeichnisse in Websites zu finden und zu identifizieren. Dies geschieht mit dem Ziel, vergessene oder ungesicherte Webverzeichnisse zu finden, um zu sehen, ob sie anfällig für Ausbeutung sind.
Wie funktioniert Directory Bursting?
Directory Bursting wird mithilfe einer Kombination aus automatisierten Tools und einer Sammlung von Skripten, die Wortlisten genannt werden, durchgeführt. Einige dieser Tools umfassen Gobuster, Dirb, FFUF, Dirbuster usw. Wie funktioniert Verzeichnis-Bursting?
Was ist ein Verzeichnis?
Ein Verzeichnis ist ein Ordner oder eine Sammlung von Dateien, die Informationen enthalten. Es dient organisatorischen Zwecken und verwendet ein hierarchisches System. Webanwendungen bestehen aus vielen Verzeichnissen und Unterverzeichnissen, in denen wiederum gespeichert wird Informationen wie statische HTML-Dateien, Servlets, CSS- und JavaScript-Dateien, externe Bibliotheken, Bilder usw.
Die MakeUseOf-Seite eines Autors könnte beispielsweise „www[dot]makeuseof.com/author/author-name/page/2/“ lauten, wenn Sie sich auf der zweiten Seite des Autorenprofils befinden. Der Name der Site oder des Stammverzeichnisses lautet „www[dot]makeuseof.com“. Es hat ein Unterverzeichnis, das Autorenprofile und Werke mit dem Namen "/author/" speichert. Dieses Verzeichnis hat ein weiteres Unterverzeichnis, das die Werke dieses bestimmten Autors enthält. Dann enthält das nächste Verzeichnis die Seitennummer, auf der Sie sich befinden.
Hunderte von Verzeichnisnamen manuell in eine Website einzutippen, um nach möglichen versteckten Verzeichnissen zu suchen, wäre eine zeitraubende und sinnlose Aufgabe. Stattdessen verwenden Hacker Tools neben Wortlisten, um Directory-Bursting-Angriffe zu automatisieren. Diese automatisierten Tools sind normalerweise multithreaded und arbeiten mit eine HTTP- oder HTTPS-Anfrage stellen jedes Dateinamens in der Wortliste. Wenn der Verzeichnisname existiert, werden der Antwortcode und der Name aufgezeichnet und angezeigt.
Ein Directory-Bursting- oder Brute-Forcing-Tool ist nur so gut wie die Wortliste. Eine Wortliste ist, wie der Name schon sagt, normalerweise eine .txt-Datei, die Tausende von möglichen Namen von Verzeichnissen und Dateien enthält, die vom Verzeichnis-Brute-Forcing-Tool gescannt werden sollen. Es gibt eine riesige Anzahl von Wortlisten im Internet, und viele Verzeichnis-Bursting-Tools haben auch eingebaute.
Um die Verzeichnisse einer Website brutal zu erzwingen, benötigen Sie die URL der Website und eine Wortliste. Einige Verzeichnis-Bursting-Tools bieten Optionen wie Geschwindigkeit, Dateierweiterungen oder ermöglichen es Ihnen, anzugeben, auf welcher Ebene von Verzeichnissen gescannt oder bestimmte Wörter ausgeblendet werden sollen.
So schützen Sie Ihre Website vor Directory Bursting
Directory Bursting oder Brute-Forcing selbst ist nicht schädlich, da es nur die versteckten Verzeichnisse auflistet, die Sie möglicherweise auf Ihrer Website haben. Es sind die Informationen, die ein Hacker in diesen Verzeichnissen finden könnte, die Schwachstellen auf Ihrer Website schaffen. Wenn Sie vertrauliche Informationen wie Quellcode oder Datenbanken in Verzeichnissen speichern, ohne die entsprechenden Berechtigungen zu erzwingen, könnten Hacker dies ausnutzen.
Und jeder kann verwundbar sein: sogar Der Quellcode von Microsoft wurde geleakt!
Die häufigste Schwachstelle, die durch Directory Bursting entstehen kann, ist die Directory- oder Path-Traversal-Schwachstelle. Diese Schwachstelle ermöglicht es einem Hacker, auf Dateien und Verzeichnisse zuzugreifen, für die er normalerweise keine Berechtigung haben sollte. Mit Directory Traversal können Hacker beliebige Dateien in der Webanwendung lesen und manchmal umschreiben. Sie tun dies, indem sie Berechtigungen von Benutzerberechtigungen zu Root-Berechtigungen eskalieren.
Hier sind einige Tipps zum Schutz Ihrer Websites vor Directory Bursting-Schwachstellen:
- Erzwingen Sie Datei- und Verzeichnisberechtigungen.
- Benutzer immer validieren und Benutzereingaben.
- Halten Sie Ihre Server und die dahinter stehende Infrastruktur auf dem neuesten Stand.
Directory Brute-Forcing identifiziert nicht nur versteckte Verzeichnisse auf Ihrer Website, sondern liefert auch Informationen über die Struktur Ihrer Website – Informationen, die sich für einen erfahrenen Hacker als nützlich erweisen könnten.
Directory Bursting und ethisches Hacken
Ethische Hacker verwenden Directory-Bursting-Tools, um Schwachstellen zu mindern, bevor ein Cyberkrimineller sie findet. Directory Bursting ist in der Aufzählungsphase eines Web-Penetrationstests wichtig und kann die Sicherheit einer Website, indem Informationen auf einem Webdienst gefunden werden, die der Öffentlichkeit nicht zugänglich sein sollten und sie entfernen.
Was sind Penetrationstests und wie verbessern sie die Netzwerksicherheit?
Lesen Sie weiter
Verwandte Themen
- Sicherheit
- Internet
- Online-Sicherheit
- Hacken
Über den Autor
Chioma ist eine technische Redakteurin, die es liebt, durch ihr Schreiben mit ihren Lesern zu kommunizieren. Wenn sie nicht gerade etwas schreibt, trifft man sie oft mit Freunden ab, engagiert sich ehrenamtlich oder probiert neue Tech-Trends aus.
Abonnieren Sie unseren Newsletter
Abonnieren Sie unseren Newsletter für technische Tipps, Rezensionen, kostenlose E-Books und exklusive Angebote!
Klicken Sie hier, um sich anzumelden
