ウェブサイトの機密ディレクトリとファイル

その他 2020-03-26 17:25:10 訪問数: null

ウェブサイトの機密ディレクトリとファイル

Hack 9月4日


Webサイトのディレクトリ構造をスキャン、あなたはディレクトリをスキャン、または機密文書をリークすることができるかどうかを確認

  • 背景内容:弱いパスワード、ユニバーサルパスワード、ブラスト

  • インストールパッケージ:GETデータベース情報、さらにはウェブサイトのソース

  • アップロードディレクトリ:切り捨て、アップロード写真の馬

  • MySQLの管理インターフェイス:弱いパスワード、ブラスト、ユニバーサルパスワード、そしてズボンオフ、とさえ取得シェル

  • インストールのページ:あなたがインストールして、二次バイパスすることができます

  • phpinfo:あなたが設定されますあらゆる種類の情報が公開

  • 編集者:FCK、KE、など

  • IISを使用して、短いファイル:比較的過酷な条件の窓は、Apacheなど

私たちは、robots.txtファイルを言及する必要が敏感なサイトディレクトリと呼ば

 

robots.txtファイルはプレーンテキストファイルで記述された検索エンジンロボットロボットのために設計されています。私たちは、このファイルにアクセスするためのロボットであることを望んでいないディレクトリサイトを指定することができます。このように、いくつかまたは弊社のウェブサイトの内容の全ては、検索エンジンでインデックス化、または検索エンジンが唯一の指定されたコンテンツが含まれて聞かせすることはできません。私たちができるよう、

当社のウェブサイト上で重要な文書にアクセスすることはできませんGoogleのrobots.txtのロボットを利用するには、GoogleHackは、脅威が存在しなかったでしょう。

次のように書かれたrobots.txtファイルの内容の場合:

  •  
  •  
  •  
  •  
  •  
  •  
User-agent: *Disallow: /data/Disallow: /db/Disallow: /admin/Disallow: /manager/Allow:/images/

 

 

後者の「許可しない」パラメータは、パスの一部に含まれているロボットを禁止され、例えば、我々はロボットの禁止は、Webサイトのディレクトリのフォルダ内の「データ」ファイルを含めたい場合は、単に禁止するパラメータプラス/データの後ろに/ことができます。あなたが別のディレクトリを追加したい場合は、単純にこの形式を追加していきます。ファイルの準備が完了し、サイトのルートディレクトリにアップロードした後、あなたは離れてGoogleのハックからサイトを作ることができます。

 

ロボットファイルの目的は、検索スパイダーは保護したいページをクロールしていないようにすることですが、私たちはロボットファイルの内容を知っていれば、その後、私たちはこれらのフォルダの側からのアクセスを防止するためのフォルダ先のサイトを知ることができますが、非常に重要ですの。

 

先のディレクトリのウェブサイトの背景を検出するためのツールがあります:wwwscan、剣、dirbuster、cansinaなど

ウェブサイトのディレクトリスキャンツール:

ウェブサイトのバックグラウンドスキャンツールは、スキャンの結果がそれ以上に、より多くの辞書を辞書ディレクトリブラストスキャンを使用しています。ツール頻繁に使用されるウェブサイトの剣、dirbusterとWebdirscanをスキャンする背景には、関係なくどのツール、より多くのスキャン何かするためには、強力なカタログ辞書を持っている必要があります!

剣は、ウェブサイトのバックグラウンドスキャンツールを使いやすいグラフィカルなページですが、それは使用するのは簡単です。

dirbuster

DirBusterは、(隠しファイルを含む)のウェブサイトのディレクトリとファイルを検出するために設計されたツールのOWASP(オープンWebアプリケーションセキュリティプロジェクト)の開発です。Javaで書かれているので、コンピュータが実行するためにJDKを装備する必要があります。

コンフィギュレーション

以下の構成インターフェイスを開くには、[オプション] - [詳細オプション]をクリックします

ここではないスキャンファイルの種類を設定することができ、HTTPヘッダ(クッキー......)と同様に、プロキシの設定、タイムアウトリンクの設定、デフォルトのスレッド、辞書、拡張設定を増やし、自動ログインフォームを設定しています

スキャン開始:

スキャンが完了すると、スキャン結果を表示します。あなたがツリーを表示することができます、また、直接があるすべてのページを一覧表示することができます

 

Webdirscan

どのように使用するには:

  •  
python2 webdirscan.py -o 1.txt -t 10 http://www.xx.com       # -o 指定输出的文件,-t 指定线程数

 

パンウェン
公開された117元の記事 ウォン称賛41 ビュー60000 +
プライベートの手紙の 懸念

おすすめ

転載: blog.csdn.net/pangzhaowen/article/details/102912353
おすすめ
Face Wall Intelligence が Eurux-8x22B オープンソース大型モデルをリリース - 「科学のチャンピオン」と呼ぶにふさわしいモデル
Kaiyuan Daily | Google は、Hongmeng のオープンソース Android 携帯電話を Docker がサポート、オープンプラットフォームを閉鎖。
ランキング
Swiper を使用する際の落とし穴、どの落とし穴に陥りましたか?
データ構造基盤のリンクリスト(1)
Vue3 は Excel のアップロードと JSON データへの解析を実装し、自動ダウンロード用の JSON ファイルを生成します。
LG4721 [テンプレート]パーティションFFT
C ++のコンストラクタとデストラクタの実行順序
c3新特性多列
ライブラリのリソース
Unityエディタの拡張機能? PropertyDrawerとは何ですか? カスタムスクリプト変数のプロット?
2つのノード間のパスを見つけるのNeo4j
Linuxのnginxのを使用してCDNサーバの設定を行います
アーカイブ
もっと
2024-05-06(6)
2024-05-05(0)
2024-05-04(18)
2024-05-03(8)
2024-05-02(0)
2024-05-01(4)
2024-04-30(35)
2024-04-29(5)
2024-04-28(12)
2024-04-27(29)

コードワールド

© 2018 codetd.com