Como detectar e evitar cortes de passagem de diretório

passagem de diretório é uma fraqueza realmente básico, mas pode transformar-se interessante - informações sobre um sistema web, tornando-se propenso a hacks - às vezes sensível. Este ataque consiste em navegar um site e à procura de pistas sobre estrutura de diretórios do servidor e arquivos sensíveis que podem ter sido carregados intencionalmente ou não.

Execute os seguintes testes para determinar informações sobre estrutura de diretórios do seu site.

crawlers

Um programa de aranha, como o website HTTrack Copier livre, pode rastrear o seu site para olhar para cada arquivo acessível ao público. Para usar o HTTrack, basta carregá-lo, dar um nome ao projeto, dizer HTTrack qual site (s) para espelhar, e depois de alguns minutos, talvez horas, você terá tudo o que é de acesso público no site armazenados na unidade local em c: Meus sites.

locais complicados, muitas vezes revelar mais informações que não deveria estar lá, incluindo arquivos de dados antigos e até mesmo scripts de aplicativos e código fonte.

Video: CÓMO DETECTAR A UN CHORRO | Nacho Flores

Inevitavelmente, ao realizar avaliações de segurança web, geralmente há .fecho eclair ou .rar arquivos em servidores web. Às vezes, eles contêm lixo, mas muitas vezes eles mantêm informações sensíveis que não deveria estar lá para o público a acessar.

Olhe para a saída do seu programa de rastreamento para ver o que estão disponíveis arquivos. arquivos HTML e PDF regulares são, provavelmente, tudo bem, porque eles são mais provável necessário para o uso da web normal. Mas não faria mal para abrir cada arquivo para certificar-se ele pertence lá e não contém informações confidenciais que você não deseja compartilhar com o mundo.

Google

O Google também pode ser usado para passagem de diretório. De fato, consultas avançadas do Google são tão poderosas que você pode usá-los para erradicar a informações sensíveis, os arquivos do servidor web críticas e diretórios, números de cartão de crédito, webcams - basicamente qualquer coisa que o Google descobriu em seu site - sem ter que espelham o seu site e peneirar tudo manualmente. Já está sentado lá no cache do Google esperando para ser visto.

A seguir, são um par de consultas avançadas do Google que você pode entrar diretamente no campo de pesquisa do Google:

  • palavras-chave de nome de host: Local - Essa consulta pesquisas para qualquer palavra-chave que você lista, como SSN, confidencial, cartão de crédito, e assim por diante. Um exemplo seria:

    Site: principlelogic.com alto-falante

  • filetype: Local de arquivo-extensão: hostname - Esta consulta procura por determinados tipos de arquivos em um site específico, como doutor, pdf, db, dbf, fecho eclair, e mais. Estes tipos de arquivos podem conter informações sigilosas. Um exemplo seria:

filetype: pdf local: principlelogic.com

Outros operadores avançados do Google incluem o seguinte:



  • allintitle buscas por palavras-chave no título de uma página web.

  • inurl buscas por palavras-chave no URL de uma página web.

  • relacionado encontra páginas semelhantes a esta página web.

    Video: Cortes de luz en B° Tarapaya para evitar reuniones opositoras

  • ligação mostra outros sites que apontam para essa página web.

    Video: Cómo detectar la calidad de la carne para hamburguesas

Um excelente recurso para o Google hacking é Banco de Dados Google Hacking de Johnny Long.

Quando peneirar o seu site com o Google, certifique-se de procurar informações sensíveis sobre seus servidores, rede e organização Grupos do Google, que é o arquivo de Usenet. Se você encontrar algo que não precisa estar lá, você pode trabalhar com o Google para tê-lo editado ou removido. Para mais informações, consulte página Contato do Google.

Medidas contra traversals diretório

Você pode empregar três contramedidas principais contra ter arquivos comprometidos via traversals diretório maliciosos:

  • Não armazene arquivos antigos, sensíveis, ou de outra forma não públicas no seu servidor web. Os únicos arquivos que devem estar em seu / htdocs ou DocumentRoot pasta são aqueles que são necessários para o site para funcionar corretamente. Esses arquivos não devem conter informações confidenciais que você não quer que o mundo veja.

  • configure o seu robots.txt arquivo para impedir que os motores de busca, como Google, de rastejar as áreas mais sensíveis do seu site.

  • Verifique se o servidor web está configurado corretamente para permitir o acesso do público apenas aos diretórios que são necessários para o site a funcionar. privilégios mínimos são a chave aqui, então fornecer o acesso apenas aos arquivos e diretórios necessários para a aplicação web para executar corretamente.

    Verifique a documentação do seu servidor web para obter instruções sobre controle de acesso público. Dependendo da sua versão de servidor web, esses controles de acesso são definidos em

  • o httpd.conf arquivo eo .htaccess arquivos para Apache.

  • Internet Information Services Manager para o IIS

As versões mais recentes desses servidores web têm boa segurança diretório por padrão, então, se possível, certifique-se que você está executando as versões mais recentes.

Finalmente, considere o uso de um honeypot motor de busca, como o Google Corte Honeypot. Um honeypot atrai usuários mal-intencionados para que você possa ver como os caras maus estão trabalhando contra o seu site. Então, você pode usar o conhecimento que você ganha para mantê-los na baía.


Publicações relacionadas
Como criar mapas do site de vídeo para seo marketing de vídeo
O envio do seu site de negócios para os motores de busca da especialidade e diretórios
Como adicionar seu site a página google + da sua empresa
Como vincular página google + da sua empresa para seus anúncios sociais
Trabalhar com o google drive no chromebook
Usando o google drive para sincronizar arquivos entre um tablet galaxy e um pc
Layouts de páginas sites do google
Script padrão hacks em aplicações web
Como reunir informações públicas para testes de segurança
Como usar a pegada para planejar um corte ético
Instalar manualmente temas drupal e módulos
Um rápido olhar para a paisagem motor de busca
Como criar o mapa do site xml
Faça o seu diretório de sites e estrutura de arquivo motor de busca amigável
Submeter páginas para os motores de busca para otimização
Um resumo de serviços empresariais do google
Como editar o arquivo .htaccess do seu site no dreamweaver
Como usar o google webmaster tools
Instalando o fio de actividade drupal
Instalar o drupal: recebendo software