Hjem Personlig finansiering Sådan registreres og forhindrer Directory Traversal Hacks - dummies

Sådan registreres og forhindrer Directory Traversal Hacks - dummies

Indholdsfortegnelse:

Video: The Third Industrial Revolution: A Radical New Sharing Economy 2025

Video: The Third Industrial Revolution: A Radical New Sharing Economy 2025
Anonim

Directory traversal er en virkelig grundlæggende svaghed, men det kan vise sig interessant - nogle gange følsomt - information om et websystem, hvilket gør det udsat for hacks. Dette angreb indebærer at gennemse et websted og kigge efter spor om serverens katalogstruktur og følsomme filer, der muligvis er blevet indlæst forsætligt eller utilsigtet.

Udfør følgende tests for at bestemme oplysninger om dit websites katalogstruktur.

Crawlers

Et edderkopsprogram, som f.eks. Den gratis HTTrack-web-kopimaskine, kan gennemgå dit websted for at søge efter alle offentligt tilgængelige filer. Hvis du vil bruge HTTrack, skal du blot indlæse det, give dit projekt et navn, fortæl HTTrack, hvilke hjemmesider der skal afspejles, og efter et par minutter, muligvis timer, har du alt, der er offentligt tilgængeligt på det websted, der er gemt på dit lokale drev i c: Mine hjemmesider.

Komplicerede websteder afslører ofte flere oplysninger, der ikke burde være der, herunder gamle datafiler og lige applikationsskripter og kildekode.

Der er uundgåeligt, når der udføres websikkerhedsvurderinger, der normalt. lynlås eller. rar filer på webservere. Nogle gange indeholder de uønsket, men de rummer ofte følsomme oplysninger, der ikke bør være tilgængelige for offentligheden.

Se på udgangen af ​​dit gennemgangsprogram for at se, hvilke filer der er tilgængelige. Regelmæssige HTML- og PDF-filer er sandsynligvis okay, fordi de sandsynligvis er nødvendige for normal brug af nettet. Men det ville ikke skade for at åbne hver fil for at sikre, at den tilhører der og indeholder ikke følsomme oplysninger, du ikke vil dele med verden.

Google

Google kan også bruges til mappeoverskridelse. Faktisk er Googles avancerede forespørgsler så kraftfulde, at du kan bruge dem til at udrydde følsomme oplysninger, vigtige webserverfiler og biblioteker, kreditkortnumre, webkameraer - stort set alt, hvad Google har opdaget på dit websted - uden at skulle spejle dit websted og sigt gennem alt manuelt. Den sidder allerede der i Googles cache og venter på at blive vist.

Følgende er et par avancerede Google-forespørgsler, som du kan indtaste direkte i Google-søgefeltet:

  • websted: værtsnavn søgeord - Denne forespørgsel søger efter ethvert søgeord, du lister, som f.eks. SSN <, fortroligt , kreditkort, og så videre. Et eksempel ville være: websted: www. principlelogic. com-højttaler

    filetype: filtypenavn: værtsnavn

  • - Denne forespørgsel søger efter bestemte filtyper på et bestemt websted, f.eks. doc, pdf, db, dbf, zip og meget mere.Disse filtyper kan indeholde følsomme oplysninger. Et eksempel ville være: filetype: pdf site: www. principlelogic. com

Andre avancerede Google-operatører omfatter følgende:

allintitle

  • søger efter nøgleord i titlen på en webside. inurl

  • søger efter nøgleord i webadressen på en webside. relateret

  • finder sider, der ligner denne webside. link

  • viser andre websteder, der linker til denne webside. En fremragende ressource til Google hacking er Johnny Longs Google Hacking Database.

Når du siver gennem dit websted med Google, skal du sørge for at finde følsomme oplysninger om dine servere, netværk og organisation i Google Grupper, som er Usenet-arkivet. Hvis du finder noget, der ikke behøver at være der, kan du arbejde med Google for at få det redigeret eller fjernet. Du kan finde flere oplysninger på Googles Kontakt os side.

Modforanstaltninger mod katalogoverskridelser

Du kan anvende tre vigtigste modforanstaltninger mod at få filer kompromitteret via ondsindede katalogoverskridelser:

Gem ikke gamle følsomme eller ellers ikke-offentlige filer på din webserver.

  • De eneste filer, der skal være i mappen / htdocs eller DocumentRoot, er dem, der er nødvendige for, at webstedet fungerer korrekt. Disse filer bør ikke indeholde fortrolige oplysninger, som du ikke vil have verden til at se. Konfigurer dine

  • robotter. txt fil for at forhindre, at søgemaskiner, som Google, gennemgår de mere følsomme områder på dit websted. Sørg for, at din webserver er konfigureret korrekt til at tillade offentlig adgang til kun de mapper, der er nødvendige for, at webstedet skal fungere.

  • Minimumsrettigheder er nøgle her, så giver adgang til kun de filer og mapper, der er nødvendige for, at webapplikationen kan udføres korrekt. Tjek din webserverens dokumentation for at få instruktioner om at kontrollere adgangen til offentligheden. Afhængigt af din webserverversion er disse adgangskontroller angivet i

    httpd. conf fil og. htaccess-filer til Apache.

    • Internet Information Services Manager til IIS

    • De nyeste versioner af disse webservere har som standard god bibliotekssikkerhed, så sørg for, at du kører de nyeste versioner.

Endelig overveje at bruge en søgemaskine honeypot, såsom Google Hack Honeypot. En honeypot trækker i ondsindede brugere, så du kan se, hvordan de onde arbejder på dit websted. Derefter kan du bruge den viden, du får til at holde dem i skak.

Sådan registreres og forhindrer Directory Traversal Hacks - dummies

Valg af editor

Valg af editor

Relaterer kernevidenskaben til PHR / SPHR-eksamensmålene

Relaterer kernevidenskaben til PHR / SPHR-eksamensmålene

Social Media

Planlægning af PHR eller SPHR-eksamen - dummies

Planlægning af PHR eller SPHR-eksamen - dummies

Social Media

Efter ansøgning om at tage PHR- eller SPHR-eksamen og din ansøgning er blevet godkendt, og du har modtaget e-mail til autorisation til test (ATT), er du nu ryddet for at planlægge, når du vil tage eksamen. Både PHR- og SPHR-eksamenerne administreres via Prometric. Kvitteringssiden for din ansøgningsbetaling vil have ...

Er du afhængig af erfaring, når du tager PHR / SPHR-eksamenerne - dummier

Er du afhængig af erfaring, når du tager PHR / SPHR-eksamenerne - dummier

Social Media

Både PHR og SPHR eksamener er baseret på erfaring præstationer, ikke rote memorization. Som følge heraf er det urimeligt at forvente, at et eksamensforberedelsessystem helt vil forberede dig til at tage disse test. Se kernekendskabskravene (CKR) områder gennem filteret baseret på din oplevelse. Hvis du mangler et hvilket som helst område, ...

Valg af editor

Genveje til flytning af cellemarkøren i Excel 2007 - dummies

Genveje til flytning af cellemarkøren i Excel 2007 - dummies

Social Media

Microsoft Office Excel 2007 tilbyder en bred vifte af tastaturgenveje til valg af en ny celle. Når du bruger en af ​​disse tastetryk, rulle programmet automatisk til en ny del af regnearket, hvis det er nødvendigt at flytte markøren. Du finder disse tastetryk og deres handlinger i den følgende tabel. Tastetryk ...

Genveje til flytning af cellep cursoren i Excel 2010 - dummies

Genveje til flytning af cellep cursoren i Excel 2010 - dummies

Social Media

Microsoft Office Excel 2010 tilbyder en bred vifte af tastaturgenveje til valg af en ny celle. Når du bruger en af ​​disse tastetryk, rulle Excel 2010 automatisk til en ny del af regnearket, hvis det er nødvendigt at flytte markøren. Du finder disse tastetryk og deres handlinger i den følgende tabel. Tastetryk ...

Vis og skjul Pivot Table Data Items på dine rapporter - dummies

Vis og skjul Pivot Table Data Items på dine rapporter - dummies

Social Media

En Excel pivottabel opsummerer og viser i en rapport alle poster i din kildedatabord. Der kan dog være situationer, når du vil hæmme visse dataposter fra at blive inkluderet i din pivottabeloversigt. I disse situationer kan du vælge at skjule et dataelement. Med hensyn til pivottabeller ...

Valg af editor

Hvad QuarkXPress Does - dummies

Hvad QuarkXPress Does - dummies

Social Media

QuarkXPress er et side layout program. For at opbygge en side tegner du et par kasser (containere) og udfylder dem med indhold (tekst, billeder og andre ting). Tilføj et par regler (linjer) og rammer (billedkanter), og du har et layout. Hvis du er smart, knytter du din side til en masterside (som indeholder elementer som ...

Indstilling af Norton Parental Control - dummies

Indstilling af Norton Parental Control - dummies

Social Media

Børnesikkerhed er et stort problem overalt, men onlineverdenen præsenterer særlige udfordringer i form af virtuelle bogeymen, faldgruber, og den slags websteder, der kan forstyrre eller fortryde en moden voksen. Forældrekontrol i Norton Internet Security er en måde for dig at definere grænserne for dit barns onlineverden, ...

Indstilling af talegenkendelse i Word 2002 - dummies

Indstilling af talegenkendelse i Word 2002 - dummies

Social Media

Ordet er fuldt talekvalificeret software, men du skal sæt det op først; Talegenkendelse er ikke installeret, før du aktiverer den. Så hold cd'en (eller Microsoft Office) praktisk. På hardware-siden har din computer brug for en mikrofon, som f.eks. En af disse headsetmikrofoner, som du kan finde hos de fleste kontorforretninger. ...

Valg af editor

Valg af editor

Populære kategorier

© Copyright da.blender3dtutorials.com, 2025 Januar | Om webstedet | Kontakter | Fortrolighedspolitik.