Wir haben das Durchsuchen von Verzeichnissen und Spidering behandelt, indem wir Challenge 001 im kostenlosen OWASP Hackademic-Labor verwendet und gelöst haben.
Durchsuchen und Auflisten von Verzeichnissen
Ein Angreifer kann einfach alle Dateien in den betroffenen Ordnern durchsuchen, wenn eine Verzeichnislisten-Schwachstelle vorliegt, die auftritt, wenn die Website den Inhalt ihrer Verzeichnisse anzeigt. Dies führt häufig dazu, dass vertrauliche Elemente öffentlich zugänglich werden, darunter interne Berichte, Protokolle, Backups und sogar der Quellcode der Anwendung.
Ähnlich wie ein freigegebener Ordner oder ein FTP-Server ist die Verzeichnisliste eine Webserverfunktion, die Benutzern beim Durchsuchen der Inhalte einer Website helfen kann. Obwohl diese Funktion aus triftigen Gründen aktiviert werden kann, wird sie häufiger versehentlich aktiviert, da es sich um die Standardkonfiguration des Webservers handelt. Um sicherzustellen, dass keine aktuellen oder zukünftigen Verzeichnisse offengelegt werden, sollten Sie darüber nachdenken, sie für das gesamte Programm zu deaktivieren.
Holen Sie sich Hinweise zum OSCP-Zertifikat
Der komplette praktische Kurs zum Penetrationstest von Webanwendungen
Video-Komplettlösung
