Einführung

Wir haben uns mit dem Entdecken und Auflisten von versteckten Inhalten auf jeder Website beschäftigt. Dieser Raum war Teil von TryHackMe Junior Penetrationstester-Pfad.

Zunächst sollten wir uns im Zusammenhang mit der Sicherheit von Webanwendungen fragen, was Inhalt ist. Inhalt kann vieles sein: eine Datei, ein Video, ein Bild, ein Backup, eine Website-Funktion. Wenn wir über die Entdeckung von Inhalten sprechen, sprechen wir nicht über die offensichtlichen Dinge, die wir auf einer Website sehen können; es sind die Dinge, die uns nicht sofort präsentiert werden und die nicht immer für den öffentlichen Zugriff bestimmt waren.

Bei diesen Inhalten kann es sich beispielsweise um für Mitarbeiter vorgesehene Seiten oder Portale, ältere Versionen der Website, Sicherungsdateien, Konfigurationsdateien, Administrationsbereiche usw. handeln.

Es gibt drei Hauptmethoden zum Entdecken von Inhalten auf einer Website, die wir behandeln werden: Manuell, Automatisiert und OSINT (Open-Source Intelligence).

Holen Sie sich Hinweise zum OSCP-Zertifikat

Raumantworten

Welches Verzeichnis in der robots.txt-Datei darf von Webcrawlern nicht angezeigt werden?

Zu welchem Framework gehörte das Favicon?
Wie lautet der Pfad des geheimen Bereichs, der in der Datei sitemap.xml zu finden ist?
Was ist der Flag-Wert aus dem X-FLAG-Header?
Was ist das Flag vom Administrationsportal des Frameworks?
Mit welchem Google-Dork-Operator können nur Ergebnisse einer bestimmten Site angezeigt werden?
Mit welchem Online-Tool lässt sich ermitteln, welche Technologien auf einer Website verwendet werden?
Wie lautet die Website-Adresse der Wayback Machine?
Was ist Git?
In welchem URL-Format enden Amazon S3-Buckets?
Wie lautet der Name des entdeckten Verzeichnisses, das mit „/mo….“ beginnt?

Wie lautet der Name der entdeckten Protokolldatei?

Video-Anleitung

 

 

, ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen