Suchanfrage des Tages: Directory Listings finden.

Diesmal gibt eine recht nützliche Suchanfrage um die eigene Seite auf das sogenannte “Directory Lisiting” zu testen. Das klingt technisch – und ist es auch. Aber – aus rein sicherheitstechnischen Aspekten – ist das ein wichtiger Check, an den nur wenige denken. Worum geht es also? Um das so genannte Directory Listing. Über dieses erhält man via Browser Zugriff auf alle Dateien eines Verzeichnisses, sofern keine bestimmte Datei angesteuert wird. Und das muss man vermeiden. Hä?

Anderst gesagt: Bei den meisten Servern ist hinterlegt, dass, sofern ein Verzeichnis angesteuert wird, eine bestimmte Datei zurückgegeben wird. Meist ist das die Index-Datei. Beim Apache beispielsweise wird diese Datei oder Dateien in der DirectoryIndex Directive mittels Module mod_dir hinterlegt:

<Directory „/htdocs/“>
DirectoryIndex index.html index.php
</Directory>

Sofern nun allerdings keines dieser angegebenen Dokumente gefunden wird und nur ein Verzeichnis abgefragt wird, sorgt das Apache-Modul mod_autoindex dafür, dass eine Liste des gesamten Directory-Inhaltes ausgegeben wird

Das sollte jedoch aus sicherheitstechnischen Gründen unterbunden werden. Via „Parent Directory” beispielsweise könnte man sich in der Struktur nach oben hangeln und so Zugriff auf Dateien erhalten, welcher ein User eigentlich gar nicht (oder unbedingt nicht) sehen sollte.

Lösen kann man das Problem beispielsweise, indem man jedes Verzeichnis mit einer Index-Datei ausstattet. Diese wird – sofern wie oben festgelegt – auch dann vom Server ausgegeben, wenn ein nur Verzeichnis angesteuert wird. 

Eine leere Index-Datei ist demnach ausreichend um diesen unerwünschten Zugriff auf die Server-Struktur zu unterbinden. Aber auch in der Server-Config kann dies unterbunden werden:

<Directory „/usr/local/apache/htdocs/“>
Option -Indexes
</directory>

So, und wie finden wir solche Verzeichnisse nun? Klar, wir könnten einfach testen, wie der Server bei einer Eingabe reagiert. Allerdings lassen sich mit den o.g. Lösungen auch nur einzelne Verzeichnisse vom Listing ausnehmen und viele von euch haben vielleicht gar keine Möglichkeit die Einstellungen daraufhin zu testen. Also fragen wir doch einfach Tante Google, ob sie ein Listing unserer Seite kennt.

Intitle:“index of“ Site:eure_Seite

Sofern ihr nun kein Ergebnis zurückbekommt ist alles gut…

Directory-lising-contentmanufaktur

Natürlich kann diese Suchanfrage auf jede beliebige Seite angewandt werden und mit dem Weglassen des Site:-Befehls sogar generell danach gesucht werden. 

Das wollen wir aber doch gar nicht, denn da wir die sicherheitstechnischen Schwachstellen anderer Seiten nicht ausnutzen, brauchen wir diese schließlich auch gar nicht erst zu finden. 🙂 So etwas schimpft sich dann nämlich “Google Hacking” und ist echt total uninteressant…

Na gut, ein Beispiel können wir uns nicht verkneifen. Nehmen wir mal eine Seite, deren Betreiber es vermutlich gewohnt sind, im Internet nicht gerade mit Samthandschuhen angefasst zu werden. Und Beispiele sind schließlich wichtig… für den Lernprozess. 

intitle:“index of“  site:wikiscientology.org

listing of scientologywiki

Das war´s auch schon wieder mit der Suchanfrage des Tages. Und bitte kommt jetzt nicht auf die Idee, die Anweisung mit Intitle:“index of“ mit intitle:geheim zu kombinieren. 🙂 

Allen einen guten (und vorallem sicheren) Start in die Woche!

GD Star Rating
loading...
Suchanfrage des Tages: Directory Listings finden., 5.0 out of 5 based on 2 ratings

Max Bloch

Während seines Studiums der Wirtschaftsinformatik absolvierte Maximilian Bloch (28) sein Praxissemester bei der Firma 4SELLERS|logic base im Bereich Competitve Research, wo er auch später als Werkstudent in der E-Commerce-Beratung und im Vertrieb von E-Commerce-Systemen tätig war. Nach einem kurzem Zwischenstopp bei der Performance-Marketing-Agentur explido beendete er sein Studium mit einer Bachelorarbeit über Content Marketing bei der CONTENTmanufaktur. Hier war er anschließend als SEO Consultant und später Senior SEO Consultant in beratender Mission für unsere Kunden unterwegs. Inzwischen ist er Online Marketing Manager bei der Allianz und berät mit seinem SEO-Atelier Kunden im Bereich SEO und Onlinemarketing.

More Posts - Facebook

Schreiben Sie einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.