بهره برداری از فایل robot.txt

منتشر شده در دسته : بلاگ, تست نفوذ وب

فایل robot فایلی است که برای روبوت های وب مثل گوگل طراحی شده است. درون فایل robot می توانید دسترسی به برخی منابع وب سایت را از اختیار کاوشگرهای گوگل خارج کنیم یا مجوز دسترسی به برخی صفحات را صادر کنیم. عدم پیکربندی صحیح این فایل موجب درز اطلاعاتی حیاتی درباره برخی صفحات و پوشه های سایت خواهد شد . به همین منظور فایل robot یکی از منابع اطلاعاتی مهم وب در فاز ریکان به شمار می رود.

ما در فاز ریکان بایستی بفهمیم که آیا صفحه یا پوشه هایی از سایت وجود دارند که به صورت عادی لینک شده اند یا خیر. برای مثال یک سیستم مدیریت محتوا حاوی صفحه ورود می باشد که ادمین سایت فقط باید به آن دسترسی پیدا کند. پیدا کردن یک چنین صفحه ای موجب گسترده کردن زمینه تست ما خواهد شد.

بهره برداری از فایل robot

در اینجا می خواهیم با استفاده از فایل robot فایل ها و پوشه های بیشتری را بر روی سرور کشف کنیم که به حالت عادی در صفحه اصلی وب یافت نمی شوند. هرچند چنین آزمایشی در یک اپلیکیشن امن وب عملی نیست ولی باور داشته باشید که در فضای وب سایت های زیادی وجود دارند که از این طریق اطلاعات مخفی را درز می کنند.

مثل قبل سیستم  OWASP بر روی ماشین مجازی خود را باز کنید و آدرس آیپی آن را به دست آورید. در این آزمایش اپلیکیشن آسیب پذیر vicnum هدف ما می باشد.

فایل robot - بهره برداری از فایل robot - فایل روبوت

کافی است تا درون مرورگر خود آدرس زیر را مرور کرده و اپلیکیشن vicnum را باز کنیم.

فایل robot همیشه در روت وب سرور قرار دارد در نتیجه کافی است تا پس از آدرس آیپی یا نام دامنه سایت robots.txt را وارد کنیم تا به این فایل دسترسی پیدا کنیم.

این فایل به موتورهای جستجو می گوید که ایندکس کردن پوشه های jotto و cgi-bin اجازه داده نمی شود. هر چند به این معنی نیست که ما نتوانیم آنها را مرور کنیم.

فایل robot - بهره برداری از فایل robot - فایل روبوت

اگر درون مرورگر به این مسیر رفته فایل های جالب توجهی نظر ما را به خود جلب خواهد کرد.

فایل robot - بهره برداری از فایل robot - فایل روبوت

همچنین می توانید به پوشه jotto رفته که حاوی اسکریپت jotto می باشد.

فایل robot - بهره برداری از فایل robot - فایل روبوت

و این فایل را باز و بررسی کنیم.

فایل robot - بهره برداری از فایل robot - فایل روبوت

صاحب امتیاز نت آموز : نویسنده , مدرس و متخصص در زمینه امنیت شبکه های رایانه ای

نظرات غیرمرتبط با موضوع این مطلب تایید نخواهند شد. این سوالات را می توانید از بخش پشتیبانی آموزشی مطرح کنید

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *