ウェブサイトの機密ディレクトリとファイル
Hack 9月4日
Webサイトのディレクトリ構造をスキャン、あなたはディレクトリをスキャン、または機密文書をリークすることができるかどうかを確認
-
背景内容:弱いパスワード、ユニバーサルパスワード、ブラスト
-
インストールパッケージ:GETデータベース情報、さらにはウェブサイトのソース
-
アップロードディレクトリ:切り捨て、アップロード写真の馬
-
MySQLの管理インターフェイス:弱いパスワード、ブラスト、ユニバーサルパスワード、そしてズボンオフ、とさえ取得シェル
-
インストールのページ:あなたがインストールして、二次バイパスすることができます
-
phpinfo:あなたが設定されますあらゆる種類の情報が公開
-
編集者:FCK、KE、など
-
IISを使用して、短いファイル:比較的過酷な条件の窓は、Apacheなど
私たちは、robots.txtファイルを言及する必要が敏感なサイトディレクトリと呼ば
robots.txtファイルはプレーンテキストファイルで記述された検索エンジンロボットロボットのために設計されています。私たちは、このファイルにアクセスするためのロボットであることを望んでいないディレクトリサイトを指定することができます。このように、いくつかまたは弊社のウェブサイトの内容の全ては、検索エンジンでインデックス化、または検索エンジンが唯一の指定されたコンテンツが含まれて聞かせすることはできません。私たちができるよう、
当社のウェブサイト上で重要な文書にアクセスすることはできませんGoogleのrobots.txtのロボットを利用するには、GoogleHackは、脅威が存在しなかったでしょう。
次のように書かれたrobots.txtファイルの内容の場合:
User-agent: *
Disallow: /data/
Disallow: /db/
Disallow: /admin/
Disallow: /manager/
Allow:/images/
後者の「許可しない」パラメータは、パスの一部に含まれているロボットを禁止され、例えば、我々はロボットの禁止は、Webサイトのディレクトリのフォルダ内の「データ」ファイルを含めたい場合は、単に禁止するパラメータプラス/データの後ろに/ことができます。あなたが別のディレクトリを追加したい場合は、単純にこの形式を追加していきます。ファイルの準備が完了し、サイトのルートディレクトリにアップロードした後、あなたは離れてGoogleのハックからサイトを作ることができます。
ロボットファイルの目的は、検索スパイダーは保護したいページをクロールしていないようにすることですが、私たちはロボットファイルの内容を知っていれば、その後、私たちはこれらのフォルダの側からのアクセスを防止するためのフォルダ先のサイトを知ることができますが、非常に重要ですの。
先のディレクトリのウェブサイトの背景を検出するためのツールがあります:wwwscan、剣、dirbuster、cansinaなど
ウェブサイトのディレクトリスキャンツール:
ウェブサイトのバックグラウンドスキャンツールは、スキャンの結果がそれ以上に、より多くの辞書を辞書ディレクトリブラストスキャンを使用しています。ツール頻繁に使用されるウェブサイトの剣、dirbusterとWebdirscanをスキャンする背景には、関係なくどのツール、より多くのスキャン何かするためには、強力なカタログ辞書を持っている必要があります!
剣
剣は、ウェブサイトのバックグラウンドスキャンツールを使いやすいグラフィカルなページですが、それは使用するのは簡単です。
dirbuster
DirBusterは、(隠しファイルを含む)のウェブサイトのディレクトリとファイルを検出するために設計されたツールのOWASP(オープンWebアプリケーションセキュリティプロジェクト)の開発です。Javaで書かれているので、コンピュータが実行するためにJDKを装備する必要があります。
コンフィギュレーション
以下の構成インターフェイスを開くには、[オプション] - [詳細オプション]をクリックします
ここではないスキャンファイルの種類を設定することができ、HTTPヘッダ(クッキー......)と同様に、プロキシの設定、タイムアウトリンクの設定、デフォルトのスレッド、辞書、拡張設定を増やし、自動ログインフォームを設定しています
スキャン開始:
スキャンが完了すると、スキャン結果を表示します。あなたがツリーを表示することができます、また、直接があるすべてのページを一覧表示することができます
Webdirscan
どのように使用するには:
python2 webdirscan.py -o 1.txt -t 10 http://www.xx.com # -o 指定输出的文件,-t 指定线程数