Situs web bukan hanya aplikasi yang berdiri sendiri. Ini terdiri dari folder, direktori, dan halaman yang membawa instruksi dan informasi untuk tugas atau permintaan tertentu. Saat Anda berinteraksi dengan situs web, Anda akan diarahkan melalui serangkaian direktori. Tetapi tidak semua direktori terlihat oleh Anda; beberapa disembunyikan dari publik. Bagaimana peretas mengetahui tentang direktori tersembunyi dan mengeksploitasinya?

Apa itu Direktori Meledak?

Direktori bursting (juga dikenal sebagai direktori brute force) adalah teknologi aplikasi web yang digunakan untuk menemukan dan mengidentifikasi kemungkinan direktori tersembunyi di situs web. Ini dilakukan dengan tujuan menemukan direktori web yang terlupakan atau tidak aman untuk melihat apakah mereka rentan terhadap eksploitasi.

Bagaimana Cara Kerja Direktori Meledak?

Pembongkaran direktori dilakukan dengan menggunakan kombinasi alat otomatis dan kumpulan skrip yang disebut daftar kata. Beberapa alat tersebut antara lain Gobuster, Dirb, FFUF, Dirbuster, dll. Bagaimana cara kerja direktori bursting?

instagram viewer

Apa itu Direktori?

Direktori adalah folder atau kumpulan file yang berisi informasi. Ini digunakan untuk tujuan organisasi dan menggunakan sistem hierarkis. Aplikasi web terdiri dari banyak direktori dan subdirektori dan ini pada gilirannya digunakan untuk menyimpan informasi seperti file HTML statis, servlet, file CSS dan JavaScript, perpustakaan eksternal, gambar, dll.

Misalnya, halaman MakeUseOf seorang penulis dapat membaca "www[dot]makeuseof.com/author/author-name/page/2/" jika Anda berada di halaman kedua profil penulis. Nama situs atau direktori root adalah "www[dot]makeuseof.com". Ini memiliki subdirektori yang menyimpan profil dan karya penulis bernama "/ author/". Direktori ini memiliki subdirektori lain yang berisi karya-karya penulis tertentu. Kemudian, direktori berikutnya berisi nomor halaman tempat Anda berada.

Mengetik ratusan nama direktori secara manual ke dalam situs web untuk memindai kemungkinan direktori tersembunyi akan menjadi tugas yang memakan waktu dan sia-sia. Sebaliknya, peretas menggunakan alat di samping daftar kata untuk mengotomatiskan serangan ledakan direktori. Alat otomatis ini biasanya multithreaded dan bekerja dengan: membuat permintaan HTTP atau HTTPS dari setiap nama file dalam daftar kata. Jika nama direktori ada, kode dan nama respons dicatat dan ditampilkan.

Sebuah direktori bursting atau alat brute-forcing hanya sebagus daftar kata. Daftar kata, seperti namanya, biasanya berupa file .txt yang berisi ribuan kemungkinan nama direktori dan file yang akan dipindai oleh alat brute-forcing direktori. Ada sejumlah besar daftar kata yang tersedia di internet, dan banyak alat pemecah direktori juga disertakan.

Untuk memaksa direktori situs web, Anda memerlukan URL situs web dan daftar kata. Beberapa alat pemecah direktori menyediakan opsi seperti kecepatan, ekstensi file, atau memungkinkan Anda menentukan tingkat direktori mana yang akan dipindai atau disembunyikan kata-kata tertentu.

Cara Melindungi Situs Web Anda Dari Ledakan Direktori

Direktori bursting atau brute-forcing itu sendiri tidak berbahaya, karena hanya menyebutkan direktori tersembunyi yang mungkin Anda miliki di situs web Anda. Informasi yang mungkin ditemukan peretas di direktori itulah yang menciptakan kerentanan di situs web Anda. Jika Anda menyimpan informasi sensitif seperti kode sumber atau database di direktori tanpa menerapkan izin yang tepat, peretas dapat memanfaatkannya.

Dan siapa pun bisa menjadi rentan: bahkan Kode sumber Microsoft bocor!

Kerentanan paling umum yang mungkin timbul dari ledakan direktori adalah kerentanan direktori atau jalur traversal. Kerentanan ini memungkinkan peretas mengakses file dan direktori yang biasanya tidak boleh mereka izinkan. Dengan traversal direktori, peretas dapat membaca dan terkadang menulis ulang file arbitrer di aplikasi web. Mereka melakukan ini dengan meningkatkan hak istimewa dari hak pengguna ke hak akses root.

Berikut adalah beberapa tip untuk melindungi situs web Anda dari kerentanan ledakan direktori:

  • Terapkan izin file dan direktori.
  • Selalu validasi pengguna dan masukan pengguna.
  • Selalu perbarui server Anda dan infrastruktur di belakangnya.

Pemaksaan direktori tidak hanya mengidentifikasi direktori tersembunyi di situs web Anda, tetapi juga memberikan informasi tentang struktur situs web Anda⁠—informasi yang terbukti berguna bagi peretas yang terampil.

Pembongkaran Direktori dan Peretasan Etis

Peretas etis menggunakan alat penghancur direktori untuk mengurangi kerentanan sebelum penjahat dunia maya menemukannya. Pembongkaran direktori penting dalam fase enumerasi uji penetrasi web, dan dapat meningkatkan keamanan situs web dengan mencari informasi pada layanan web yang seharusnya tidak dapat diakses oleh publik dan menghapus mereka.

Apa itu Pengujian Penetrasi dan Bagaimana Meningkatkan Keamanan Jaringan?

Baca Selanjutnya

MembagikanMenciakMembagikanSurel

Topik-topik yang berkaitan

  • Keamanan
  • Internet
  • Keamanan Daring
  • Peretasan

Tentang Penulis

Chioma Ibeakanma (22 Artikel Diterbitkan)

Chioma adalah seorang penulis teknis yang suka berkomunikasi dengan pembacanya melalui tulisannya. Ketika dia tidak sedang menulis sesuatu, dia dapat ditemukan bergaul dengan teman-teman, menjadi sukarelawan, atau mencoba tren teknologi baru.

More From Chioma Ibeakanma

Berlangganan newsletter kami

Bergabunglah dengan buletin kami untuk kiat teknologi, ulasan, ebook gratis, dan penawaran eksklusif!

Klik di sini untuk berlangganan