Un sito Web non è solo un'applicazione autonoma. È composto da cartelle, directory e pagine che contengono istruzioni e informazioni per una particolare attività o richiesta. Quando interagisci con un sito web, vieni guidato attraverso una serie di directory. Ma non tutte le directory sono visibili a te; alcuni sono nascosti al pubblico. In che modo gli hacker vengono a conoscenza delle directory nascoste e le sfruttano?

Che cosa sta scoppiando la directory?

Directory bursting (noto anche come directory brute force) è una tecnologia di applicazione Web utilizzata per trovare e identificare possibili directory nascoste nei siti Web. Questo viene fatto con l'obiettivo di trovare directory web dimenticate o non protette per vedere se sono vulnerabili allo sfruttamento.

Come funziona lo scoppio della directory?

Il bursting delle directory viene eseguito utilizzando una combinazione di strumenti automatizzati e una raccolta di script chiamati elenchi di parole. Alcuni di questi strumenti includono Gobuster, Dirb, FFUF, Dirbuster, ecc. Come funziona l'esplosione delle directory?

instagram viewer

Che cos'è una directory?

Una directory è una cartella o una raccolta di file contenenti informazioni. Viene utilizzato per scopi organizzativi e utilizza un sistema gerarchico. Le applicazioni Web sono costituite da molte directory e sottodirectory e queste a loro volta vengono utilizzate per archiviare informazioni come file HTML statici, servlet, file CSS e JavaScript, librerie esterne, immagini, ecc.

Ad esempio, la pagina MakeUseOf di un autore potrebbe leggere "www[dot]makeuseof.com/author/author-name/page/2/" se ci si trova nella seconda pagina del profilo dell'autore. Il nome del sito o della directory principale è "www[dot]makeuseof.com". Ha una sottodirectory che memorizza i profili e le opere degli autori denominata "/author/". Questa directory ha un'altra sottodirectory contenente le opere di quel particolare autore. Quindi, la directory successiva contiene il numero di pagina in cui ti trovi.

Digitare manualmente centinaia di nomi di directory in un sito Web per cercare possibili directory nascoste sarebbe un'attività futile e dispendiosa in termini di tempo. Invece, gli hacker utilizzano strumenti insieme agli elenchi di parole per automatizzare gli attacchi di rottura delle directory. Questi strumenti automatizzati sono generalmente multithread e funzionano fare una richiesta HTTP o HTTPS di ogni nome di file nell'elenco di parole. Se il nome della directory esiste, il codice di risposta e il nome vengono registrati e visualizzati.

Uno strumento di bursting di directory o di forza bruta è valido solo quanto l'elenco di parole. Un elenco di parole, come suggerisce il nome, è solitamente un file .txt che contiene migliaia di possibili nomi di directory e file che devono essere scansionati dallo strumento di forzatura bruta delle directory. C'è un numero enorme di elenchi di parole disponibili su Internet e anche molti strumenti per l'esplosione di directory sono integrati.

Per forzare le directory di un sito Web, è necessario l'URL del sito Web e un elenco di parole. Alcuni strumenti di bursting di directory forniscono opzioni come velocità, estensioni di file o consentono di specificare il livello di directory da scansionare o nascondere parole specifiche.

Come proteggere il tuo sito Web dall'esplosione di directory

L'esplosione di directory o la forza bruta di per sé non è dannosa, poiché enumera solo le directory nascoste che potresti avere sul tuo sito web. Sono le informazioni che un hacker potrebbe trovare in quelle directory che creano vulnerabilità nel tuo sito web. Se memorizzi informazioni sensibili come codice sorgente o database nelle directory senza imporre le autorizzazioni appropriate, gli hacker potrebbero sfruttarle.

E chiunque può essere vulnerabile: anche Il codice sorgente di Microsoft è trapelato!

La vulnerabilità più comune che potrebbe derivare dall'esplosione di directory è la vulnerabilità di attraversamento della directory o del percorso. Questa vulnerabilità consente a un hacker di accedere a file e directory che normalmente non dovrebbero avere l'autorizzazione per farlo. Con l'attraversamento delle directory, gli hacker sono in grado di leggere e talvolta riscrivere file arbitrari sull'applicazione web. Lo fanno aumentando i privilegi dai privilegi utente ai privilegi di root.

Ecco alcuni suggerimenti per proteggere i tuoi siti Web da vulnerabilità di rottura delle directory:

  • Applica i permessi di file e directory.
  • Convalida sempre gli utenti e input dell'utente.
  • Mantieni aggiornati i tuoi server e l'infrastruttura dietro di essi.

La forzatura bruta delle directory non solo identifica le directory nascoste nel tuo sito web, ma fornisce anche informazioni sulla struttura del tuo sito web⁠, informazioni che potrebbero rivelarsi utili per un hacker esperto.

Directory Bursting e Hacking Etico

Gli hacker etici utilizzano strumenti di rottura delle directory per mitigare le vulnerabilità prima che un criminale informatico le trovi. Il bursting delle directory è importante nella fase di enumerazione di un test di penetrazione web e può migliorare il sicurezza di un sito web trovando informazioni su un servizio web che non dovrebbe essere accessibile al pubblico e rimuovendoli.

Che cos'è il test di penetrazione e in che modo migliora la sicurezza della rete?

Leggi Avanti

CondividereTwittaCondividereE-mail

Argomenti correlati

  • Sicurezza
  • Internet
  • Sicurezza in linea
  • Hacking

Circa l'autore

Chioma Ibeakanma (22 articoli pubblicati)

Chioma è una scrittrice tecnica che ama comunicare ai suoi lettori attraverso la sua scrittura. Quando non scrive qualcosa, può essere trovata in giro con gli amici, fare volontariato o provare nuove tendenze tecnologiche.

Altro da Chioma Ibeakanma

Iscriviti alla nostra Newsletter

Iscriviti alla nostra newsletter per suggerimenti tecnici, recensioni, ebook gratuiti e offerte esclusive!

Clicca qui per iscriverti