luzzattigramsci.it

  

Bästa artiklarna:

  
Main / Hur man fixar sårbarhet med webbkataloger

Så här fixar du listbar sårbarhet för webbkataloger

Kataloglistning är en webbserverfunktion som visar en lista över alla filer när det inte finns en indexfil, t.ex. index. Till exempel när en användare begär www.

Om indexfilen inte existerar returnerar webbservern dock en lista över innehållet i den katalogen. Dessutom bör det noteras att katalogförteckningen kan orsakas också genom att utnyttja eventuella programvarusårbarheter med hjälp av speciella önskemål. Ett vanligt misstag som webbansvariga vanligtvis gör är att de antar att om det inte finns länkar till ett antal filer i en katalog kan ingen komma åt dem.

Detta är inte så sant eftersom många webbsårbarhetsskannrar som Acunetix WVS kommer att upptäcka sådana kataloger. Sådan informationsläckage av filer i kataloger kan ge tillräckligt med information för att en angripare ska kunna skapa ytterligare attacker mot ett visst mål. Som beskrivs ovan konfigurerar vissa webbadministratörer inte webbservrar ordentligt för att inaktivera kataloglistan eller gör ibland inte alls.

Till exempel kan administratörer göra komplexa konfigurationsinställningar, så att de tillåter katalogförteckning för vissa kataloger eller underkataloger.

Felaktig konfiguration av denna uppgift kan leda till att oväntat och oavsiktligt möjliggör katalogförteckning över kataloger som innehåller känslig information. Även om kataloglistning är inaktiverad på en webbserver kan angripare upptäcka och utnyttja sårbarheter på webbservern som kommer att resultera i en kataloglista med vissa specifika applikationskataloger.

Angripare kan upptäcka katalogindex från cachade eller historiska data i online-databaser. Sådana uppgifter gör det möjligt för angriparen att få den information som behövs utan att behöva utnyttja sårbarheter. En användare gör en webbplatsbegäran till www. Svaret från servern inkluderar kataloglistans innehåll för katalogadministratören, vilket framgår av skärmbilden nedan. Ovanstående kataloglista visar hela innehållet i säkerhetskopian.

Det är uppenbart att denna information inte var avsedd för allmänheten, men på grund av felkonfiguration av webbservern har detta lett till att information avslöjas och informationen är nu allmänt tillgänglig.

Det beror på vilken webbserver du använder. Följande länkar innehåller tips om hur du skyddar Apache och nginx, inklusive hur du inaktiverar kataloglistning :. Vi tillhandahåller inte den tjänsten, men du kan enkelt kontrollera om din webbplats är hackbar genom att registrera dig på Acunetix online och skanna din webbplats.

Skanningsresultaten är väldigt enkla att tolka och saneringsråden hjälper dig att lösa eventuella identifierade sårbarheter. Skydda din webbplats från skadliga hackare med Acunetix webbplatsskyddsskanner. Bakgrundsinformation Ett vanligt misstag som webbansvariga vanligtvis gör är att de antar att om det inte finns länkar till ett antal filer i en katalog kan ingen komma åt dem.

Exempel på attackscenarier 1. Dela det här inlägget. Acunetix Acunetix-utvecklare och teknikagenter bidrar regelbundet till bloggen. Alla Acunetix-utvecklare har många års erfarenhet inom webbsäkerhetsområdet. Relaterade inlägg: SQL-säkerhet: Hej, det beror på vilken webbserver du använder.

Följande länkar innehåller tips om hur du skyddar Apache och nginx, inklusive hur du inaktiverar katalogförteckning: Hej Kan du kontrollera om min webbplats är hackbar tack Anubhav. Lämna ett svar Avbryt svar Din e-postadress kommer inte att publiceras.

Skaffa demo.

(с) 2019 luzzattigramsci.it