Wie zu erkennen und zu verhindern, dass Directory-Traversal-Hacks

Directory-Traversal ist eine wirklich grundlegende Schwäche, aber es kann wieder auftauchen interessant - manchmal empfindlich - Informationen über ein Web-System, so dass es zu Hacks anfällig. Dieser Angriff besteht darin, die gerade eine Website und auf der Suche nach Hinweisen über die Verzeichnisstruktur des Servers und sensible Dateien, die absichtlich oder unabsichtlich geladen worden sein könnte.

Führen Sie die folgenden Tests Informationen über Ihre Website-Verzeichnisstruktur zu bestimmen.

Crawlers

Eine Spinne Programm, wie der freie HTTrack Website Copier können Ihre Website crawlen für jede öffentlich zugängliche Datei zu suchen. So verwenden Sie HTTrack, es ist einfach zu laden, geben Sie Ihrem Projekt einen Namen, sagen HTTrack die Webseite (n) zu spiegeln, und nach ein paar Minuten, vielleicht Stunden, Sie haben alles, was auf der Website öffentlich zugänglich ist gespeichert auf dem lokalen Laufwerk in c: Eigene Websites.

bild0.jpg

Komplizierte Sites oft mehr Informationen enthüllen, die nicht da sein sollte, einschließlich der alten Datendateien und sogar Anwendungsskripts und Quellcode.

Zwangsläufig, wenn Einschätzungen Web-Sicherheit durchgeführt wird, gibt es in der Regel .Reißverschluss oder .rar Dateien auf Web-Servern. Manchmal enthalten sie Junk, aber oft halten sie sensible Informationen, die nicht da sein sollte für die Öffentlichkeit zu gelangen.

Schauen Sie sich die Ausgabe Ihres Crawling-Programm, um zu sehen, welche Dateien verfügbar sind. Regelmäßige HTML und PDF-Dateien sind wahrscheinlich in Ordnung, weil sie höchstwahrscheinlich für die normale Web-Nutzung erforderlich. Aber es würde nicht schaden, jede Datei zu öffnen, um sicherzustellen, dass es dort gehört und enthält keine sensiblen Informationen, die Sie nicht wollen, mit der Welt zu teilen.

Google

Google kann auch für die Directory-Traversal verwendet werden. Eigentlich, Googles erweiterte Abfragen so mächtig sind, dass man sie auszurotten sensible Informationen, kritische Web-Server Dateien und Verzeichnisse, Kreditkartennummern, Webcams verwenden können - im Grunde alles, was Google auf Ihrer Website gefunden hat - ohne Ihre Website zu spiegeln und mit manuell über alles zu sichten. Es sitzt dort bereits in den Google-Cache warten betrachtet werden.

Im Folgenden sind ein paar erweiterte Google-Abfragen, die Sie direkt in das Google-Suchfeld eingeben kann:

  • Website: Hostname Schlüsselwörter - Diese Abfrage sucht für jedes Keyword Sie Liste, wie zum Beispiel SSN, vertraulich, Kreditkarte, und so weiter. Ein Beispiel wäre:


    Website: principlelogic.com Lautsprecher
  • filetype: File-Extension-Website: Host-Name - Diese Abfrage sucht nach bestimmten Dateitypen auf einer bestimmten Website, wie zum Beispiel doc, pdf, db, dbf, Reißverschluss, und mehr. Diese Dateitypen sind unter Umständen vertrauliche Informationen enthalten. Ein Beispiel wäre:

filetype: pdf Ort: principlelogic.com

Andere erweiterte Google Operatoren gehören die folgenden:

  • allintitle sucht nach Schlüsselwörtern im Titel einer Webseite.

  • inurl sucht nach Schlüsselwörtern in der URL einer Webseite.

  • verbunden findet Seiten ähnlich wie diese Web-Seite.

  • Linkzeigt anderen Websites, die auf diese Seite verlinken.

Eine ausgezeichnete Ressource für Google-Hacking ist Johnny Long Google Hacking Database.

Wenn Sie durch Ihre Website mit Google Sichten, sicher sein, für sensible Informationen über Ihre Server zu suchen, das Netzwerk und Organisation in Google Groups, Das ist das Usenet-Archiv. Wenn Sie etwas finden, das nicht braucht, dort zu sein, können Sie mit Google zusammenarbeiten, um es bearbeitet oder entfernt haben. Weitere Informationen finden Sie unter Google-Kontakt-Seite.

Gegenmaßnahmen gegen Verzeichnis Traversierungen

Sie können drei Hauptgegenmaßnahmen beschäftigen gegen über bösartige Verzeichnis Traversierungen kompromittiert Dateien mit:

  • Speichern Sie nicht alt, einfühlsam, oder sonst nicht öffentliche Dateien auf Ihrem Webserver. Die einzigen Dateien, die in sein sollte, Ihre / htdocs oder DocumentRoot Ordner sind diejenigen, die erforderlich sind, für die Site richtig funktionieren. Diese Dateien sollten keine vertraulichen Informationen enthalten, die Sie nicht wollen, die Welt zu sehen.

  • Konfigurieren Sie Ihren robots.txt Datei auf Suchmaschinen wie Google verhindern, crawlen die empfindlichere Bereiche Ihrer Website.

  • Stellen Sie sicher, dass Ihr Webserver richtig den Zugang der Öffentlichkeit zu ermöglichen, so konfiguriert ist, nur diejenigen Verzeichnisse, die erforderlich sind für die Website zu funktionieren. Mindestrechte sind der Schlüssel hier, so bieten den Zugriff auf die Dateien und Verzeichnisse für die Web-Anwendung benötigt ordnungsgemäß auszuführen.

    Überprüfen Sie Ihren Web-Server in der Dokumentation für Anweisungen über den öffentlichen Zugang zu steuern. Abhängig von Ihrer Web-Server-Version werden diese Zugriffskontrollen gesetzt in

  • Das httpd.conf Datei und die ..htaccess Dateien für Apache.

  • Internet-Informationsdienste-Manager für IIS

Die neuesten Versionen dieser Web-Server verfügen über gute Verzeichnis Sicherheit standardmäßig so, wenn möglich, stellen Sie sicher, dass Sie die neuesten Versionen laufen.

Schließlich betrachten eine Suchmaschine Honeypot verwenden, wie zum Beispiel die Google Hack Honeypot. Ein Honeypot zieht in böswilliger Benutzer, so können Sie die bösen Jungs sehen, wie gegen Ihre Website arbeiten. Dann können Sie das Wissen nutzen, Sie gewinnen sie in Schach zu halten.

» » » » Wie zu erkennen und zu verhindern, dass Directory-Traversal-Hacks