لقد قمنا بتغطية تصفح الدليل وعناكبته باستخدام وحل التحدي 001 في مختبر OWASP Hackademic المجاني.
تصفح الدليل والإدراج
يمكن للمهاجم ببساطة تصفح جميع الملفات الموجودة داخل المجلدات المتأثرة عندما تكون هناك ثغرة أمنية في قائمة الدليل، والتي تحدث عندما يعرض موقع الويب محتويات أدلةه. يؤدي هذا في كثير من الأحيان إلى الكشف العام عن العناصر الحساسة، بما في ذلك التقارير الداخلية والسجلات والنسخ الاحتياطية وحتى التعليمات البرمجية المصدر للتطبيق.
على غرار المجلد المشترك أو خادم FTP، تعد قائمة الدليل إحدى وظائف خادم الويب التي يمكنها مساعدة المستخدمين في تصفح محتوى موقع الويب. على الرغم من إمكانية تمكين هذه الوظيفة لأسباب وجيهة، إلا أنه يتم تمكينها عن طريق الخطأ في كثير من الأحيان لأنها هي التكوين الافتراضي لخادم الويب. للتأكد من عدم الكشف عن أي أدلة، حالية أو مستقبلية، عليك التفكير في إيقاف تشغيلها للبرنامج بأكمله.
الدورة العملية الكاملة لاختبار اختراق تطبيقات الويب
تجول الفيديو