Scoperta automatica dell'URL

La scoperta di URL in natura tende a essere eseguita in uno dei tre modi

1. Basato sul motore di ricerca. Se il tuo contenuto viene indicizzato da un motore di ricerca, è individuabile. questo non si limita a includerli direttamente sul tuo sito, se altri siti linkano al contenuto potrebbero essere trovati in quel modo.
2. "URL conosciuti". Esistono molti URL noti come cose come le interfacce amministrative o CGI con problemi noti. Strumenti come nikto gestiscono un database e possono essere utilizzati dagli autori di attacchi per scoprire i sistemi su cui è installato quel software.
3. forza bruta. Strumenti come OWASP DirBuster combinati con elenchi di nomi di directory / file comuni possono essere utilizzati per scoprire il contenuto.

In termini di un attacco non mirato a meno che tu non abbia un software vulnerabile comune (ad esempio phpmyadmin) ospitato su un URL predefinito, è improbabile che tu abbia un problema dato che il numero di siti su Internet rende improbabile che tu Affronteremo un attaccante umano incentrato sulla ricerca di contenuti sul tuo sito.

Con uno strumento di attacco mirato come nikto e dirbuster sarebbe possibile provare e trovare contenuti sul tuo sito.

Se si dispone di informazioni che non si desidera trovare, è consigliabile aggiungere l'autenticazione e SSL per impedire l'accesso non autorizzato ad esso.

Un modo sarebbe utilizzare uno strumento chiamato ZAP, contiene un fork di DirBuster. Puoi utilizzare la navigazione forzata del dizionario per provare gli URL comuni.

ZAP è uno strumento gratuito di OWASP