Melbourne penetrasi tester Thiebauld Weksteen memperingatkan administrator sistem yang file robots.txt dapat memberikan penyerang informasi yang berharga pada target potensial dengan memberikan mereka petunjuk tentang direktori pemiliknya berusaha untuk melindungi.
File robots.txt memberitahu search engine yang direktori pada server web mereka bisa dan tidak bisa membaca.
Weksteen, seorang hacker Securus Global, berpikir mereka menawarkan petunjuk tentang di mana administrator sistem menyimpan aset sensitif karena penyebutan direktori dalam file robots.txt jeritan bahwa pemilik memiliki sesuatu yang mereka ingin menyembunyikan.
"Dalam kasus yang paling sederhana, itu (robots.txt) akan mengungkapkan jalur terbatas dan teknologi yang digunakan oleh server Anda," kata Weksteen
"Dari perspektif bek, dua kesalahan-kesalahan umum tetap; robots.txt yang agak bertindak sebagai mekanisme kontrol akses [dan] konten hanya akan dibaca oleh mesin pencari dan bukan oleh manusia."
Portal administrasi yang akan lebih sering daripada tidak mengandung kerentanan dan keamanan yang buruk secara teratur termasuk dalam teks robot melarang daftar dalam upaya untuk mengaburkan aset.
Mengidentifikasi portal yang merupakan praktek standar untuk penguji penetrasi yang akan, sebagai Weksteen tidak, mengkompilasi dan memperbarui daftar rinci subdirektori dengan panen file robots.txt.
Mereka daftar akan membantu mempercepat penemuan aset sensitif dalam serangan di masa depan atau tes penetrasi.
Berikut adalah cara Weksteen mengatakan hal akan down:
"Selama tahap pengintaian dari pengujian aplikasi web, tester biasanya menggunakan daftar subdirektori dikenal untuk brute force server dan menemukan sumber daya tersembunyi.
Tergantung pada penyerapan teknologi web tertentu, perlu refresh secara teratur.
Seperti yang Anda lihat, Larang direktif memberi pengetahuan berharga penyerang pada apa yang mungkin layak melihat. Selain itu, jika itu benar untuk satu situs, perlu memeriksa lagi. "
Tergantung pada penyerapan teknologi web tertentu, perlu refresh secara teratur.
Seperti yang Anda lihat, Larang direktif memberi pengetahuan berharga penyerang pada apa yang mungkin layak melihat. Selain itu, jika itu benar untuk satu situs, perlu memeriksa lagi. "
Weksteen menawarkan keamanan pendalaman metodenya untuk mengumpulkan daftar subdirektori dan teknik untuk membersihkan dan memverifikasi dataset awalnya besar. Dia dipangkas beberapa 59.558 situs ke 35.375 yang berisi file robots.txt.
Total membutuhkan kurang dari 100 baris scripting untuk melakukan semacam ini menggores, tetapi bisa mendapatkan keuntungan dari optimalisasi algoritma yang digunakan.
Penetrasi tester memberikan contoh aset terkena melalui beberapa 10.000 dokumen unclassified langsung terdaftar dalam file teks robot untuk Majelis Israel.
Kata kunci yang sama yang dihasilkan string aset unclassified diblokir oleh Departemen Luar Negeri AS tapi masih dapat diakses melalui Internet Archive.
Pengguna Reddit diterapkan kerja Weksteen dan menemukan identitas seorang mahasiswi yang tampaknya telah mengintai. Namanya, sejak disunting, terdaftar dalam deskripsi file gambar yang tercantum di bawah teks robot yang akan dianulir karena pengindeksan.
Admin akan menjadi yang terbaik tidak termasuk aset berdasarkan persyaratan umum dan tidak melalui referensi mutlak.
Beberapa lebih bods tech kewirausahaan mengatakan mereka mendirikan honeypots bawah aset palsu ditandai dianulir dalam teks-teks robot melarang semua IP yang meminta sumber daya
0komentar:
Post a Comment