Accueil Finances personnelles Comment détecter et empêcher le piratage de répertoires - la traversée de répertoires

Comment détecter et empêcher le piratage de répertoires - la traversée de répertoires

Table des matières:

Vidéo: Détecter et Stopper celui qui espionne votre compte WhatSapp 2025

Vidéo: Détecter et Stopper celui qui espionne votre compte WhatSapp 2025
Anonim

La traversée de répertoires est une faiblesse fondamentale, mais elle peut générer des informations intéressantes, parfois sensibles, sur un système Web, ce qui le rend vulnérable aux attaques. Cette attaque implique la navigation sur un site et la recherche d'indices sur la structure du répertoire du serveur et les fichiers sensibles qui ont pu être chargés intentionnellement ou involontairement.

Effectuez les tests suivants pour déterminer les informations relatives à la structure du répertoire de votre site Web.

Crawlers

Un programme spider, tel que le copieur du site HTTrack gratuit, peut explorer votre site pour rechercher tous les fichiers accessibles au public. Pour utiliser HTTrack, il suffit de le charger, de donner un nom à votre projet, de dire à quel (s) site (s) miroir, et après quelques minutes, éventuellement des heures, tout ce qui est accessible au public sera stocké sur votre disque local. c: Mes sites Web.

Les sites complexes révèlent souvent plus d'informations qui ne devraient pas exister, y compris les anciens fichiers de données et même les scripts d'application et le code source.

Inévitablement, lors des évaluations de sécurité Web, il y en a habituellement. zip ou. fichiers rar sur des serveurs web. Parfois, ils contiennent des déchets, mais souvent ils contiennent des informations sensibles qui ne devraient pas être là pour le public.

Regardez la sortie de votre programme d'exploration pour voir quels fichiers sont disponibles. Les fichiers HTML et PDF réguliers sont probablement corrects, car ils sont probablement nécessaires pour une utilisation normale du Web. Mais il ne serait pas douloureux d'ouvrir chaque fichier pour s'assurer qu'il appartient à ce fichier et ne contient pas d'informations sensibles que vous ne voulez pas partager avec le monde.

Google

Google peut également être utilisé pour la traversée d'un répertoire. En fait, les requêtes avancées de Google sont si puissantes que vous pouvez les utiliser pour dérober des informations sensibles, des fichiers et des répertoires de serveurs web critiques, des numéros de cartes de crédit, des webcams - en gros tout ce que Google a découvert sur votre site. passer au crible tout manuellement. Il est déjà assis dans le cache de Google en attente d'être vu.

Voici quelques requêtes Google avancées que vous pouvez entrer directement dans le champ de recherche Google:

  • site: hostname keywords - Cette requête recherche les mots clés que vous avez listés, tels que SSN <, confidentiel , carte de crédit, et ainsi de suite. Un exemple serait: site: www. Principlelogic. com speaker

    filetype: extension de fichier site: hostname

  • - Cette requête recherche des types de fichiers spécifiques sur un site Web spécifique, tels que doc, pdf, db, dbf, zip, et plus encore.Ces types de fichiers peuvent contenir des informations sensibles. Un exemple serait: filetype: pdf site: www. Principlelogic. com

D'autres opérateurs Google avancés sont les suivants:

allintitle

  • recherche des mots-clés dans le titre d'une page Web. inurl

  • recherche des mots-clés dans l'URL d'une page Web. en rapport

  • recherche des pages similaires à cette page Web. Le lien

  • affiche d'autres sites liés à cette page Web. Une excellente ressource pour le piratage de Google est la base de données Google Hacking de Johnny Long.

Lorsque vous passez en revue votre site avec Google, veillez à rechercher des informations sensibles sur vos serveurs, votre réseau et votre organisation dans Google Groupes, qui est l'archive Usenet. Si vous trouvez quelque chose qui n'a pas besoin d'être là, vous pouvez travailler avec Google pour le modifier ou le supprimer. Pour plus d'informations, reportez-vous à la page Contactez-nous de Google.

Contre-mesures contre les traversées de répertoires

Vous pouvez utiliser trois contre-mesures principales pour empêcher la compromission de fichiers via des traversées de répertoires malveillantes:

Ne stockez pas de fichiers anciens, sensibles ou non publics sur votre serveur Web.

  • Les seuls fichiers qui devraient figurer dans votre dossier / htdocs ou DocumentRoot sont ceux qui sont nécessaires au bon fonctionnement du site. Ces fichiers ne doivent pas contenir d'informations confidentielles que vous ne voulez pas que le monde entier voie. Configurez vos robots

  • . txt pour empêcher les moteurs de recherche, tels que Google, d'explorer les zones les plus sensibles de votre site. Assurez-vous que votre serveur Web est correctement configuré pour autoriser l'accès public aux seuls répertoires nécessaires au fonctionnement du site.

  • Les privilèges minimum sont la clé ici, donc fournissez l'accès aux fichiers et aux répertoires nécessaires au bon fonctionnement de l'application Web. Consultez la documentation de votre serveur Web pour obtenir des instructions sur le contrôle de l'accès public. Selon la version de votre serveur Web, ces contrôles d'accès sont définis dans

    Le httpd. fichier conf et le. Fichiers htaccess pour Apache.

    • Internet Information Services Manager pour IIS

    • Les dernières versions de ces serveurs Web ont une bonne sécurité de répertoire par défaut, donc, si possible, assurez-vous que vous utilisez les dernières versions.

Enfin, pensez à utiliser un honeypot de moteur de recherche, tel que Google Hackypot. Un pot de miel attire des utilisateurs malveillants afin que vous puissiez voir comment les méchants travaillent contre votre site. Ensuite, vous pouvez utiliser les connaissances que vous obtenez pour les garder à distance.

Comment détecter et empêcher le piratage de répertoires - la traversée de répertoires

Le choix des éditeurs

Le choix des éditeurs

Conventions de dénomination pour Ruby on Rails - mannequins

Conventions de dénomination pour Ruby on Rails - mannequins

Médias sociaux

Vous utilisez Ruby on Rails pour créer un site Web application ou application de base de données Web, ce qui est très intelligent de votre part. En fonction de ce que vous utilisez (une application, une relation un-à-plusieurs ou une relation plusieurs-à-plusieurs), vous utilisez différentes variantes des protocoles d'attribution de noms Rails, qui sont expliquées dans les sections suivantes. Ruby Naming for ...

En orbite, panoramique et zoom dans la vue 3D de Blender - mannequins

En orbite, panoramique et zoom dans la vue 3D de Blender - mannequins

Médias sociaux

En essayant de naviguer dans un espace en trois dimensions à travers un écran bidimensionnel comme un écran d'ordinateur, vous ne pouvez pas interagir avec cet espace 3D virtuel exactement comme vous le feriez dans le monde réel, ou espace de vie. La meilleure façon de visualiser le travail en 3D à travers un programme comme Blender est d'imaginer la vue 3D comme vos yeux ...

Déplacement de clips sur la timeline dans Final Cut Pro HD - Ficelles

Déplacement de clips sur la timeline dans Final Cut Pro HD - Ficelles

Médias sociaux

Final Cut Pro HD Timeline vous permet d'organiser tous vos clips vidéo et audio afin qu'ils racontent l'histoire que vous voulez raconter. Pour comprendre le fonctionnement de la Timeline, imaginez-la comme une page de partitions, mais plutôt que de placer des notes de musique de différentes durées (noires, demi-notes, ...

Le choix des éditeurs

Contrôle et modification de l'associativité des dimensions dans AutoCAD - Dummies

Contrôle et modification de l'associativité des dimensions dans AutoCAD - Dummies

Finances personnelles

Lorsque vous ajoutez des dimensions en sélectionnant des objets ou en utilisant l'accrochage aux objets Pour sélectionner des points sur les objets, AutoCAD crée normalement des dimensions associatives, qui sont connectées aux objets et se déplacent avec eux. C'est le cas dans les nouveaux dessins créés à l'origine dans toute version d'AutoCAD à partir de 2002. Si vous ...

Copie de styles de cote existants dans AutoCAD 2008 - mannequins

Copie de styles de cote existants dans AutoCAD 2008 - mannequins

Finances personnelles

Si vous avez la chance de travailler dans un bureau Quelqu'un a mis en place des styles de cotes qui conviennent à votre secteur d'activité et à votre projet. Vous pouvez le copier et ainsi éviter de devoir créer vos propres styles de cote. (Un style de cote - ou dimstyle pour faire court - est une collection de paramètres de dessin appelée dimension ...

En choisissant un style d'édition AutoCAD -

En choisissant un style d'édition AutoCAD -

Finances personnelles

Dans AutoCAD vous passez généralement plus de temps à éditer que dessiner des objets. C'est en partie parce que le processus de conception et de rédaction est, par nature, sujet à des changements, et aussi parce que AutoCAD vous permet de modifier facilement les objets proprement. AutoCAD propose trois styles d'édition: Commande-première Sélection-première Objet-direct (poignée) AutoCAD fait référence à l'édition de commandes comme verbe-nom ...

Le choix des éditeurs

Praxis Examen d'éducation élémentaire - Présentations orales - mannequins

Praxis Examen d'éducation élémentaire - Présentations orales - mannequins

Médias sociaux

Parce que les élèves doivent généralement donner des présentations orales en classe , vous rencontrerez probablement une question sur ce sujet dans l'examen Praxis Elementary Education. Plus formelles que les discussions de groupe, les présentations orales ont leurs propres règles pour le conférencier. Lorsque vous donnez une présentation en classe, il y a plusieurs ...

Praxis Examen d'éducation élémentaire - Littérature et texte d'information - mannequins

Praxis Examen d'éducation élémentaire - Littérature et texte d'information - mannequins

Médias sociaux

L'examen Praxis Elementary Education sur la littérature et le texte d'information, c'est-à-dire la fiction et la non-fiction. Vous devrez donc vous familiariser avec les différents genres d'écriture. La compréhension du texte est un processus qui se produit au fil du temps.

Praxis Examen d'éducation élémentaire - Connaissance phonologique - mannequins

Praxis Examen d'éducation élémentaire - Connaissance phonologique - mannequins

Médias sociaux

Vous rencontrerez probablement une ou deux questions qui impliquent des questions phonologiques sensibilisation à l'examen Praxis Elementary Education. La conscience phonologique est une compétence large impliquant la reconnaissance de son. Les lecteurs débutants commencent par apprendre les sons individuels, ou phonèmes, dans des mots parlés. Par exemple, le mot chat a trois phonèmes: / c / / a / / t /. Un lecteur débutant apprend ...

Le choix des éditeurs

Le choix des éditeurs

Catégories populaires

© Copyright fr.blender3dtutorials.com, 2025 Avril | À propos du site | Contacts | Politique de confidentialité.