Hjem Personlig finansiering Sådan registreres og forhindrer Directory Traversal Hacks - dummies

Sådan registreres og forhindrer Directory Traversal Hacks - dummies

Indholdsfortegnelse:

Video: The Third Industrial Revolution: A Radical New Sharing Economy 2024

Video: The Third Industrial Revolution: A Radical New Sharing Economy 2024
Anonim

Directory traversal er en virkelig grundlæggende svaghed, men det kan vise sig interessant - nogle gange følsomt - information om et websystem, hvilket gør det udsat for hacks. Dette angreb indebærer at gennemse et websted og kigge efter spor om serverens katalogstruktur og følsomme filer, der muligvis er blevet indlæst forsætligt eller utilsigtet.

Udfør følgende tests for at bestemme oplysninger om dit websites katalogstruktur.

Crawlers

Et edderkopsprogram, som f.eks. Den gratis HTTrack-web-kopimaskine, kan gennemgå dit websted for at søge efter alle offentligt tilgængelige filer. Hvis du vil bruge HTTrack, skal du blot indlæse det, give dit projekt et navn, fortæl HTTrack, hvilke hjemmesider der skal afspejles, og efter et par minutter, muligvis timer, har du alt, der er offentligt tilgængeligt på det websted, der er gemt på dit lokale drev i c: Mine hjemmesider.

Komplicerede websteder afslører ofte flere oplysninger, der ikke burde være der, herunder gamle datafiler og lige applikationsskripter og kildekode.

Der er uundgåeligt, når der udføres websikkerhedsvurderinger, der normalt. lynlås eller. rar filer på webservere. Nogle gange indeholder de uønsket, men de rummer ofte følsomme oplysninger, der ikke bør være tilgængelige for offentligheden.

Se på udgangen af ​​dit gennemgangsprogram for at se, hvilke filer der er tilgængelige. Regelmæssige HTML- og PDF-filer er sandsynligvis okay, fordi de sandsynligvis er nødvendige for normal brug af nettet. Men det ville ikke skade for at åbne hver fil for at sikre, at den tilhører der og indeholder ikke følsomme oplysninger, du ikke vil dele med verden.

Google

Google kan også bruges til mappeoverskridelse. Faktisk er Googles avancerede forespørgsler så kraftfulde, at du kan bruge dem til at udrydde følsomme oplysninger, vigtige webserverfiler og biblioteker, kreditkortnumre, webkameraer - stort set alt, hvad Google har opdaget på dit websted - uden at skulle spejle dit websted og sigt gennem alt manuelt. Den sidder allerede der i Googles cache og venter på at blive vist.

Følgende er et par avancerede Google-forespørgsler, som du kan indtaste direkte i Google-søgefeltet:

  • websted: værtsnavn søgeord - Denne forespørgsel søger efter ethvert søgeord, du lister, som f.eks. SSN <, fortroligt , kreditkort, og så videre. Et eksempel ville være: websted: www. principlelogic. com-højttaler

    filetype: filtypenavn: værtsnavn

  • - Denne forespørgsel søger efter bestemte filtyper på et bestemt websted, f.eks. doc, pdf, db, dbf, zip og meget mere.Disse filtyper kan indeholde følsomme oplysninger. Et eksempel ville være: filetype: pdf site: www. principlelogic. com

Andre avancerede Google-operatører omfatter følgende:

allintitle

  • søger efter nøgleord i titlen på en webside. inurl

  • søger efter nøgleord i webadressen på en webside. relateret

  • finder sider, der ligner denne webside. link

  • viser andre websteder, der linker til denne webside. En fremragende ressource til Google hacking er Johnny Longs Google Hacking Database.

Når du siver gennem dit websted med Google, skal du sørge for at finde følsomme oplysninger om dine servere, netværk og organisation i Google Grupper, som er Usenet-arkivet. Hvis du finder noget, der ikke behøver at være der, kan du arbejde med Google for at få det redigeret eller fjernet. Du kan finde flere oplysninger på Googles Kontakt os side.

Modforanstaltninger mod katalogoverskridelser

Du kan anvende tre vigtigste modforanstaltninger mod at få filer kompromitteret via ondsindede katalogoverskridelser:

Gem ikke gamle følsomme eller ellers ikke-offentlige filer på din webserver.

  • De eneste filer, der skal være i mappen / htdocs eller DocumentRoot, er dem, der er nødvendige for, at webstedet fungerer korrekt. Disse filer bør ikke indeholde fortrolige oplysninger, som du ikke vil have verden til at se. Konfigurer dine

  • robotter. txt fil for at forhindre, at søgemaskiner, som Google, gennemgår de mere følsomme områder på dit websted. Sørg for, at din webserver er konfigureret korrekt til at tillade offentlig adgang til kun de mapper, der er nødvendige for, at webstedet skal fungere.

  • Minimumsrettigheder er nøgle her, så giver adgang til kun de filer og mapper, der er nødvendige for, at webapplikationen kan udføres korrekt. Tjek din webserverens dokumentation for at få instruktioner om at kontrollere adgangen til offentligheden. Afhængigt af din webserverversion er disse adgangskontroller angivet i

    httpd. conf fil og. htaccess-filer til Apache.

    • Internet Information Services Manager til IIS

    • De nyeste versioner af disse webservere har som standard god bibliotekssikkerhed, så sørg for, at du kører de nyeste versioner.

Endelig overveje at bruge en søgemaskine honeypot, såsom Google Hack Honeypot. En honeypot trækker i ondsindede brugere, så du kan se, hvordan de onde arbejder på dit websted. Derefter kan du bruge den viden, du får til at holde dem i skak.

Sådan registreres og forhindrer Directory Traversal Hacks - dummies

Valg af editor

Valg af editor

Sådan indtastes aftaler i Outlook 2013 Kalender - dummies

Sådan indtastes aftaler i Outlook 2013 Kalender - dummies

Social Media

Aftaler du har sat op til arbejde i Outlook 2013 Kalender kræver ofte, at du indeholder lidt mere information, end du ville have brug for til dine personlige aftaler. Når du vil give en aftale den fulde behandling, skal du bruge følgende metode:

Hvordan man indtaster kalenderaftaler fra Outlook. com - dummies

Hvordan man indtaster kalenderaftaler fra Outlook. com - dummies

Social Media

De aftaler og møder, du sender i Outlook, er knyttet til Outlook. com, så fra enhver web-aktiveret enhed kan du se, hvor du skal være og med hvem. Nu ved du, hvornår du er tilgængelig til møder, frokoster og tilfældige tungevæsker. Hvis du vil have dine Outlook 2013-data og din Outlook. com data til synkronisering automatisk, ...

Sådan flagger du en kontakt i Outlook 2013 - dummies

Sådan flagger du en kontakt i Outlook 2013 - dummies

Social Media

Nogle gange har du brug for Outlook 2013 for at minde dig om vigtig datoer eller opfølgningsaktiviteter. Du kan f.eks. Bruge flag, for at minde dig om at ringe til nogen næste uge. Den bedste måde at hjælpe dig med at huske på er at markere personens navn i listen Kontaktpersoner. En påmindelse vil dukke op i din kalender. Kontakterne er ikke ...

Valg af editor

LinkedIn Group Kategorier - dummies

LinkedIn Group Kategorier - dummies

Social Media

Fordi der er mange grunde til at oprette en gruppe, giver LinkedIn dig muligheder for at kategorisere din gruppe for at give dig mest eksponering. LinkedIn har etableret følgende seks hovedkategorier af grupper: Alumni: Disse grupper er alumniforeninger skabt af skoler eller lærerinstitutioner som et middel til at holde kontakten med fortiden ...

LinkedIn: Sådan oprettes en eksportfil til eksportkontakter - dummier

LinkedIn: Sådan oprettes en eksportfil til eksportkontakter - dummier

Social Media

Der kommer nok en tid du har brug for dine LinkedIn kontakter for at hjælpe dig på andre arenaer, hvis du vil lykkes i din jobsøgning. For det første skal du generere din eksporterede fil af kontakter fra LinkedIn. Det gør du ved at følge disse trin:

LinkedIn For Dummies Cheat Sheet - dummies

LinkedIn For Dummies Cheat Sheet - dummies

Social Media

Tilmelding til LinkedIn betyder, at du er en del af det største online faglige netværk i verden. Se her for nyttige retningslinjer for brug af LinkedIn, især når du søger job. LinkedIn hjælper dig med at oprette og vedligeholde en online profil, du kan bruge til at opbygge et professionelt netværk.

Valg af editor

Windows Phone 7 Application Development For Dummies Cheat Sheet - dummies

Windows Phone 7 Application Development For Dummies Cheat Sheet - dummies

Social Media

Hvis du har en god Ny ide til en app, der vil køre på Windows Phone 7, start med at downloade de gratis Windows Phone Developer Tools fra Microsofts websted. Processen tager et kig på, hvad du har på din pc, før det begynder at downloade - hvis du allerede har en bedre version ...

Hvorfor udvikle til Android? - dummies

Hvorfor udvikle til Android? - dummies

Social Media

Det virkelige spørgsmål er, "Hvorfor ikke udvikle til Android? "Hvis du vil have din app tilgængelig for millioner af brugere over hele verden, eller hvis du vil offentliggøre apps, så snart du er færdig med at skrive og teste dem, eller hvis du kan lide at udvikle på en åben platform, har du dit svar. Men hvis du er ...

Arbejder med objektgrafer i storyboarding - dummies

Arbejder med objektgrafer i storyboarding - dummies

Social Media

Du kan bruge storyboarding til at starte din iOS-applikationsudvikling i Xcode4. Når du opretter dit storyboard, opretter du en objektgraf, der derefter arkiveres, når du gemmer filen. Når du indlæser filen, er objektgrafen unarchived. Så hvad er en objekgraf? Her er det korte svar: Objektorienterede programmer er lavet ...

Valg af editor

Valg af editor

Populære kategorier

© Copyright da.blender3dtutorials.com, 2024 Oktober | Om webstedet | Kontakter | Fortrolighedspolitik.