یافتن صفحه ادمین سایت ها در تست نفوذ

پس از این که در روش‌های متنوع مانند SQL Injection توانستید username و پسورد یک سایت را بیابید باید صفحه ورود سایت را نیز بیابید تا بتوانید عملیات نفوذ خود را تکمیل کنید.

در این مطلب روش‌های متنوعی برای این کار به شما معرفی می‌کنیم.

این مطلب در آینده بروزرسانی و تکمیل خواهد شد.

استفاده از robots.txt

فایل robots.txt توسط طراحان و توسعه دهندگان نرم افزارهای تحت وب برای هدایت ربات‌های موتورهای جستجو مورد استفاده قرار می‌گیرد. برای دسترسی به این فایل مانند زیر عمل می‌کنیم:

site.com/robots.txt

پیش تر در این مطلب که آموزش ابزار گوگل سرچ کنسول بود به فایل robots.txt اشاره کردیم و آموختیم می‌توانیم دسترسی به بعضی دایرکتوری‌ها را با این فایل محدود کنیم. طراحان وب از این ابزار استفاده می‌کنند تا مانع پیمایش پوشه‌های حیاتی سایت خود توسط ربات‌های جستجوگر شوند، ولی همین قضیه می‌تواند شما را در یافتن صفحه ورود به سایت راهنمایی نماید. چند فایل robots.txt را با هم بررسی می‌کنیم:

User-agent: *
Disallow: /search
Disallow: /admin

از فایل بالا می‌توان دریافت، به احتمال زیاد مسیر site.com/admin صفحه ورود به مدیریت سایت است.

User-agent: *
Disallow: /comment
Disallow: /users

در بالا مسیر users احتمالا صفحه با ارزشی است.

افزونه wappalyzer و تشخیص CMS ها

استفاده از افزونه wappalyzer را به تمام طراحان وب، علاقه مندان به امنیت و نوذگران توصیه می‌کنم. با نصب این افزونه در مرورگر خود به سادگی تمام تکنولوژی‌های استفاده شده در صفحه جاری را دریابید.

اگر با این افزونه متوجه شدید سایت از یک CMD معین استفاده می‌کند، می‌توانید به راحتی با کمی جستجو در اینترنت، صفحه مدیریت آن را پیدا کنید.

مثلا صفحه مدیریت، سیستم مدیریت محتوای JOOMLA به صورت زیر قابل دسترسی است:

site.com/administrator

صفحه مدیریت WordPress:

site.com/wp-admin

صفحه مدیریت دروپال و silverstripe:

site.com/admin

صفحه مدیریت ModX:

site.com/manager

صفحه مدیریت concrete5:

site.com/index.php/login

صفحه مدیریت PHP Fusion:

site.com/administration

استفاده از نرم افزار Directory Finder برای یافتن صفحات حیاتی یک سایت

این نرم افزار، یک ابزار کاربردی و کم حجم است که در یافتن صفحات مهم سایت واقعا مفید عمل می‌کند.

دانلود

البته این نرم افزار قابلیت‌های دیگری نظیر یافتن باگ‌های معروف را نیز در خود جای داده است.

افزایش امنیت سایت با اعمال تغییرات در صفحه ورود به سایت

راه کارهای فوق را برای سایت خودتان تست کنید، اگر با راهکارهای گفته شده در بالا، نفوذگر می‌تواند به صفحه مدیریت شما دسترسی پیدا کند باید تغییراتی در ساختار سایت خود بدهید.

اگر نرم افزار سایت خود را به صورت شخصی نوشته اید صفحه ورود به سایت خود را تغییر دهید. اگر از CMS خاصی استفاده می‌کنید با کمی جستجو در اینترنت راهکارهای تغییر آدرس صفحه مدیریت را بیابید.

اگر اطلاعات صفحه ورود در فایل robots.txt موجود است، این فایل را ویرایش کنید.

و بهترین کار این است که برای آدرس دسترسی به صفحه مدیریت خود پسورد قرار دهید.

امیدواریم این مطلب مفید بوده باشد. در آینده این مطلب بروز رسانی می‌شود که با عضویت در خبرنامه سایت می‌توانید از بروز رسانی این مطلب اطلاع پیدا کنید.