Een website is niet zomaar een op zichzelf staande applicatie. Het bestaat uit mappen, mappen en pagina's met instructies en informatie voor een bepaalde taak of aanvraag. Wanneer u interactie heeft met een website, wordt u door een reeks mappen geleid. Maar niet alle mappen zijn voor u zichtbaar; sommige zijn verborgen voor het publiek. Hoe leren hackers verborgen mappen kennen en exploiteren ze deze?
Wat is directory-bursting?
Directory bursting (ook bekend als directory brute forcing) is een webtoepassingstechnologie die wordt gebruikt om mogelijke verborgen mappen op websites te vinden en te identificeren. Dit wordt gedaan met het doel om vergeten of onbeveiligde webmappen te vinden om te zien of ze kwetsbaar zijn voor uitbuiting.
Hoe werkt directory-bursting?
Directory bursting wordt uitgevoerd met behulp van een combinatie van geautomatiseerde tools en een verzameling scripts die woordenlijsten worden genoemd. Sommige van deze tools omvatten Gobuster, Dirb, FFUF, Dirbuster, enz. Hoe werkt directory burst?
Wat is een adresboek?
Een directory is een map of verzameling bestanden die informatie bevatten. Het wordt gebruikt voor organisatorische doeleinden en maakt gebruik van een hiërarchisch systeem. Webapplicaties bestaan uit vele mappen en submappen en deze worden op hun beurt gebruikt om informatie zoals statische HTML-bestanden, servlets, CSS- en JavaScript-bestanden, externe bibliotheken, afbeeldingen, enz.
De MakeUseOf-pagina van een auteur zou bijvoorbeeld "www[dot]makeuseof.com/author/author-name/page/2/" kunnen lezen als u zich op de tweede pagina van het auteursprofiel bevond. De naam van de site of de hoofdmap is "www[dot]makeuseof.com". Het heeft een submap waarin de profielen en werken van auteurs worden opgeslagen met de naam "/author/". Deze directory heeft nog een subdirectory die de werken van die bepaalde auteur bevat. Vervolgens bevat de volgende map het paginanummer waarop u zich bevindt.
Het handmatig typen van honderden directorynamen op een website om te zoeken naar mogelijke verborgen directory's zou een tijdrovende en zinloze taak zijn. In plaats daarvan gebruiken hackers tools naast woordenlijsten om directory bursting-aanvallen te automatiseren. Deze geautomatiseerde tools zijn meestal multithreaded en werken door: een HTTP- of HTTPS-verzoek doen van elke bestandsnaam in de woordenlijst. Als de directorynaam bestaat, worden de responscode en -naam geregistreerd en weergegeven.
Een directory bursting of brute-forcing tool is maar zo goed als de woordenlijst. Een woordenlijst is, zoals de naam al aangeeft, meestal een .txt-bestand dat duizenden mogelijke namen van mappen en bestanden bevat die door de brute-forcing tool voor directory's moeten worden gescand. Er is een enorm aantal woordenlijsten beschikbaar op internet, en veel hulpprogramma's voor het barsten van mappen hebben ook ingebouwde.
Om de directory's van een website bruut te forceren, heb je de URL van de website en een woordenlijst nodig. Sommige directory bursting-tools bieden opties zoals snelheid, bestandsextensies, of stellen u in staat om te specificeren welk niveau van directory's u wilt scannen of om specifieke woorden te verbergen.
Hoe u uw website kunt beschermen tegen het barsten van directory's
Het barsten van mappen of brute forceren is op zich niet schadelijk, omdat het alleen de verborgen mappen opsomt die u op uw website zou kunnen hebben. Het is de informatie die een hacker zou kunnen vinden in die mappen die kwetsbaarheden in uw website creëert. Als u gevoelige informatie zoals broncode of databases in mappen opslaat zonder de juiste machtigingen af te dwingen, kunnen hackers daar misbruik van maken.
En iedereen kan kwetsbaar zijn: zelfs De broncode van Microsoft is gelekt!
De meest voorkomende kwetsbaarheid die kan ontstaan door het barsten van directory's is de kwetsbaarheid voor directory- of path traversal. Door dit beveiligingslek kan een hacker toegang krijgen tot bestanden en mappen waarvoor ze normaal geen toestemming zouden moeten hebben. Met directory traversal kunnen hackers willekeurige bestanden in de webtoepassing lezen en soms herschrijven. Ze doen dit door privileges te escaleren van gebruikersprivileges naar rootprivileges.
Hier zijn enkele tips om uw websites te beschermen tegen kwetsbaarheden door het barsten van directory's:
- Dwing bestands- en mapmachtigingen af.
- Altijd gebruikers valideren en gebruikersinvoer.
- Houd uw servers en de achterliggende infrastructuur up-to-date.
Met brute-forcering van directory's worden niet alleen verborgen directory's op uw website geïdentificeerd, maar wordt ook informatie verschaft over de structuur van uw website: informatie die nuttig kan zijn voor een ervaren hacker.
Directory barsten en ethisch hacken
Ethische hackers gebruiken directory bursting-tools om kwetsbaarheden te verkleinen voordat een cybercrimineel ze vindt. Directory bursting is belangrijk in de enumeratiefase van een webpenetratietest en kan de beveiliging van een website door informatie op een webservice te vinden die niet voor het publiek toegankelijk mag zijn en ze te verwijderen.
Wat is penetratietesten en hoe verbetert het de netwerkbeveiliging?
Lees volgende
Gerelateerde onderwerpen
- Beveiliging
- internet
- Online beveiliging
- Hacken
Over de auteur
Chioma is een technisch schrijver die graag met haar lezers communiceert door middel van haar schrijven. Als ze niets aan het schrijven is, is ze te vinden in uitgaan met vrienden, vrijwilligerswerk doen of nieuwe technische trends uitproberen.
Abonneer op onze nieuwsbrief
Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!
Klik hier om je te abonneren