Directory Bursting چیست و چگونه کار می کند؟

ترکیدن دایرکتوری به خودی خود مضر نیست، اما می تواند منجر به آسیب پذیری ها شود. در اینجا چیزی است که شما باید بدانید.

یک وب سایت فقط یک برنامه مستقل نیست. این شامل پوشه ها، دایرکتوری ها و صفحاتی است که دستورالعمل ها و اطلاعاتی را برای یک کار یا درخواست خاص حمل می کنند. هنگامی که با یک وب سایت تعامل دارید، از طریق یک سری دایرکتوری هدایت می شوید. اما همه دایرکتوری ها برای شما قابل مشاهده نیستند. برخی از مردم پنهان هستند. چگونه هکرها با دایرکتوری های مخفی آشنا می شوند و از آنها سوء استفاده می کنند؟

دایرکتوری انفجار چیست؟

دایرکتوری انفجار (همچنین به عنوان اجباری دایرکتوری شناخته می شود) یک فناوری کاربردی وب است که برای یافتن و شناسایی دایرکتوری های پنهان احتمالی در وب سایت ها استفاده می شود. این کار با هدف یافتن دایرکتوری های وب فراموش شده یا ناامن انجام می شود تا ببینیم آیا آنها در برابر سوء استفاده آسیب پذیر هستند یا خیر.

دایرکتوری Bursting چگونه کار می کند؟

دایرکتوری انفجاری با استفاده از ترکیبی از ابزارهای خودکار و مجموعه‌ای از اسکریپت‌ها به نام فهرست‌های کلمات انجام می‌شود. برخی از این ابزارها عبارتند از Gobuster، Dirb، FFUF، Dirbuster و غیره.

دایرکتوری چیست؟

دایرکتوری پوشه یا مجموعه ای از فایل های حاوی اطلاعات است. برای اهداف سازمانی استفاده می شود و از یک سیستم سلسله مراتبی استفاده می کند. برنامه های کاربردی وب از دایرکتوری ها و زیرمجموعه های زیادی تشکیل شده اند و به نوبه خود برای ذخیره اطلاعاتی مانند فایل های HTML ایستا، سرولت ها، فایل های CSS و جاوا اسکریپت، کتابخانه های خارجی، تصاویر و غیره استفاده می شوند.

مطلب مرتبط: 50 ابزار و منبع برای ایده های هدیه کریسمس

به عنوان مثال، صفحه MakeUseOf یک نویسنده می تواند “www[dot]makeuseof.com/author/author-name/page/2/” را بخواند، اگر در صفحه دوم نمایه نویسنده بودید. نام سایت یا دایرکتوری ریشه “www[dot]makeuseof.com” است. یک زیرشاخه دارد که نمایه ها و آثار نویسندگان را با نام “/author/” ذخیره می کند. این فهرست دارای زیرشاخه دیگری است که شامل آثار آن نویسنده خاص است. سپس، فهرست بعدی حاوی شماره صفحه ای است که در آن قرار دارید.

دایرکتوری انفجار ابزار و فهرست کلمات

تایپ دستی صدها نام دایرکتوری در یک وب سایت برای اسکن دایرکتوری های پنهان احتمالی کاری زمان بر و بیهوده خواهد بود. در عوض، هکرها از ابزارهایی در کنار لیست کلمات برای خودکارسازی حملات انفجاری دایرکتوری استفاده می کنند. این ابزارهای خودکار معمولاً چند رشته ای هستند و با درخواست HTTP یا HTTPS برای نام هر فایل در فهرست کلمات کار می کنند. اگر نام دایرکتوری وجود داشته باشد، کد پاسخ و نام ضبط و نشان داده می شود.

ابزار انفجاری دایرکتوری یا brute-forcing تنها به خوبی فهرست کلمات است. فهرست کلمات، همانطور که از نام آن پیداست، معمولاً یک فایل txt. است که حاوی هزاران نام احتمالی دایرکتوری ها و فایل هایی است که باید توسط ابزار brute-forcing دایرکتوری اسکن شوند. تعداد زیادی فهرست کلمات در اینترنت موجود است، و بسیاری از ابزارهای پراکنده دایرکتوری با ابزارهای داخلی نیز عرضه می شوند.

برای بیرحمی کردن دایرکتوری های یک وب سایت، به URL وب سایت و یک لیست کلمات نیاز دارید. برخی از ابزارهای انفجار فهرست گزینه‌هایی مانند سرعت، پسوند فایل را ارائه می‌دهند یا به شما اجازه می‌دهند تا مشخص کنید چه سطحی از دایرکتوری‌ها را اسکن کنید یا کلمات خاصی را پنهان کنید.

مطلب مرتبط: برنامه های سلامت و تناسب اندام حریم خصوصی شما را نقض می کنند: چگونه از خود محافظت کنیم

چگونه از وب سایت خود در برابر انفجار دایرکتوری محافظت کنید

پارگی دایرکتوری یا brute-forcing به خودی خود مضر نیست، زیرا فقط دایرکتوری های پنهانی را که ممکن است در وب سایت خود داشته باشید برمی شمرد. این اطلاعاتی است که یک هکر ممکن است در آن دایرکتوری ها پیدا کند که آسیب پذیری هایی را در وب سایت شما ایجاد می کند. اگر اطلاعات حساسی مانند کد منبع یا پایگاه های داده را بدون اعمال مجوزهای مناسب در دایرکتوری ها ذخیره کنید، هکرها می توانند از آن سوء استفاده کنند.

و هر کسی می تواند آسیب پذیر باشد: حتی کد منبع مایکروسافت لو رفت!

رایج ترین آسیب پذیری که ممکن است از ترکیدن دایرکتوری ایجاد شود، آسیب پذیری دایرکتوری یا پیمایش مسیر است. این آسیب‌پذیری به هکرها اجازه می‌دهد به فایل‌ها و دایرکتوری‌هایی دسترسی داشته باشند که معمولاً نباید اجازه این کار را داشته باشند. با پیمایش دایرکتوری، هکرها قادر به خواندن و گاهی اوقات بازنویسی فایل های دلخواه در برنامه وب هستند. آنها این کار را با افزایش امتیازات از امتیازات کاربر به امتیازات root انجام می دهند.

در اینجا چند نکته برای محافظت از وب سایت های خود در برابر آسیب پذیری های ترکیدن دایرکتوری وجود دارد:

مجوزهای فایل و دایرکتوری را اعمال کنید.
همیشه کاربران و ورودی کاربر را تأیید کنید.
سرورهای خود و زیرساخت های موجود در پشت آنها را به روز نگه دارید.

دایرکتوری brute-forcing نه تنها دایرکتوری های پنهان در وب سایت شما را شناسایی می کند، بلکه اطلاعاتی را در مورد ساختار وب سایت شما ارائه می دهد – اطلاعاتی که می تواند برای یک هکر ماهر مفید باشد.

مطلب مرتبط: 3 روشی که Airbnb امیدوار است مردم را در سال 2022 دوباره به سفر برساند

هک کردن دایرکتوری و اخلاقی

هکرهای اخلاقی از ابزارهای انفجار فهرست برای کاهش آسیب پذیری ها قبل از اینکه مجرم سایبری آنها را پیدا کند، استفاده می کنند. انفجار دایرکتوری در مرحله شمارش تست نفوذ وب مهم است و می تواند امنیت یک وب سایت را با یافتن اطلاعاتی در یک وب سرویس که نباید در دسترس عموم باشد و حذف آنها بهبود بخشد.

Tags: امنیت آنلاین هک کردن