موقع الويب ليس مجرد تطبيق مستقل. وهي تتألف من مجلدات وأدلة وصفحات تحمل إرشادات ومعلومات لمهمة أو طلب معين. عندما تتفاعل مع موقع ويب ، يتم توجيهك عبر سلسلة من الدلائل. لكن ليست كل الدلائل مرئية لك ؛ بعضها مخفي عن الجمهور. كيف يتعرف المخترقون على الأدلة المخفية ويستغلونها؟

ما هو انفجار الدليل؟

انفجار الدليل (المعروف أيضًا باسم الدليل الغاشم) هو تقنية تطبيق ويب تُستخدم للعثور على الأدلة المخفية المحتملة في مواقع الويب وتحديدها. يتم ذلك بهدف البحث عن أدلة الويب المنسية أو غير الآمنة لمعرفة ما إذا كانت عرضة للاستغلال.

كيف يعمل انفجار الدليل؟

يتم تنفيذ انفجار الدليل باستخدام مجموعة من الأدوات الآلية ومجموعة من البرامج النصية تسمى قوائم الكلمات. تتضمن بعض هذه الأدوات Gobuster و Dirb و FFUF و Dirbuster وما إلى ذلك. كيف يعمل الدليل التفجير؟

ما هو الدليل؟

الدليل هو مجلد أو مجموعة ملفات تحتوي على معلومات. يتم استخدامه للأغراض التنظيمية ويستخدم نظامًا هرميًا. تتكون تطبيقات الويب من العديد من الأدلة والأدلة الفرعية وتستخدم هذه بدورها للتخزين معلومات مثل ملفات HTML الثابتة ، و servlets ، وملفات CSS و JavaScript ، والمكتبات الخارجية ، والصور ، وما إلى ذلك.

instagram viewer

على سبيل المثال ، يمكن أن تقرأ صفحة MakeUseOf للمؤلف "www [dot] makeuseof.com/author/author-name/page/2/" إذا كنت في الصفحة الثانية من الملف الشخصي للمؤلف. اسم الموقع أو الدليل الجذر هو "www [dot] makeuseof.com". يحتوي على دليل فرعي يخزن ملفات تعريف المؤلفين والأعمال المسماة "/ المؤلف /". يحتوي هذا الدليل على دليل فرعي آخر يحتوي على أعمال ذلك المؤلف المعين. بعد ذلك ، يحتوي الدليل التالي على رقم الصفحة الذي تتصفحه.

إن الكتابة يدويًا لمئات أسماء الدلائل في موقع ويب للبحث عن أدلة مخفية محتملة ستكون مهمة تستغرق وقتًا طويلاً وغير مجدية. بدلاً من ذلك ، يستخدم المتسللون أدوات جنبًا إلى جنب مع قوائم الكلمات لأتمتة هجمات انفجار الدليل. عادة ما تكون هذه الأدوات الآلية متعددة مؤشرات الترابط وتعمل بها عمل طلب HTTP أو HTTPS من كل اسم ملف في قائمة الكلمات. إذا كان اسم الدليل موجودًا ، فسيتم تسجيل رمز الاستجابة والاسم وإظهارهما.

إن أداة انفجار الدليل أو التأثير الغاشم جيدة مثل قائمة الكلمات. عادةً ما تكون قائمة الكلمات ، كما يوحي الاسم ، عبارة عن ملف .txt يحتوي على الآلاف من الأسماء المحتملة للأدلة والملفات التي سيتم فحصها بواسطة أداة فرض الدليل الغاشم. هناك عدد كبير من قوائم الكلمات المتاحة على الإنترنت ، والعديد من أدوات دمج الدليل تأتي مع قوائم مدمجة أيضًا.

لفرض أدلة موقع الويب بقوة ، تحتاج إلى عنوان URL للموقع وقائمة الكلمات. توفر بعض أدوات تفجير الدليل خيارات مثل السرعة أو امتدادات الملفات أو تسمح لك بتحديد مستوى الدلائل لمسح أو إخفاء كلمات معينة.

كيفية حماية موقع الويب الخاص بك من انفجار الدليل

إن انفجار الدليل أو التأثير الغاشم في حد ذاته ليس ضارًا ، لأنه يعدد الأدلة المخفية التي قد تكون لديك على موقع الويب الخاص بك. إن المعلومات التي قد يجدها المخترق في تلك الدلائل هي التي تخلق نقاط ضعف في موقع الويب الخاص بك. إذا قمت بتخزين معلومات حساسة مثل التعليمات البرمجية المصدر أو قواعد البيانات في أدلة دون فرض الأذونات المناسبة ، فسيكون المتسللون قادرين على استغلال ذلك.

ويمكن لأي شخص أن يكون عرضة للخطر: حتى تم تسريب كود مصدر مايكروسوفت!

أكثر نقاط الضعف شيوعًا التي قد تنشأ من اندفاع الدليل هي ثغرة اجتياز الدليل أو المسار. تسمح هذه الثغرة الأمنية للمتسلل بالوصول إلى الملفات والدلائل التي لا ينبغي أن يحصلوا عليها عادةً على إذن للقيام بذلك. باستخدام اجتياز الدليل ، يستطيع المتسللون قراءة الملفات العشوائية وإعادة كتابتها في بعض الأحيان على تطبيق الويب. يفعلون ذلك عن طريق تصعيد الامتيازات من امتيازات المستخدم إلى امتيازات الجذر.

فيما يلي بعض النصائح لحماية مواقع الويب الخاصة بك من ثغرات اختراق الدليل:

  • فرض أذونات الملف والدليل.
  • تحقق دائمًا من صحة المستخدمين وإدخال المستخدم.
  • حافظ على الخوادم الخاصة بك والبنية التحتية وراءها محدثة.

لا يحدد الدليل الغاشم الأدلة المخفية في موقع الويب الخاص بك فحسب ، بل يوفر أيضًا معلومات حول بنية موقع الويب الخاص بك - وهي معلومات يمكن أن تكون مفيدة للمتسلل الماهر.

انفجار الدليل والقرصنة الأخلاقية

يستخدم المتسللون الأخلاقيون أدوات تفجير الدليل للتخفيف من نقاط الضعف قبل أن يكتشفها مجرم الإنترنت. يعد انفجار الدليل مهمًا في مرحلة التعداد لاختبار اختراق الويب ، ويمكنه تحسين أمان موقع ويب من خلال العثور على معلومات على خدمة ويب لا ينبغي أن تكون متاحة للجمهور و إزالتها.

ما هو اختبار الاختراق وكيف يعمل على تحسين أمان الشبكة؟

اقرأ التالي

شاركسقسقةشاركبريد الالكتروني

مواضيع ذات صلة

  • حماية
  • إنترنت
  • الأمن على الإنترنت
  • القرصنة

نبذة عن الكاتب

شيوما إيبيكانما (تم نشر 22 مقالة)

شيوما كاتبة فنية تحب التواصل مع قرائها من خلال كتاباتها. عندما لا تكتب شيئًا ، يمكن العثور عليها وهي تتسكع مع الأصدقاء أو تتطوع أو تجرب اتجاهات تقنية جديدة.

المزيد من Chioma Ibeakanma

اشترك في نشرتنا الإخبارية

انضم إلى النشرة الإخبارية لدينا للحصول على نصائح تقنية ومراجعات وكتب إلكترونية مجانية وصفقات حصرية!

انقر هنا للاشتراك