2468060

Dirbuster: Dateien auf Webservern aufspüren

26.11.2019 | 10:03 Uhr |

Auf den ersten Blick ist ein Webserver eine Blackbox. Niemand scheint wissen zu können, wie die Dateien darauf strukturiert sind. Es gibt aber ein Tool, das viel mehr verrät, als sich der Webmaster das vorstellt.

Kein Angreifer schlägt einfach darauf los. Er wird sich zunächst möglichst viele Informationen über das System beschaffen, um danach zu entscheiden, an welcher Stelle ein Angriff möglicherweise erfolgreich ist. Und dafür sind Informationen über die Verzeichnisstruktur des Systems wertvoll. Umgekehrt können Administratoren herausfinden, was ein Angreifer ohne Mühe über den Server herausfindet. So können gezielt Barrieren eingebaut werden. Mit Werkzeugen wie Nikto oder Nmap lassen sich Informationen über die in einem Netz verfügbaren Computer und mögliche offene Ports gewinnen.

Ist erst einmal bekannt, welche Systeme vorhanden und erreichbar sind, kann im nächsten Schritt versucht werden, sich die Verzeichnisse und Dateien darauf genauer anzusehen. Genau das erledigt das Java-Programm Dirbuster

Was Dirbuster herausfindet 

Die Software arbeitet nach einem verblüffend einfachen Prinzip. Sie stellt an einen Webserver in kürzester Zeit eine Reihe von Anfragen, um Dateien und Verzeichnisse abzufragen. Für diese Requests benötigt das Programm entsprechende „Munition“. Diese bezieht es aus Wörterbüchern, in denen Namen von Dateien und Ordnern gespeichert sind, die als Basis für Attacken genutzt werden können. So ist das Verzeichnis „admin“ einer Webanwendung für einen Angreifer immer interessant. Die Methode des wilden Erratens von Dateien wird als „Brute Force“ bezeichnet. Da in recht kurzer Zeit jede Menge Anfragen an das Zielsystem gestellt werden, setzen Sie sie legalerweise nur auf einem eigenen Server ein. Bei ihren Abfragen wertet die Software die von einem Server zurückgemeldeten Codes aus. 

Der bekannteste Fehler, den Nutzer aus dem Alltag kennen, ist die Meldung „404“ – eine Datei wurde also nicht gefunden. Aber längst nicht jedem Nutzer ist auch bewusst, dass der Server auch zurückmeldet, wenn eine Datei vorhanden ist. Der Code „200“ besagt, dass die gewünschte Ressource vorhanden ist. Ein Code „403“, also „forbidden“, weckt natürlich weitere Neugier. Denn damit wurde nicht nur bestätigt, dass es die Datei oder den Ordner gibt, sondern dass der Betreiber verhindern möchte, dass diese einfach abgerufen werden kann.

Dirbuster ist in Kali Linux standardmäßig vorhanden. Da es sich um eine Java-Anwendung handelt, können Sie sich das Archiv aber auch über die Projektseite https://sourceforge.net/projects/dirbuster/support besorgen. Gestartet wird die Anwendung dann über das im Archiv enthaltene Shell-Script.

Dirbuster wird zwar seit einiger Zeit nicht mehr aktiv weiterentwickelt, funktioniert aber nach wie vor ohne Probleme. 

Siehe auch:  Nikto findet Server-Schwachstellen

Verzeichnisstruktur eines Servers ermitteln

Während der Durchsicht baut Dirbuster langsam, aber sicher die Ordnerstruktur des Servers auf. Dabei sind die gemeldeten Codes des Servers interessant.
Vergrößern Während der Durchsicht baut Dirbuster langsam, aber sicher die Ordnerstruktur des Servers auf. Dabei sind die gemeldeten Codes des Servers interessant.

Um einen Webserver zu untersuchen, tragen Sie die URL nach dem Programmstart in das Feld „Target URL“ ein. Ergänzen Sie den Aufruf um den Port für das Protokoll. Bei einem Webserver wird das in der Regel Port 80 sein, als dann beispielsweise „ http://www.meineseite.de:80 “. Im nächsten Schritt müssen Sie eine Wortliste aussuchen, die Dirbuster verwenden soll. Eine kurze Beschreibung der mitgelieferten Listen erhalten Sie, wenn Sie auf den Schalter „List Info“ klicken.

Eine Webrecherche wird Sie optional zu einer ganzen Reihe von zusätzlichen Wörterbüchern führen. Mit „Browse“ wechseln Sie in das Verzeichnis der gewünschten Liste. Die von Dirbuster mitgelieferten Wörterbücher finden Sie üblicherweise im Verzeichnis „/usr/share/dirbuster/wordlists“. Bevor Sie die Untersuchung starten, legen Sie über den Schieberegler noch die Anzahl der parallelen Anfragen („Threads“) fest. Je größer die Anzahl, umso schneller sind Sie natürlich fertig. Andererseits wollen Sie mit dem Rechner wahrscheinlich noch weiterarbeiten. Hier müssen Sie also abwägen. Bereits 20 Prozesse können die Leistung etwas schwächerer Hardware ordentlich belasten. Mit einem Klick auf „Start“ beginnt die Abfrage.

Im Anschluss verfolgen Sie den Fortgang der Anfragen. Auch wenn das spannend ist, lohnt es sich eher, eine oder mehrere Tassen Kaffee zu kochen. Denn die Untersuchung kann sich über einige Stunden hinziehen. Interessant sind die Ergebnisse im Register „Results-Tree View“. Hier sehen Sie, wie sich langsam eine Verzeichnisstruktur des untersuchten Servers vor Ihnen aufbaut. Was für den normalen Seitenbetrachter unsichtbar ist, zeigt Dirbuster. Am Ende eines vollständigen Scans sehen Sie sich die Ergebnisse in den verschiedenen Registern an. Um später jederzeit darauf zurückgreifen zu können, lassen sich die Daten in Form eines Reports exportieren. Dazu klicken Sie am Ende auf den Schalter „Report“. Dabei haben Sie die Wahl, sich auf die gefundenen Verzeichnisse oder Dateien zu beschränken.

Lesetipp: Traffic-Kontrolle mit Burp-Suite

Wie Dirbuster die Sicherheit erhöht 

Servers. Diese Informationen helfen aber auch dem Seitenbetreiber, den Einstieg möglichst zu verhindern und die Sicherheitsstrategie zu überprüfen. Achten Sie etwa auf die Codes des Servers und die Namen der Verzeichnisse. Bei Webanwendungen ist es immer
Vergrößern Servers. Diese Informationen helfen aber auch dem Seitenbetreiber, den Einstieg möglichst zu verhindern und die Sicherheitsstrategie zu überprüfen. Achten Sie etwa auf die Codes des Servers und die Namen der Verzeichnisse. Bei Webanwendungen ist es immer

Mit den Ergebnissen aus Dirbuster wüsste ein Angreifer jetzt also bereits viel über die Struktur des fremden Servers. Diese Informationen helfen aber auch dem Seitenbetreiber, den Einstieg möglichst zu verhindern und die Sicherheitsstrategie zu überprüfen. Achten Sie etwa auf die Codes des Servers und die Namen der Verzeichnisse. Bei Webanwendungen ist es immer ratsam, administrative Verzeichnisse und die darin liegenden PHP-Dateien vor einem externen Zugriff zu schützen. Das erreichen Sie mit einer „htaccess“-Datei. Eine Webrecherche erklärt Ihnen schnell, wie diese aufgebaut sein muss, um den externen Zugriff zu unterbinden.

Dirbuster ist aber auch hilfreich, wenn es darum geht, Sicherheitslücken zu schließen, die sich durch längst vergessene Installationen ergeben. Vielleicht haben Sie vor lange Zeit eine Software zum Teilen von Fotos ausprobiert? Oder testweise eine Anwendung wie Wordpress benutzt, dann aber nie produktiv genutzt? Wenn sich solche PHP-basierten Anwendungen dann vielleicht sogar eine Datenbank mit anderen Programmen teilen, kann das brandgefährlich sein. Auch Dateien wie „Changelogs“ oder „Readme“ verraten Details zu Programmen, die auf dem Webserver laufen. Sie haben nach der Installation keine Funktion mehr und können in der Regel entfernt werden. Das trägt ebenfalls zu mehr Sicherheit bei.

Beim Löschen von Dateien und Verzeichnissen müssen Sie stets umsichtig agieren. Bei allen Dateien, von denen Sie nicht sicher sind, ob diese tatsächlich gelöscht werden können, machen Sie es sich am besten zur Gewohnheit, diese zunächst nach einem sprechenden Schema umzubenennen – etwa mit dem Zusatz „.old“.

Testen Sie danach Ihren Webserver mit allen Diensten. Erst dann, wenn alles nach wie vor reibungslos läuft, entfernen Sie diese Dateien endgültig.

Die Themen in Tech-up Weekly #170:

► Shadow: Cloud Gaming ab 12,99 Euro im Monat
www.pcwelt.de/news/Shadow-Cloud-Gaming-ab-12-99-Euro-im-Monat-10692849.html

► Vodafone schließt “größtes LTE-Funkloch Deutschlands”
www.pcwelt.de/news/Vodafone-schliesst-groesstes-LTE-Funkloch-Deutschlands-10691536.html

Quick-News:

► Google-KI schlägt 99,8 Prozent aller Starcraft 2 Spieler
www.pcwelt.de/news/Google-KI-schlaegt-99-8-Prozent-aller-Starcraft-2-Spieler-10694094.html
► Neue Netflix-Funktion sorgt für Wirbel im Netz und in Hollywood
www.pcwelt.de/news/Neue-Netflix-Funktion-sorgt-fuer-Wirbel-im-Netz-und-in-Hollywood-10692744.html
► EA-Spiele demnächst wohl wieder bei Steam erhältlich
www.pcwelt.de/news/Electronic-Arts-EA-Spiele-demnaechst-wohl-wieder-bei-Steam-erhaeltlich-10692013.html

►Nvidia: Neuer Shield TV und Shield TV Pro 2019 vorgestellt
www.pcwelt.de/news/Nvidia-Neuer-Shield-TV-und-Shield-TV-Pro-2019-vorgestellt-10692071.html

►Verbot sexueller Nutzung von Emojis auf Facebook und Instagram
www.pcwelt.de/news/Verbot-sexueller-Nutzung-von-Emojis-auf-Facebook-und-Instagram-10694072.html

►Core i9 9900KS: Intels Top Gaming CPU startet
www.pcwelt.de/news/Core-i9-9900KS-Intels-Top-Gaming-CPU-startet-10692549.html

Fail der Woche:

► “Kein Handy vor 11 Jahren!”, fordert Deutschlands oberster Kinderarzt
www.pcwelt.de/news/Kein-Handy-vor-11-Jahren-fordert-Deutschlands-oberster-Kinderarzt-10693340.html



► Zum PC-WELT T-Shirt-Shop:
www.pcwelt.de/fan

► Unterstützt uns, werdet Kanalmitglied für nur 99 Cent im Monat und erhaltet exklusive Vorteile (jederzeit kündbar):
www.youtube.com/pcwelt/join

► Windows-10-Key günstig & legal von Lizengo.de:
tidd.ly/2e760c56

--------

Unser Equipment (Affiliate-Links):

🎥Kameras:
amzn.to/2SjTm72
amzn.to/2IuqA3T
amzn.to/2IvFtmk

🔭Objektive:
amzn.to/2E0wofO
amzn.to/2NkGoFd

➡️ Stative:
teuer: amzn.to/2DIlCeV
günstig: amzn.to/2IHm026
Einbein: amzn.to/2T0WbPG

📺Field Monitore:
teuer: amzn.to/2UnVbWk
günstig: amzn.to/2IKAbUv

🎤Mikros:
Lavalier: amzn.to/2IxIlzm
Headset: de-de.sennheiser.com/hsp-esse...
Hand: amzn.to/2HdVKIT
Shotgun: amzn.to/2tA6ZoE

➡️ Kamera-Cages & Zubehör:
amzn.to/2Estthx
amzn.to/2XY5M7N
Damit habt Ihr alles im Griff: amzn.to/2SmfptN

➡️ Schulter-Rigs:
teuer: bit.ly/2V08tny
günstig: amzn.to/2PJrr0z

💻 Schnitt-Notebooks:
Apple: amzn.to/2JuPgYY
Nicht-Apple: amzn.to/2E3vsHI


PC-WELT Marktplatz

2468060