Hem Personliga finanser Hur man upptäcker och förhindrar Directory Traversal Hacks - dummies

Hur man upptäcker och förhindrar Directory Traversal Hacks - dummies

Innehållsförteckning:

Video: Hur du hanterar en introvert Narcissist - Hantera besvärliga människor med personlighetsstörning 2024

Video: Hur du hanterar en introvert Narcissist - Hantera besvärliga människor med personlighetsstörning 2024
Anonim

Directory traversal är en riktigt grundläggande svaghet, men det kan bli intressant - ibland känslig - information om ett webbsystem, vilket gör att det är utsatt för hacks. Denna attack innebär att du surfar på en webbplats och letar efter ledtrådar om serverns katalogstruktur och känsliga filer som kan ha laddats avsiktligt eller oavsiktligt.

Utför följande tester för att fastställa information om webbplatsens katalogstruktur.

Crawlers

Ett spindelprogram, som den gratis HTTrack-webbplatsens kopiator, kan krypa på din webbplats för att leta efter varje offentligt tillgänglig fil. För att använda HTTrack, ladda bara det, ge ditt projekt ett namn, berätta HTTrack vilken webbplats som ska spegla, och efter några minuter, eventuellt timmar, har du allt som är tillgängligt för allmänheten på den webbplats som lagras på din lokala enhet i c: Mina webbplatser.

Komplicerade webbplatser avslöjar ofta mer information som inte borde finnas där, inklusive gamla datafiler och till och med applikationsskript och källkod.

Det är oundvikligen att det finns vanligtvis vid webbsäkerhetsbedömningar. zip eller. rar-filer på webbservrar. Ibland innehåller de skräp, men ofta håller de känslig information som borde inte vara där för allmänheten att få tillgång till.

Titta på utmatningen från ditt sökprogram för att se vilka filer som finns tillgängliga. Vanliga HTML- och PDF-filer är förmodligen okej eftersom de troligtvis behövs för normal användning av webben. Men det skulle inte göra ont för att öppna varje fil för att se till att den hör hemma och innehåller inte känslig information som du inte vill dela med världen.

Google

Google kan också användas för katalogtraversal. Faktum är att Googles avancerade frågor är så kraftfulla att du kan använda dem för att lösa känslig information, viktiga webbserverfiler och kataloger, kreditkortsnummer, webbkameror - i princip allt som Google har upptäckt på din webbplats - utan att behöva spegla din webbplats och sikt genom allt manuellt. Det sitter redan där i Googles cache och väntar på att visas.

Följande är ett par avancerade Google-frågor som du kan skriva in direkt i sökfältet Google:

  • webbplats: värdnamn sökord - Den här sökningen söker efter alla sökord som du listar, till exempel SSN <, konfidentiellt , kreditkort, och så vidare. Ett exempel skulle vara: webbplats: www. principlelogic. com-högtalare

    filtyp: filnamnstillägg: värdnamn

  • - Den här sökningen söker efter specifika filtyper på en viss webbplats, till exempel doc, pdf, db, dbf, zip och mer.Dessa filtyper kan innehålla känslig information. Ett exempel skulle vara: filtyp: pdf-webbplats: www. principlelogic. com

Andra avancerade Google-operatörer inkluderar följande:

allintitle

  • söker efter nyckelord i titeln på en webbsida. inurl

  • söker efter nyckelord i webbadressen till en webbsida. relaterade

  • hittar sidor som liknar den här webbsidan. länk

  • visar andra webbplatser som länkar till denna webbsida. En utmärkt resurs för Google hacking är Johnny Longs Google Hacking Database.

När du siktar via din webbplats med Google, se till att du letar efter känslig information om dina servrar, nätverk och organisation i Google Grupper, vilket är Usenet-arkivet. Om du hittar något som inte behöver vara där kan du arbeta med Google för att få det redigerat eller borttaget. Mer information finns på Googles Kontakta oss-sida.

Motåtgärder mot katalogöverföringar

Du kan använda tre huvudsakliga motåtgärder mot att få filer komprometterade via skadliga katalogöverföringar:

Lagra inte gamla, känsliga eller andra icke-offentliga filer på din webbserver.

  • De enda filerna som ska finnas i mappen / htdocs eller DocumentRoot är de som behövs för att webbplatsen ska fungera korrekt. Dessa filer ska inte innehålla konfidentiell information som du inte vill att världen ska se. Konfigurera dina

  • robotar. txt -fil för att förhindra att sökmotorer, till exempel Google, kryper igenom de känsligare områdena på din webbplats. Kontrollera att din webbserver är korrekt konfigurerad för att tillåta allmänhetens tillgång till endast de kataloger som behövs för att webbplatsen ska fungera.

  • Minsta behörighet är nyckeln här, så ger tillgång till endast de filer och kataloger som behövs för att webapplikationen ska fungera korrekt. Kontrollera din webbserver dokumentation för instruktioner om hur du kontrollerar allmänhetens tillgång. Beroende på din webbserverversion anges dessa åtkomstkontroller i

    httpd. conf fil och. htaccess-filer för Apache.

    • Internet Information Services Manager för IIS

    • De senaste versionerna av dessa webbservrar har som standard en bra katalogsäkerhet, så om möjligt, se till att du kör de senaste versionerna.

Slutligen överväga att använda en sökmotorhoneypot, till exempel Google Hack Honeypot. En honeypot drar in skadliga användare så att du kan se hur de dåliga killarna arbetar mot din webbplats. Därefter kan du använda den kunskap du får för att hålla dem kvar.

Hur man upptäcker och förhindrar Directory Traversal Hacks - dummies

Redaktörens val

Redaktörens val

Hur man skiljer bipolär från tillstånd med liknande symtom - dummies

Hur man skiljer bipolär från tillstånd med liknande symtom - dummies

Sociala medier

Innan man kommer till någon medicinsk diagnos, doktorer granska en differentialdiagnos för att överväga alla möjliga orsaker till de presenterande symptomen. I bipolär sjukdom innefattar differentialdiagnosen ofta följande tillstånd som kan innebära symtom som liknar bipolär sjukdom: Unipolär depression: Ett stort depressivt episode utan historia av mani eller hypomani ...

Hur man kommer till gripen genom livscoaching - dummies

Hur man kommer till gripen genom livscoaching - dummies

Sociala medier

Folk pratar mycket om hokum om livscoaching. Livscykelprogram, tidskrifter och tidskolumner sträcker sig i kvalitet från den kraftfulla och inspirerande genom till den rättvist vilseledande och farliga. Verkligt livscoaching handlar inte om någon guru som berättar hur du borde leva. Ja, du kan bli frestad att bada i bekvämligheten av ...

Hur man går med flödet för att förbättra ilskahantering - dummies

Hur man går med flödet för att förbättra ilskahantering - dummies

Sociala medier

Blir du så engagerad i något som ingenting annat verkar betyda och du förlorar tidens spår? Det här är frågan om att Dr. Mihaly Csikszentmihalyi, professor i psykologi vid University of Chicago, frågar människor i studien av vad han kallar flöde - ett medvetande tillstånd som uppstår när du ...

Redaktörens val

Hur man maximerar läsresultatet på SAT-dummiesna

Hur man maximerar läsresultatet på SAT-dummiesna

Sociala medier

När du drar genom Läsavsnitt på SAT, tiden är din fiende (fiende). För att maximera poängen måste du koncentrera dig på frågor du är ganska säker på att du kan svara korrekt. I allmänhet följer du dessa steg: Beakta de faktiska frågorna. Dessa frågor är vanligtvis enkla, och frågan levererar vanligen ett linjenummer så ...

Hur man tolkar visuella element på de nya SAT-dummiesna

Hur man tolkar visuella element på de nya SAT-dummiesna

Sociala medier

Böjer sig till den verkliga världen, där visuella element - diagram, tabeller, diagram, diagram, etc. - bära värdefull information, den omformade SAT innehåller visuella i vetenskapliga och historiska / sociala studier. För att skaffa (skörda) varje skrot av information från ett visuellt element, följ dessa riktlinjer: Titta på allt. Titeln, förklaringen överst, ...

Hur man fokuserar och taktar sig på SAT-dummiesna

Hur man fokuserar och taktar sig på SAT-dummiesna

Sociala medier

För att få de bästa resultaten på SAT, du måste fokusera på vad du gör och takta dig själv under hela testet. Du måste också börja på den högra foten. Innan du kommer till de faktiska frågorna instruerar du proffsen hur du fyller i toppen av svarbladet med ...

Redaktörens val

Hur man skyddar avsnitt i OneNote 2013 - dummies

Hur man skyddar avsnitt i OneNote 2013 - dummies

Sociala medier

Om du använder OneNote 2013 för att ta anteckningar att du vill behålla privat är det enkelt att säkra enskilda anteckningar som lösenordsskyddande sektioner. Det är märkligt att du inte kan lösa lösenordsskydda hela bärbara datorer, men att säkra enskilda sektioner - och därmed sidorna inom - motsvarar samma sak, förutom att någon åtminstone kan se namnen på ...

10 Resurser och tillägg till OneNote 2013 - dummies

10 Resurser och tillägg till OneNote 2013 - dummies

Sociala medier

OneNote var inte det mest populära programmet tills nyligen, med mer av en kultföljd än att vara känd som en go-to app. Resurser för OneNote 2013 är inte många just nu, och några av de som finns - även de från Microsoft - uppdateras inte alltid så ofta som du skulle hoppas. Ändå finns det ...

10 Coola saker du kan göra med OneNote 2013 - dummies

10 Coola saker du kan göra med OneNote 2013 - dummies

Sociala medier

Det finns många fina tips för saker du kan göra med OneNote 2013. Appen kan vara mycket användbar för att förenkla även de minsta uppgifterna i ditt liv. Säkerhetskopiera viktiga data Här är några exempel på hur OneNote-säkerhetskopior kan spara din baksida: Du går på en resa över hela landet, ...

Redaktörens val

Redaktörens val

Populära kategorier

© Copyright sve.blender3dtutorials.com, 2024 Oktober | Om webbplatsen | Kontakter | Integritetspolicy.