پس از این که در روشهای متنوع مانند SQL Injection توانستید username و پسورد یک سایت را بیابید باید صفحه ورود سایت را نیز بیابید تا بتوانید عملیات نفوذ خود را تکمیل کنید.
در این مطلب روشهای متنوعی برای این کار به شما معرفی میکنیم.
این مطلب در آینده بروزرسانی و تکمیل خواهد شد.
استفاده از robots.txt
فایل robots.txt توسط طراحان و توسعه دهندگان نرم افزارهای تحت وب برای هدایت رباتهای موتورهای جستجو مورد استفاده قرار میگیرد. برای دسترسی به این فایل مانند زیر عمل میکنیم:
site.com/robots.txtپیش تر در این مطلب که آموزش ابزار گوگل سرچ کنسول بود به فایل robots.txt اشاره کردیم و آموختیم میتوانیم دسترسی به بعضی دایرکتوریها را با این فایل محدود کنیم. طراحان وب از این ابزار استفاده میکنند تا مانع پیمایش پوشههای حیاتی سایت خود توسط رباتهای جستجوگر شوند، ولی همین قضیه میتواند شما را در یافتن صفحه ورود به سایت راهنمایی نماید. چند فایل robots.txt را با هم بررسی میکنیم:
User-agent: *
Disallow: /search
Disallow: /adminاز فایل بالا میتوان دریافت، به احتمال زیاد مسیر site.com/admin صفحه ورود به مدیریت سایت است.
User-agent: *
Disallow: /comment
Disallow: /usersدر بالا مسیر users احتمالا صفحه با ارزشی است.
افزونه wappalyzer و تشخیص CMS ها
استفاده از افزونه wappalyzer را به تمام طراحان وب، علاقه مندان به امنیت و نوذگران توصیه میکنم. با نصب این افزونه در مرورگر خود به سادگی تمام تکنولوژیهای استفاده شده در صفحه جاری را دریابید.
اگر با این افزونه متوجه شدید سایت از یک CMD معین استفاده میکند، میتوانید به راحتی با کمی جستجو در اینترنت، صفحه مدیریت آن را پیدا کنید.
مثلا صفحه مدیریت، سیستم مدیریت محتوای JOOMLA به صورت زیر قابل دسترسی است:
site.com/administratorصفحه مدیریت WordPress:
site.com/wp-adminصفحه مدیریت دروپال و silverstripe:
site.com/adminصفحه مدیریت ModX:
site.com/managerصفحه مدیریت concrete5:
site.com/index.php/loginصفحه مدیریت PHP Fusion:
site.com/administrationاستفاده از نرم افزار Directory Finder برای یافتن صفحات حیاتی یک سایت
این نرم افزار، یک ابزار کاربردی و کم حجم است که در یافتن صفحات مهم سایت واقعا مفید عمل میکند.
البته این نرم افزار قابلیتهای دیگری نظیر یافتن باگهای معروف را نیز در خود جای داده است.
افزایش امنیت سایت با اعمال تغییرات در صفحه ورود به سایت
راه کارهای فوق را برای سایت خودتان تست کنید، اگر با راهکارهای گفته شده در بالا، نفوذگر میتواند به صفحه مدیریت شما دسترسی پیدا کند باید تغییراتی در ساختار سایت خود بدهید.
اگر نرم افزار سایت خود را به صورت شخصی نوشته اید صفحه ورود به سایت خود را تغییر دهید. اگر از CMS خاصی استفاده میکنید با کمی جستجو در اینترنت راهکارهای تغییر آدرس صفحه مدیریت را بیابید.
اگر اطلاعات صفحه ورود در فایل robots.txt موجود است، این فایل را ویرایش کنید.
و بهترین کار این است که برای آدرس دسترسی به صفحه مدیریت خود پسورد قرار دهید.
امیدواریم این مطلب مفید بوده باشد. در آینده این مطلب بروز رسانی میشود که با عضویت در خبرنامه سایت میتوانید از بروز رسانی این مطلب اطلاع پیدا کنید.
تگ ها: دانلودرمز نگاریتست نفوذدیتابیس و پایگاه دادهSQL Injectionهک
