“/” Enumeration (Webroot)

Website directory enumeration é a combinação de métodos utilizados para conseguir listar os recursos de um determinado site. Não é surpresa que a enumeração de diretórios web seja uma clara evidência da fragilidade da segurança deste tipo de recurso, e é uma das principais formas de descobrir informações interessantes em um pentest.

Muitas vezes recursos que estão expostos fora da arvore de conteúdo principal muitas vezes acabam ficando visíveis para que usuários possam acessa-los, e na maioria das vezes sem que se tenha credenciais validas para se logar no sistema em questão e ter então acesso a estes dados. Abaixo vamos ver alguns métodos utilizados para enumerar este tipo de informação:

Enumeração via Brute Force pode jogar você em muitas direções diferentes que talves não sejam tão interessantes, porém existe várias formas mais interessantes de se implementar a mesma idéia.

Dicionário: Este conceito literalmente tenta todas as possibilidades de combinações de strings que são fornecidas para serem testadas contra o site. Funciona da mesma forma que um ataque de dicionário utilizado por um programa para quebrar senhas. Existe uma ferramenta chamada http-dir-enum, que pode ser baixada aqui e faz exatamente isto.

Common path’s and filenames: Esta técnica consiste em checar combinações de de paths e filenames que são comuns em webservers e que são conhecidos por conterem vulnerabilidades, como por exemplo alguns CGI scripts, determinadas strings PHP/ASP e etc. Este método é largamente utilizado por ferramentas que fazem Scan de Vulnerabilidades em Aplicações Web e servidores web, procurando por strings específicas que respondem a determinada vulnerabilidade. Existe um grande número de ferramentas que executa este tipo de ataque que podem ser baixadas aqui.

Spider emulation: Esta técnica simula a ação de um Search Engine Spider e sai vasculhando o site e visitando todo link que existe no index de todos os resources do site. Um Spider sabe onde ir utilizando o sitemap e os arquivos de robots que estão nos index. Você pode utilizar esta técnica usando o Wget e forjando um User-Agent:

wget -r –spider -l10 –wait 3 –random-wait -Uspiderpiggy -asomelog http://www.url.com

Falhas de Configuração: Websites ou a implementação errada de arquivos .htaccess comumente mostram uma listagem do conteúdo dos diretórios – alguns sites simplesmente não setam as ACLs para negar o acesso para usuários não autenticado no .htaccess permitindo que o conteúdo seja visualizado.

Certamente existem muitas outras formas de enumerar o conteúdo de um website e todas elas necessitam apenas de um pouco de criatividade e tempo. Good Hacking for all.

Advertisements

One response to ““/” Enumeration (Webroot)

  1. Pingback: Ulisses Castro Security Labs » Blog Archive » "Data Mining" e o ingênuo Robots.txt

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s