Um site não é apenas um aplicativo independente. É composto por pastas, diretórios e páginas que contêm instruções e informações para uma tarefa ou solicitação específica. Ao interagir com um site, você é conduzido por uma série de diretórios. Mas nem todos os diretórios são visíveis para você; alguns estão escondidos do público. Como os hackers conhecem os diretórios ocultos e os exploram?

O que é estouro de diretório?

A explosão de diretório (também conhecida como força bruta de diretório) é uma tecnologia de aplicativo da Web usada para encontrar e identificar possíveis diretórios ocultos em sites. Isso é feito com o objetivo de encontrar diretórios da web esquecidos ou não seguros para ver se eles são vulneráveis ​​à exploração.

Como funciona o estouro do diretório?

A explosão de diretórios é realizada usando uma combinação de ferramentas automatizadas e uma coleção de scripts chamados listas de palavras. Algumas dessas ferramentas incluem Gobuster, Dirb, FFUF, Dirbuster, etc. Como funciona a explosão de diretórios?

instagram viewer

O que é um diretório?

Um diretório é uma pasta ou coleção de arquivos contendo informações. É usado para fins organizacionais e utiliza um sistema hierárquico. Os aplicativos da Web são compostos de muitos diretórios e subdiretórios e estes, por sua vez, são usados ​​para armazenar informações como arquivos HTML estáticos, servlets, arquivos CSS e JavaScript, bibliotecas externas, imagens, etc.

Por exemplo, a página MakeUseOf de um autor poderia ler "www[ponto]makeuseof.com/author/author-name/page/2/" se você estivesse na segunda página do perfil do autor. O nome do site ou diretório raiz é "www[ponto]makeuseof.com". Possui um subdiretório que armazena os perfis dos autores e trabalhos denominados "/autor/". Este diretório possui outro subdiretório contendo as obras daquele autor em particular. Em seguida, o próximo diretório contém o número da página em que você está.

Digitar manualmente centenas de nomes de diretórios em um site para verificar possíveis diretórios ocultos seria uma tarefa demorada e inútil. Em vez disso, os hackers usam ferramentas ao lado de listas de palavras para automatizar ataques de estouro de diretório. Essas ferramentas automatizadas geralmente são multithread e funcionam por fazer uma solicitação HTTP ou HTTPS de cada nome de arquivo na lista de palavras. Se o nome do diretório existir, o código de resposta e o nome serão registrados e mostrados.

Uma ferramenta de explosão de diretório ou força bruta é tão boa quanto a lista de palavras. Uma lista de palavras, como o nome indica, geralmente é um arquivo .txt que contém milhares de nomes possíveis de diretórios e arquivos a serem verificados pela ferramenta de força bruta de diretório. Há um grande número de listas de palavras disponíveis na Internet, e muitas ferramentas de estouro de diretório também vêm com as incorporadas.

Para forçar os diretórios de um site, você precisa do URL do site e de uma lista de palavras. Algumas ferramentas de intermitência de diretório fornecem opções como velocidade, extensões de arquivo ou permitem que você especifique o nível de diretórios para verificar ou ocultar palavras específicas.

Como proteger seu site do estouro do diretório

A explosão de diretórios ou força bruta em si não é prejudicial, pois apenas enumera os diretórios ocultos que você pode ter em seu site. São as informações que um hacker pode encontrar nesses diretórios que criam vulnerabilidades em seu site. Se você armazenar informações confidenciais, como código-fonte ou bancos de dados em diretórios, sem impor as permissões adequadas, os hackers poderão explorar isso.

E qualquer um pode ser vulnerável: mesmo O código-fonte da Microsoft vazou!

A vulnerabilidade mais comum que pode surgir da intermitência de diretório é a vulnerabilidade de passagem de diretório ou caminho. Essa vulnerabilidade permite que um hacker acesse arquivos e diretórios para os quais normalmente não deveria ter permissão. Com a travessia de diretório, os hackers podem ler e, às vezes, reescrever arquivos arbitrários no aplicativo da web. Eles fazem isso escalando privilégios de privilégios de usuário para privilégios de root.

Aqui estão algumas dicas para proteger seus sites de vulnerabilidades de estouro de diretório:

  • Imponha permissões de arquivo e diretório.
  • Sempre valide os usuários e entrada do usuário.
  • Mantenha seus servidores e a infraestrutura por trás deles atualizados.

A força bruta de diretório não apenas identifica diretórios ocultos em seu site, mas também fornece informações sobre a estrutura de seu site⁠—informações que podem ser úteis para um hacker habilidoso.

Explosão de diretório e hacking ético

Hackers éticos usam ferramentas de explosão de diretório para mitigar vulnerabilidades antes que um cibercriminoso as encontre. A explosão de diretórios é importante na fase de enumeração de um teste de penetração na Web e pode melhorar a segurança de um site encontrando informações em um serviço da Web que não deve ser acessível ao público e removendo-os.

O que é teste de penetração e como ele melhora a segurança da rede?

Leia a seguir

CompartilharTweetCompartilharE-mail

Tópicos relacionados

  • Segurança
  • Internet
  • Segurança on-line
  • Hackear

Sobre o autor

Chioma Ibeakanma (22 artigos publicados)

Chioma é uma escritora técnica que adora se comunicar com seus leitores por meio de sua escrita. Quando ela não está escrevendo algo, ela pode ser encontrada saindo com amigos, fazendo voluntariado ou experimentando novas tendências tecnológicas.

Mais de Chioma Ibeakanma

Assine a nossa newsletter

Junte-se à nossa newsletter para dicas de tecnologia, análises, e-books gratuitos e ofertas exclusivas!

Clique aqui para assinar