🕵️ Возможные чувствительные файлы – Контрольный список сканирования уязвимостей |

🕵️ Возможные чувствительные файлы – Контрольный список сканирования уязвимостей

Закрытие уязвимостей

Как найти интересные файлы сайтов при разведке?

Оценка уязвимостей – это процесс оценки эффективности средств контроля безопасности системы путем измерения уровня ее защищенности.

Задача этого процесса – выявить все потенциальные уязвимости с помощью автоматизированных или человеческих тестов безопасности.

Перечисленные ниже файлы не связаны напрямую с веб-сайтом.

В ходе этой проверки проверяются общие конфиденциальные ресурсы, такие как файлы паролей, конфигурационные файлы, файлы журналов, включаемые файлы, статистические данные, дампы баз данных и административные консоли.

Каждый из этих файлов может помочь злоумышленнику узнать больше о своей цели, например, название ОС, версию платформы, фреймворк, устаревшие компоненты и т. д.

Степень серьезности этих проблем может варьироваться в широких пределах, в зависимости от контекста, в котором работает продукт, типа раскрываемой конфиденциальной информации и выгоды, которую она может принести злоумышленнику.

Проблемы раскрытия информации в веб-приложениях могут быть использованы злоумышленниками для получения глубоких знаний о возможных слабых местах веб-приложения, что позволит им организовать вредоносную хакерскую атаку.

Они позволяют хакерам или спамерам получить глубокую и конфиденциальную информацию о цели, такую как информация о БД, имя ОС и т. д., которую они хотят атаковать, просто выполнив базовое тестирование, а иногда просто ища информацию на публичных страницах или страницах ошибок.

🌐 Как заблокировать .git в Apache, Nginx и Cloudflare?

No. Имя файла Описание
1 /.env Файл конфигурации окружения (Laravel)
2 /|~.aspx Неправильная обработка ошибок (ASP.NET)
3 /… Неправильная обработка ошибок (ASP.NET)
4 /trace.axd Трассировка ASP.NET включена
5 /phpinfo.php Файл конфигурации PHP
6 /php.ini Файл конфигурации PHP
7 /wp-includes Листинг каталога (WordPress)
8 /error.log, /error.txt. /error_log, /errorlog, /error.jsp, /logs, /logs.php Файлы журнала ошибок
9 /htaccess.txt, /.htaccess Файлы Apache Htaccess
10 /etc/passwd, /tmp, /var Файлы каталогов Linux
11 /admin, /administrator, /wp-admin, /admin/login.php, /admin.aspx, /adminlogin.aspx Возможные страницы входа администратора
12 /readme.html, /readme.txt, /README.MD, /license.txt, /manual
Файлы документации
13 /config.php, /configuration.php, /conn.php, /sites/default/settings.php, /app/etc/local.xml, /inc.config.php, /admin/config.php, /wp-config.php Файлы конфигурации БД
14 /robots.txt Файл роботов (Предварительный зонд атаки)
15 /.gitignore Возможный чувствительный файл (Github)
16 /wp-includes/rss-functions.php, /wp-includes/user.php, /wp-includes/vars.php Проверка фатальных ошибок (WordPress)
17 /adminer.php, /phpminiadmin.php, /phpmyadmin, /db.php, /sql.php Возможные файлы входа в БД
18 /examples Каталог примеров Apache Tomcat
19 /backup, /backup.zip, /download.zip, /backup.tar.gz,
Файлы резервного копирования
20 /.bashrc, /.zshrc, /.cshrc Файлы конфигурации оболочки
21 /pass.txt, /password.txt, /passwords.txt, /password
Чувствительные файлы, связанные с паролем

см. также:

¯\_(ツ)_/¯

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.

Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий