پس از این که در روشهای متنوع مانند SQL Injection توانستید username و پسورد یک سایت را بیابید باید صفحه ورود سایت را نیز بیابید تا بتوانید عملیات نفوذ خود را تکمیل کنید.
در این مطلب روشهای متنوعی برای این کار به شما معرفی میکنیم.
فایل robots.txt توسط طراحان و توسعه دهندگان نرم افزارهای تحت وب برای هدایت رباتهای موتورهای جستجو مورد استفاده قرار میگیرد. برای دسترسی به این فایل مانند زیر عمل میکنیم:
site.com/robots.txt
پیش تر در این مطلب که آموزش ابزار گوگل سرچ کنسول بود به فایل robots.txt اشاره کردیم و آموختیم میتوانیم دسترسی به بعضی دایرکتوریها را با این فایل محدود کنیم. طراحان وب از این ابزار استفاده میکنند تا مانع پیمایش پوشههای حیاتی سایت خود توسط رباتهای جستجوگر شوند، ولی همین قضیه میتواند شما را در یافتن صفحه ورود به سایت راهنمایی نماید. چند فایل robots.txt را با هم بررسی میکنیم:
User-agent: * Disallow: /search Disallow: /admin
از فایل بالا میتوان دریافت، به احتمال زیاد مسیر site.com/admin
صفحه ورود به مدیریت سایت است.
User-agent: * Disallow: /comment Disallow: /users
در بالا مسیر users احتمالا صفحه با ارزشی است.
استفاده از افزونه wappalyzer را به تمام طراحان وب، علاقه مندان به امنیت و نوذگران توصیه میکنم. با نصب این افزونه در مرورگر خود به سادگی تمام تکنولوژیهای استفاده شده در صفحه جاری را دریابید.
اگر با این افزونه متوجه شدید سایت از یک CMD معین استفاده میکند، میتوانید به راحتی با کمی جستجو در اینترنت، صفحه مدیریت آن را پیدا کنید.
مثلا صفحه مدیریت، سیستم مدیریت محتوای JOOMLA به صورت زیر قابل دسترسی است:
site.com/administrator
صفحه مدیریت WordPress:
site.com/wp-admin
صفحه مدیریت دروپال و silverstripe:
site.com/admin
صفحه مدیریت ModX:
site.com/manager
صفحه مدیریت concrete5:
site.com/index.php/login
صفحه مدیریت PHP Fusion:
site.com/administration
این نرم افزار، یک ابزار کاربردی و کم حجم است که در یافتن صفحات مهم سایت واقعا مفید عمل میکند.
البته این نرم افزار قابلیتهای دیگری نظیر یافتن باگهای معروف را نیز در خود جای داده است.
راه کارهای فوق را برای سایت خودتان تست کنید، اگر با راهکارهای گفته شده در بالا، نفوذگر میتواند به صفحه مدیریت شما دسترسی پیدا کند باید تغییراتی در ساختار سایت خود بدهید.
اگر نرم افزار سایت خود را به صورت شخصی نوشته اید صفحه ورود به سایت خود را تغییر دهید. اگر از CMS خاصی استفاده میکنید با کمی جستجو در اینترنت راهکارهای تغییر آدرس صفحه مدیریت را بیابید.
اگر اطلاعات صفحه ورود در فایل robots.txt موجود است، این فایل را ویرایش کنید.
و بهترین کار این است که برای آدرس دسترسی به صفحه مدیریت خود پسورد قرار دهید.
امیدواریم این مطلب مفید بوده باشد. در آینده این مطلب بروز رسانی میشود که با عضویت در خبرنامه سایت میتوانید از بروز رسانی این مطلب اطلاع پیدا کنید.