Toon posts:

Geheime delen websites ontdekken?

Pagina: 1
Acties:

dinsdag 31 mei 2011 17:15

Acties:
  • 0Henk 'm!
  • melkislekker
  • Registratie: Januari 2007
  • Laatst online: 22-04 12:46

melkislekker

Topicstarter
Ik had een workshop speedreading gevolgd en ik mocht de persoon mailen voor bonusmateriaal.

Deze persoon stuurde mij een link en noemde het de geheime deel voor studenten :P

Na op die website normaal naar dat onderdeel te hebben gezocht, kon ik inderdaad de files niet vinden, alleen via de link die hij had gegeven, en je hoefde niet eens in te loggen!

Ik vroeg mij af of je op elk website de geheime onderdelen kan ontdekken met een programma of de broncode te bekijken of iets dergelijks? :)

dinsdag 31 mei 2011 17:16

Acties:
  • 0Henk 'm!
  • 418O2
  • Registratie: November 2001
  • Laatst online: 23-05 12:27

418O2

Nou, als het niet gelinkt staat, is het niet gelijk geheim, maar met tools als WGET kan je een hoop doen, tenzij het wel goed is afgeschermd, want dan kom je er natuurlijk niet zo 1-2-3 in.

dinsdag 31 mei 2011 17:16

Acties:
  • 0Henk 'm!
  • ExploitSolo
  • Registratie: Januari 2011
  • Laatst online: 28-05 21:57

ExploitSolo

Zou je een idee van de link kunnen sturen? je mag deze wel aanpassen ofc.

dinsdag 31 mei 2011 17:19

Acties:
  • 0Henk 'm!
  • Greyfox
  • Registratie: Januari 2001
  • Laatst online: 24-05 22:10

Greyfox

MSX rulez

Als je die folder niet indexeert, dan vind je hem niet, ook Google niet.
Aangezien het geen cursus website security was, denk ik dat het een link naar een ongeindexeerde onbeveiligde folder is.

MSX 2 rulez more

dinsdag 31 mei 2011 17:20

Acties:
  • 0Henk 'm!
  • Anoniem: 63975
  • Registratie: September 2002
  • Niet online

Anoniem: 63975

ExploitSolo schreef op dinsdag 31 mei 2011 @ 17:16:
Zou je een idee van de link kunnen sturen? je mag deze wel aanpassen ofc.
Dat kan je toch wel zelf verzinnen?

www.interessantesite.nl
www.interessantesite.nl/geheim

Als er niet gelinkt is naar /geheim, kom je er alleen als je weet dat het bestaat.

dinsdag 31 mei 2011 17:20

Acties:
  • 0Henk 'm!
  • u_nix_we_all
  • Registratie: Augustus 2002
  • Niet online

u_nix_we_all

Volgens mij is het heel simpel. Er staat een file in een directory op de webserver. Je krijgt geen link, maar een url (dus bijv. http://www.website.nl/directory/file). De webserver geeft je die gewoon.
Als er nergens vandaan een link word gemaakt naar dat bestand, zal deze best onvindbaar zijn, ook voor zoekmachines. Als de naam van de directory en bestand maar obscuur genoeg zijn, vind niemand die zomaar.


Edit:
418O2 schreef op dinsdag 31 mei 2011 @ 17:16:
Nou, als het niet gelinkt staat, is het niet gelijk geheim, maar met tools als WGET kan je een hoop doen, tenzij het wel goed is afgeschermd, want dan kom je er natuurlijk niet zo 1-2-3 in.
Ik zie niet helemaal hoe wget je hier gaat helpen :?

[Voor 30% gewijzigd door u_nix_we_all op 31-05-2011 17:22]

You don't need a parachute to go skydiving. You need a parachute to go skydiving twice.

dinsdag 31 mei 2011 17:21

Acties:
  • 0Henk 'm!
  • melkislekker
  • Registratie: Januari 2007
  • Laatst online: 22-04 12:46

melkislekker

Topicstarter
ExploitSolo schreef op dinsdag 31 mei 2011 @ 17:16:
Zou je een idee van de link kunnen sturen? je mag deze wel aanpassen ofc.
Hmmm, why not, ik laat het hier wel tijdelijk staan!

-weg, stuur het liever als pm op-

[Voor 9% gewijzigd door melkislekker op 31-05-2011 17:22]

dinsdag 31 mei 2011 17:23

Acties:
  • 0Henk 'm!
  • ExploitSolo
  • Registratie: Januari 2011
  • Laatst online: 28-05 21:57

ExploitSolo

Kijk, zo'n link wat je net post

dat vind je waarschijnlijk zo niet ergens weer als het nergens gepost is.

dinsdag 31 mei 2011 17:24

Acties:
  • 0Henk 'm!
  • melkislekker
  • Registratie: Januari 2007
  • Laatst online: 22-04 12:46

melkislekker

Topicstarter
ExploitSolo schreef op dinsdag 31 mei 2011 @ 17:23:
Kijk, zo'n link wat je net post

dat vind je waarschijnlijk zo niet ergens weer als het nergens gepost is.
? :{

Ik wou je het als PM sturen maar ik zie dat dta hier niet lukt, daarvoor:

-weg-

[Voor 5% gewijzigd door melkislekker op 31-05-2011 17:28]

dinsdag 31 mei 2011 17:27

Acties:
  • 0Henk 'm!
  • TheDarkstar
  • Registratie: Mei 2007
  • Laatst online: 26-02-2022

TheDarkstar

Is dat niet een optie van .htacces ? Staat me iets van bij in een grijs verleden...

dinsdag 31 mei 2011 17:28

Acties:
  • 0Henk 'm!
  • u_nix_we_all
  • Registratie: Augustus 2002
  • Niet online

u_nix_we_all

melkislekker schreef op dinsdag 31 mei 2011 @ 17:24:
[...]


? :{
[knip]
OK, je begrijpt wel dat met het posten van de link het absoluut niet meer classificeert als "geheim gedeelte voor de studenten" mag ik hopen ?
Beetje rare actie, lijkt me niet dat dit de bedoeling was van degene die je de link gaf .....

You don't need a parachute to go skydiving. You need a parachute to go skydiving twice.

dinsdag 31 mei 2011 17:28

Acties:
  • 0Henk 'm!
  • Xander
  • Registratie: Oktober 2002
  • Laatst online: 16:57

Xander

melkislekker schreef op dinsdag 31 mei 2011 @ 17:24:
[...]


? :{

Ik wou je het als PM sturen maar ik zie dat dta hier niet lukt, daarvoor:
Dat komt omdat je zelf de DM-functionaliteit niet hebt ingeschakeld...
-snip-
Ik zie niet wat de daadwerkelijke link toevoegt, die is niet wezenlijk anders dan het voorbeeld van fridgeman:
Anoniem: 63975 schreef op dinsdag 31 mei 2011 @ 17:20:
[...]

Dat kan je toch wel zelf verzinnen?

www.interessantesite.nl
www.interessantesite.nl/geheim

Als er niet gelinkt is naar /geheim, kom je er alleen als je weet dat het bestaat.
En zo'n directory vinden wordt erg lastig*, zo lang er geen links naar zijn. Die directory die jij nu post wordt straks waarschijnlijk wél vindbaar, zodra google dit topic geindexeert heeft... (dat gaat sneller dan je verwacht!)

* Tenzij je alle mogelijke directory-namen gaat brute-forcen natuurlijk, maar dat lijkt me een kansloze opgave en het valt een beetje op...

PC specs!---Pulse mee voor GoT!
[22:49:37] <@Remy> ik wil een opblaasbare dSLR :+

dinsdag 31 mei 2011 17:28

Acties:
  • 0Henk 'm!
  • 418O2
  • Registratie: November 2001
  • Laatst online: 23-05 12:27

418O2

u_nix_we_all schreef op dinsdag 31 mei 2011 @ 17:20:
Volgens mij is het heel simpel. Er staat een file in een directory op de webserver. Je krijgt geen link, maar een url (dus bijv. http://www.website.nl/directory/file). De webserver geeft je die gewoon.
Als er nergens vandaan een link word gemaakt naar dat bestand, zal deze best onvindbaar zijn, ook voor zoekmachines. Als de naam van de directory en bestand maar obscuur genoeg zijn, vind niemand die zomaar.


Edit:


[...]

Ik zie niet helemaal hoe wget je hier gaat helpen :?
WGET kan toch complete sites ophalen? Of gebruikt die Html links?

dinsdag 31 mei 2011 17:30

Acties:
  • 0Henk 'm!
  • Chesta
  • Registratie: November 2004
  • Laatst online: 20-02 21:42

Chesta

TheDarkstar schreef op dinsdag 31 mei 2011 @ 17:27:
Is dat niet een optie van .htacces ? Staat me iets van bij in een grijs verleden...
Jij doelt op:
code:
1

Options +Indexes


Maar daar heeft het in dit geval niet mee te maken. Er is simpelweg geen link gemaakt vanaf de 'gewone' website naar deze pagina.

End of Transmission

dinsdag 31 mei 2011 17:30

Acties:
  • 0Henk 'm!
  • u_nix_we_all
  • Registratie: Augustus 2002
  • Niet online

u_nix_we_all

418O2 schreef op dinsdag 31 mei 2011 @ 17:28:
[...]

WGET kan toch complete sites ophalen? Of gebruikt die Html links?
Hoe kan wget anders weten wat er te halen is ?

@Henk hieronder:
Dat is dus bot brute-forcen, het tooltje probeert gewoon enorm veel directory-namen en kijkt of het bestaat..... leuk voor lame script-kiddies.
Mensen die om dat soort tooltjes vragen en ze niet zelf kunnen verzinnen/scripten staan nog 1 stapje onder de script-kiddies op de evolutionaire ladder des internet IMHO. Wie de schoen past....

Edit ....
Oh nog wat: Toestemming van de serverbeheerder om iets te brute-forcen terwijl je hem dus ook gewoon kunt vragen wat waar te vinden is ? _/-\o_ :+

[Voor 55% gewijzigd door u_nix_we_all op 31-05-2011 17:49]

You don't need a parachute to go skydiving. You need a parachute to go skydiving twice.

dinsdag 31 mei 2011 17:30

Acties:
  • 0Henk 'm!
  • Henk007
  • Registratie: December 2003
  • Laatst online: 18-05 18:51

Henk007

melkislekker schreef op dinsdag 31 mei 2011 @ 17:15:
Ik vroeg mij af of je op elk website de geheime onderdelen kan ontdekken met een programma of de broncode te bekijken of iets dergelijks? :)
Zulke tooltjes zijn er wel, bijvoorbeeld Owasp dirbuster

Vraag wel eerst toestemming aan de eigenaar van de website en server, want je maakt misbruik van de resources.
Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee