/ / Directory Bursting là gì và nó hoạt động như thế nào?

Directory Bursting là gì và nó hoạt động như thế nào?

Một trang web không chỉ là một ứng dụng độc lập. Nó bao gồm các thư mục, thư mục và các trang chứa các hướng dẫn và thông tin cho một nhiệm vụ hoặc yêu cầu cụ thể. Khi bạn tương tác với một trang web, bạn được dẫn qua một loạt các thư mục. Nhưng không phải tất cả các thư mục đều hiển thị cho bạn; một số bị ẩn khỏi công chúng. Làm thế nào để tin tặc biết về các thư mục ẩn và khai thác chúng?

Directory Bursting là gì?

Thư mục bùng nổ (còn được gọi là cưỡng bức thư mục) là một công nghệ ứng dụng web được sử dụng để tìm và xác định các thư mục ẩn có thể có trong các trang web. Điều này được thực hiện với mục đích tìm kiếm các thư mục web bị lãng quên hoặc không an toàn để xem liệu chúng có dễ bị khai thác hay không.

Directory Bursting hoạt động như thế nào?

Việc bùng nổ thư mục được thực hiện bằng cách sử dụng kết hợp các công cụ tự động và một bộ sưu tập các tập lệnh được gọi là danh sách từ. Một số công cụ này bao gồm Gobuster, Dirb, FFUF, Dirbuster, v.v. Làm thế nào để bùng nổ thư mục hoạt động?

Thư mục là gì?


thư mục web

Thư mục là một thư mục hoặc tập hợp các tệp chứa thông tin. Nó được sử dụng cho các mục đích tổ chức và sử dụng một hệ thống phân cấp. Các ứng dụng web được tạo thành từ nhiều thư mục và thư mục con và những thư mục này lần lượt được sử dụng để lưu trữ thông tin như tệp HTML tĩnh, servlet, tệp CSS và JavaScript, thư viện bên ngoài, hình ảnh, v.v.

Ví dụ: trang smartreviewaz của một tác giả có thể đọc “www[dot]smartreviewaz.com/author/author-name/page/2/ “nếu bạn đang ở trang thứ hai của hồ sơ tác giả. Tên của trang web hoặc thư mục gốc là” www[dot]smartreviewaz.com “. Nó có một thư mục con lưu trữ hồ sơ tác giả và tác phẩm có tên” / author / “. Thư mục này có một thư mục con khác chứa các tác phẩm của tác giả cụ thể đó. Sau đó, thư mục tiếp theo chứa số trang bạn đang xem.

LÀM VIDEO TRONG NGÀY

Directory Bursting Tools và Wordlists

Nhập thủ công hàng trăm tên thư mục vào một trang web để quét các thư mục ẩn có thể có sẽ là một công việc tốn thời gian và vô ích. Thay vào đó, tin tặc sử dụng các công cụ cùng với danh sách từ để tự động hóa các cuộc tấn công bùng nổ thư mục. Các công cụ tự động này thường đa luồng và hoạt động bằng cách đưa ra yêu cầu HTTP hoặc HTTPS của mỗi tên tệp trong danh sách từ. Nếu tên thư mục tồn tại, mã phản hồi và tên sẽ được ghi lại và hiển thị.

Công cụ phá vỡ thư mục hoặc công cụ cưỡng bức chỉ tốt như danh sách từ. Danh sách từ, như tên của nó, thường là một tệp .txt có chứa hàng nghìn tên thư mục và tệp có thể được quét bởi công cụ brute-cưỡng chế thư mục. Có một số lượng lớn danh sách từ có sẵn trên internet và nhiều công cụ giải nén thư mục cũng đi kèm với những công cụ tích hợp sẵn.

Để bắt buộc các thư mục của trang web, bạn cần URL của trang web và một danh sách từ. Một số công cụ bùng nổ thư mục cung cấp các tùy chọn như tốc độ, phần mở rộng tệp hoặc cho phép bạn chỉ định cấp thư mục để quét hoặc ẩn các từ cụ thể.

Cách bảo vệ trang web của bạn khỏi sự bùng nổ của thư mục


ffuf-firectory-bursting

Bản thân việc bùng nổ hoặc brute-ép thư mục không có hại, vì nó chỉ liệt kê các thư mục ẩn mà bạn có thể có trên trang web của mình. Chính thông tin mà một hacker có thể tìm thấy trong các thư mục đó sẽ tạo ra các lỗ hổng trong trang web của bạn. Nếu bạn lưu trữ thông tin nhạy cảm như mã nguồn hoặc cơ sở dữ liệu trong thư mục mà không thực thi quyền thích hợp, tin tặc sẽ có thể khai thác thông tin đó.


Và bất kỳ ai cũng có thể dễ bị tấn công: ngay cả mã nguồn của Microsoft cũng bị rò rỉ!

Lỗ hổng phổ biến nhất có thể phát sinh do nổ thư mục là lỗ hổng truyền tải thư mục hoặc đường dẫn. Lỗ hổng này cho phép tin tặc truy cập vào các tệp và thư mục mà họ thường không được phép làm như vậy. Với tính năng truyền qua thư mục, tin tặc có thể đọc và đôi khi viết lại các tệp tùy ý trên ứng dụng web. Họ thực hiện điều này bằng cách nâng cấp các đặc quyền từ đặc quyền của người dùng sang đặc quyền của người chủ.

Dưới đây là một số mẹo để bảo vệ trang web của bạn khỏi các lỗ hổng bảo mật do phá vỡ thư mục:

  • Thực thi quyền đối với tệp và thư mục.
  • Luôn xác thực người dùng và đầu vào của người dùng.
  • Luôn cập nhật các máy chủ của bạn và cơ sở hạ tầng.

Directory brute-force không chỉ xác định các thư mục ẩn trong trang web của bạn mà còn cung cấp thông tin về cấu trúc trang web của bạn⁠ — thông tin có thể chứng minh là hữu ích đối với một tin tặc lành nghề.

Bùng nổ thư mục và tấn công đạo đức

Các hacker có đạo đức sử dụng các công cụ phá vỡ thư mục để giảm thiểu các lỗ hổng trước khi tội phạm mạng tìm thấy chúng. Việc bùng nổ thư mục rất quan trọng trong giai đoạn liệt kê của thử nghiệm thâm nhập web và nó có thể cải thiện tính bảo mật của trang web bằng cách tìm kiếm thông tin trên một dịch vụ web mà công chúng không thể truy cập được và xóa chúng.


Người sử dụng hai máy tính xách tay

Kiểm tra thâm nhập là gì và nó cải thiện an ninh mạng như thế nào?

Đọc tiếp


Giới thiệu về tác giả

6102c7ad58af3 IMG 20210603 180035 (1)

Chioma Ibeakanma
(22 bài báo đã xuất bản)

Chioma là một nhà văn chuyên viết về kỹ thuật, người thích giao tiếp với độc giả thông qua bài viết của mình. Khi cô ấy không viết gì đó, cô ấy có thể được tìm thấy đang đi chơi với bạn bè, hoạt động tình nguyện hoặc thử các xu hướng công nghệ mới.

Xem thêm từ Chioma Ibeakanma

Bài viết liên quan:

  1. Tại sao người đam mê âm thanh yêu thích loa cổ điển
  2. Cách tạo hiệu ứng Bokeh với máy ảnh của bạn: 5 mẹo
  3. 4 Ý tưởng Đường dài cho Ngày Lễ tình nhân
  4. 8 tiện ích bổ sung không gian làm việc tốt nhất của Google để quản lý tác vụ

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *