目录遍历漏洞的探测

    随机打开一个Jsp的网站,发现由于在系统管理员在配置方面的不小心,存在目录遍历的漏洞,有的甚至没有关闭Tomcat自带的管理界面。

   在查找这些网站时,我发现国外做的要比国内做的好,一般国内40%以上的网站存在此类问题,特别是有的服务端口放在8080,这种问题更显突出,而国外存在此种情况不多,如果有也是一些网站提供WEB下载服务,而粗心配置的可能性较少,这里的国外一般是指欧美,韩国以及日本的网站也存在此类问题。

   查找此类漏洞有一个非常好的办法,用Google Hacking

  比如输入index of   , intext ,inurl 等几种输入方式的组合,具体的Google Hacking使用语法,网上一大篇,这个工具的原理是Googel将你输入搜索的关键字所得到的网页,对其内部具体内容在进行按指定方式过滤。

  这个过滤后的结果集是我们所关心,用这种方法甚至能够找到 Linux下的etc/passwd文件。

  不过有一段时间,在进行测试时,发现轻松进入了两个老外的网站,由于攻击很轻松,但是发现一些上当了,进入了别人精心设计的Hot pet了。

  这也要小心一点了,国外的密灌比较多,国内相当较少,当然投资一个密灌有时候对于主动维护一个大的系统还是很有必要的,看来要加强了,实施过程比较简单的是装一个Virtual machine,运行一些假的服务,对外公布端口,当然也有更牛一些的密灌。

   言归正传,对于目录遍历漏洞的修改是在配置文件上一个小的改动,将conf/web.xml中将listings  改为false,就是这样的举动在一些管理员也没有引起关注,发Mail告诉了他们,邮件回的很客气,但发现还是没有改。可能认为这样的漏洞不足以影响系统运行,但是从前有个网友成功用这个方法从一个网站上下载了其管理员放置的一些文件,有一个文件是管理员导出的其数据库用户名,密码,以及Email的信息,总计4万条,这个网站也算有点名气,更令人感到不解的是其密码的存储竞然没有用MD5加密,直接明文。

   有时候这种漏洞想利用也很Easy,因为就是一种耐心的考验而已。

   总结了一下经验网站目录往往以下方式命名:

   admin

   images

   img

   image

   download

   upload

   news

   data

   database

   inc

   js

   include

  CSS

  conf

  manager

   有些JS文件可以下下来,有时候能看到有的网站JS写的很规整,呵呵,规整的代码即方便自己读,也方便别人分析,特别有时候基于Ajax通信的模块。

   而统计后发现如果出现此类漏洞如果发生在.gov网站上的,十有八九其Tomcat管理界面也不会关,并且默认用户名跟密码更不知道去改。

  希望存在此类漏洞的管事员,引以为戒吧!!!

你可能感兴趣的:(网络安全,tomcat,google,download,database,upload,manager)