Einführung
Wir haben uns mit dem Entdecken und Auflisten von versteckten Inhalten auf jeder Website beschäftigt. Dieser Raum war Teil von TryHackMe Junior Penetrationstester-Pfad.
Zunächst sollten wir uns im Zusammenhang mit der Sicherheit von Webanwendungen fragen, was Inhalt ist. Inhalt kann vieles sein: eine Datei, ein Video, ein Bild, ein Backup, eine Website-Funktion. Wenn wir über die Entdeckung von Inhalten sprechen, sprechen wir nicht über die offensichtlichen Dinge, die wir auf einer Website sehen können; es sind die Dinge, die uns nicht sofort präsentiert werden und die nicht immer für den öffentlichen Zugriff bestimmt waren.
Bei diesen Inhalten kann es sich beispielsweise um für Mitarbeiter vorgesehene Seiten oder Portale, ältere Versionen der Website, Sicherungsdateien, Konfigurationsdateien, Administrationsbereiche usw. handeln.
Es gibt drei Hauptmethoden zum Entdecken von Inhalten auf einer Website, die wir behandeln werden: Manuell, Automatisiert und OSINT (Open-Source Intelligence).
Holen Sie sich Hinweise zum OSCP-Zertifikat
Raumantworten
Welches Verzeichnis in der robots.txt-Datei darf von Webcrawlern nicht angezeigt werden?
Wie lautet der Name der entdeckten Protokolldatei?