Bir web sitesi sadece bağımsız bir uygulama değildir. Belirli bir görev veya istek için talimatlar ve bilgiler taşıyan klasörler, dizinler ve sayfalardan oluşur. Bir web sitesiyle etkileşime girdiğinizde, bir dizi dizine yönlendirilirsiniz. Ancak tüm dizinler size görünmez; bazıları halktan gizlidir. Bilgisayar korsanları gizli dizinleri nasıl öğrenir ve onlardan nasıl yararlanır?

Dizin Patlaması Nedir?

Dizin patlatma (aynı zamanda dizin kaba zorlaması olarak da bilinir), web sitelerindeki olası gizli dizinleri bulmak ve belirlemek için kullanılan bir web uygulaması teknolojisidir. Bu, istismara açık olup olmadıklarını görmek için unutulmuş veya güvenli olmayan web dizinlerini bulmak amacıyla yapılır.

Dizin Patlaması Nasıl Çalışır?

Dizin patlatma, otomatik araçlar ve kelime listeleri adı verilen bir dizi komut dosyası kombinasyonu kullanılarak gerçekleştirilir. Bu araçlardan bazıları Gobuster, Dirb, FFUF, Dirbuster vb. Dizin patlatma nasıl çalışır?

Dizin Nedir?

Bir dizin, bilgi içeren bir klasör veya dosya koleksiyonudur. Organizasyonel amaçlar için kullanılır ve hiyerarşik bir sistem kullanır. Web uygulamaları birçok dizin ve alt dizinden oluşur ve bunlar sırayla depolamak için kullanılır. statik HTML dosyaları, sunucu uygulamaları, CSS ve JavaScript dosyaları, harici kitaplıklar, resimler vb. gibi bilgiler.

instagram viewer

Örneğin, yazarın profilinin ikinci sayfasındaysanız, bir yazarın MakeUseOf sayfasında "www[dot]makeuseof.com/author/yazar-adı/sayfa/2/" yazabilir. Sitenin veya kök dizinin adı "www[dot]makeuseof.com"dur. Yazarların profillerini ve çalışmalarını saklayan "/author/" adlı bir alt dizine sahiptir. Bu dizin, söz konusu yazarın eserlerini içeren başka bir alt dizine sahiptir. Ardından, bir sonraki dizin üzerinde bulunduğunuz sayfa numarasını içerir.

Olası gizli dizinleri taramak için bir web sitesine yüzlerce dizin adını manuel olarak yazmak zaman alıcı ve boş bir iş olacaktır. Bunun yerine bilgisayar korsanları, dizin kırma saldırılarını otomatikleştirmek için kelime listelerinin yanı sıra araçlar kullanır. Bu otomatik araçlar genellikle çok iş parçacıklıdır ve şu şekilde çalışır: HTTP veya HTTPS isteğinde bulunma kelime listesindeki her dosya adının Dizin adı varsa, yanıt kodu ve adı kaydedilir ve gösterilir.

Bir dizin patlatma veya kaba kuvvet aracı yalnızca kelime listesi kadar iyidir. Bir kelime listesi, adından da anlaşılacağı gibi, genellikle dizin kaba zorlama aracı tarafından taranacak binlerce olası dizin ve dosya adını içeren bir .txt dosyasıdır. İnternette çok sayıda kelime listesi mevcuttur ve birçok dizin patlatma aracı da yerleşik olarak gelir.

Bir web sitesinin dizinlerini kaba kuvvetle kullanmak için web sitesinin URL'sine ve bir kelime listesine ihtiyacınız vardır. Bazı dizin ayırma araçları hız, dosya uzantıları gibi seçenekler sunar veya belirli sözcükleri hangi düzeyde dizinlerin taranacağını veya gizleneceğini belirlemenize olanak tanır.

Web Sitenizi Dizin Patlamasından Nasıl Korursunuz?

Dizin patlatma veya kaba zorlama, yalnızca web sitenizde sahip olabileceğiniz gizli dizinleri sıraladığı için zararlı değildir. Web sitenizde güvenlik açıkları oluşturan, bir bilgisayar korsanının bu dizinlerde bulabileceği bilgilerdir. Kaynak kodu veya veritabanları gibi hassas bilgileri uygun izinleri zorlamadan dizinlerde saklarsanız, bilgisayar korsanları bundan yararlanabilir.

Ve herkes savunmasız olabilir: hatta Microsoft'un kaynak kodu sızdırıldı!

Dizin patlamasından kaynaklanabilecek en yaygın güvenlik açığı, dizin veya yol geçiş güvenlik açığıdır. Bu güvenlik açığı, bir bilgisayar korsanının normalde izinlerinin olmaması gereken dosyalara ve dizinlere erişmesine olanak tanır. Dizin geçişi ile bilgisayar korsanları web uygulamasındaki rastgele dosyaları okuyabilir ve bazen yeniden yazabilir. Bunu, ayrıcalıkları kullanıcı ayrıcalıklarından kök ayrıcalıklarına yükselterek yaparlar.

Web sitelerinizi dizin patlaması güvenlik açıklarından korumak için bazı ipuçları:

  • Dosya ve dizin izinlerini zorunlu kılın.
  • Kullanıcıları her zaman doğrula ve kullanıcı girişi.
  • Sunucularınızı ve arkalarındaki altyapıyı güncel tutun.

Dizin kaba zorlaması yalnızca web sitenizdeki gizli dizinleri tanımlamakla kalmaz, aynı zamanda web sitenizin yapısı hakkında da bilgi sağlar - yetenekli bir bilgisayar korsanının işine yarayabilecek bilgiler.

Dizin Patlaması ve Etik Hackleme

Etik bilgisayar korsanları, güvenlik açıklarını bir siber suçlu bulmadan önce azaltmak için dizin patlatma araçlarını kullanır. Dizin patlatma, bir web penetrasyon testinin numaralandırma aşamasında önemlidir ve Bir web hizmetinde halka açık olmaması gereken bilgileri bularak bir web sitesinin güvenliğini ve onları kaldırmak.

Sızma Testi Nedir ve Ağ Güvenliğini Nasıl Artırır?

Sonrakini Oku

PaylaşmakCıvıldamakPaylaşmakE-posta

İlgili konular

  • Güvenlik
  • internet
  • Çevrimiçi Güvenlik
  • Hacklemek

Yazar hakkında

Chioma Ibeakanma (22 Makale Yayımlandı)

Chioma, yazıları aracılığıyla okuyucularıyla iletişim kurmayı seven teknik bir yazardır. Bir şey yazmadığında arkadaşlarıyla takılıyor, gönüllü çalışıyor veya yeni teknoloji trendlerini deniyor.

Chioma Ibeakanma'dan Daha Fazla

Haber bültenimize abone ol

Teknik ipuçları, incelemeler, ücretsiz e-kitaplar ve özel fırsatlar için bültenimize katılın!

Abone olmak için buraya tıklayın