大纲:
一、目录扫描的作用
二、常见的目录信息泄露
三、常见的源码泄露案例
四、目录扫描工具 – dirbuster
一:目录扫描的作用
Q:目录扫描是什么?
A:为实现“按名存取”,必须建立文件名与辅存空间中物理地址的对应关系,体现这种对应关系的数据结构称为文件目录
Q:目录扫描的作用是什么?
A:可以让我们发现这个网站存在多少个目录,多少个页面,探索出网站的整体结构。
扫描敏感文件,后台文件,数据库文件,和信息泄露文件,等等。
是信息收集的重要部分
二:常见的目录信息泄露
Q:目录遍历漏洞是什么?
A:目录遍历(路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令
Q:目录遍历漏洞原理是什么?
A:程序在实现上没有充分过滤用户输入的…/之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件
Q:什么是敏感信息泄露?
A:由于后台人员的疏忽或者不当的设计,导致不应该被前端用户看到的数据被轻易的访问到
【eg:1、通过访问url下的目录,可以直接列出目录下的文件列表;
2、输入错误的url参数后报错信息里面包含操作系统、中间件、开发语言的版本或其他信息;(sql注入)
3、前端的源码(html,css,js)里面包含了敏感信息,比如后台登录地址、内网接口信息、甚至账号密码等;】
三:常见的源码泄露案例
目录遍历:当没有默认网页时,在网站上显示Web服务器显示用户列表中的文件和目录。因此,在apahce服务器上面默认文件名为Index.php,当没有上传index.php时,服务器就会将文件夹中的内容全部展示出来。
【eg:实例:
1、攻击者浏览目录并访问Web应用程序的源代码,备份和可能的数据库文件
2、源码泄露案例: http://www.sohu.com/a/192064346_653604】
四:目录扫描工具 – dirbuster
Q:常见的目录扫描方式有哪些?
A:1、 robots.txt(网站内的robots文件)
2、目录爆破(御剑 nikto dirbuster Webdirscan …)
3、第三方资源引用(Js SDK )
工具说明:Owasp项目DirBuster是一个多线程的基于Java的应用程序设计用于暴力破解Web 应用服务器上的目录名和文件名的工具 。
Q:它是如何工作的
A:Dirbuster是一种履带式和粗暴式的混合物; 它遵循它找到的页面中的所有链接,但也为可能的文件尝试不同的名称。这些名称可能位于与我们使用的文件类似的文件中,也可能由Dirbuster使用Pure Brute Force选项自动生成,并设置字符集以及生成的单词的最小和最大长度。
为确定文件是否存在,DirBuster使用服务器的响应代码。最常见的响应如下所示:
200 ok:文件存在
404找不到404文件:服务器中不存在该文件
301 301永久移动:这是重定向到给定的URL
401 Unauthorized:访问此文件需要身份验证
403 Forbidden:请求有效但服务器拒绝响应
【DirBuster,他是用来探测web目录结构和隐藏的敏感文件的】