Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Апачи в Конкурентной разведке. Отличное объяснение от Lukamu

Ющук Евгений Леонидович

Приватный уровень доступа
Почётный член IAPD
Регистрация
23 Октябрь 2013
Сообщения
522
Реакции
2
Баллы
18
Адрес
Екатеринбург, тел. +7-950-641-06-09
Веб-сайт
ci-razvedka.ru
Источник [DLMURL]https://yushchuk.livejournal.com/240739.html[/DLMURL]

Привожу материал "as is". Объяснено, на мой взгляд, отлично. Автор: lukamud , Источник: [DLMURL]https://lukamud.livejournal.com/23151.html[/DLMURL]
Далее - цитата.

Особенности национального хака. Черновые записи визита президента в ДФО в открытом доступе?

250301_original.jpg


В последнее время yushchuk , dobryi_leshii и др. активно эксплуатируют «одну из особенностей» веб сервера Apache для поиска нужных для работы материалов. Но изложено это в такой непонятно для обывателя форме, что это сподобило меня на написание отдельного поста.


Да простят меня коллеги я расскажу про это на обывательском уровне. И так при обращении пользователя с помощью браузера (программа с помощью которой смотрят интернет странички) к некоторому URL (это то, что Вы набираете в окошке браузера типа https://it2b.ru/company/hreshebnik/blog/ ... m=facebook com) веб- или HTTP-сервер принимает клиентский запрос, обрабатывает его и передает запрашиваемые данные. Эти данные, обрабатываются браузером и визуализируются на экране.

Первый HTTP-сервер изобрели в 1990 г. в «Европейской организации по ядерным исследованиям» (CERN). В настоящее время мне известно порядка десяти типов HTTP-серверов, наиболее распространенным является Apache (Apache HTTP Server). Все они работают в типовых случаях примерно одинаково. Поэтому в дальнейшем, будем рассматривать на примере Apache. Если в каталог (директорию, папочку) который определен корневым для сервера, положить файлик с именем index.html, содержащий некий HTML код, то пользователь, обратившийся к ресурсу увидит соответствующую страничку. А что будет если в этот каталог не положить ни одного файла, или положить один или несколько файлов, имеющих имена отличные от index.html ? В этом случае ответ сервера зависит от его настроек. Можно настроить сервер так, что он не будет показывать содержание каталога, а можно и так, что бы HTTP-сервер автоматически индексировал содержимое каталога и формировал соответствующую страничку. Примерный вид этой странички можно увидеть вначале поста.

Обратите внимание, на этой, автоматически сгенерированной странице находятся фраза «Index of», наименование HTTP-сервера - «Apache», имена файлов и дата их модификации. Это обстоятельство позволяет легко находить такие страницы с помощью поисковых систем.

Меня заинтересовал вопрос, много ли подобных страниц на официальных государственных сайтах РФ? Для этого я спросил у Google:

2010 "index +of" apache site:gov.ru

На общечеловеческом языке это означает, что

«Уважаемый г-н Google, не могли бы Вы мне сказать, имеются ли автоматически создаваемые с помощью Apache, содержащие свежую, за 2010 г. информацию, индексные странички, на хостах в зоне (на сайтах названия которых заканчиваются на) gov.ru, используемой для размещения официальных сайтов в РФ?»


Google мне оперативно ответил, что таких страничек примерно 722. На первой странице выдачи фигурировали сайты «Администрации г. Тамбова» https://city.tambov.gov.ru/ и сайт https://it2b.ru/company/hreshebnik/blog/ ... m=facebook по адресу https://dfo.gov.ru/ находится официальный сайт полномочного представителя Президента Российской Федерации по Дальневосточному федеральному округу). В каталоге /press/020710Preziden находились файлы с именами:

Дарькин_.zip , Дарькин_ЗВУК.mp3, Медведев_.zip , Медведев_ЗВУК.mp3, Подсъемки1.zip.


Судя по названиям, размерам и датам файлы содержат результаты видеосъемок и звукозаписей сделанных во время визита Президента РФ Д. Медведева в Дальневосточный федеральный округ. Я не имел желания ознакамливаться с этими файлами, но их наличие в Интернете, в свободном доступе меня несколько удивило. Мне кажется, что эти файлы не предназначены для публичного использования. На это указывает, например, их размещение в виде архивов. О необходимости корректной установки автоматического индексирования каталогов пишут уже не первый десяток лет. Я мог допустить, что неправильные настройки могут быть на сайтах у подростков, но на правительственных сайтах? Очень удивило.

Чисто из интереса решил узнать, а как часто пользователи Рунета интересуются подобными индексными страничками? Для этого обратился к сервису [DLMURL]https://wordstat.yandex.ru/[/DLMURL] , откуда узнал, что фразу «index +of» пользователи ищут 7555 раз в месяц.

Очень непонятным является тот факт, что этот запрос делают только пользователи из двух стран — России и Украины. Явно проявляется особенности национального «хака».

0002tcra.jpg


0002wdsr.jpg


Конец цитаты.

******************************************

Я думаю, пост lukamud полезен сразу многим категориям людей.

1. Специалистам конкурентной разведки - они смогут лучше понимать инструменты, которыми пользуются.

2. Тем, кто отвечает за информационную безопасность сайтов в государственных структурах (не все столь щепетильны, что добровольно откажутся смотреть файлы, как это сделал автор поста).

3. Руководителям предприятий, которые смогут проверить работу своих IT-специалистов.

Да и государственная, и служебная тайна сохраннее будут. И таких негативных явлений, как признаки нарушения возглавляемой редактором Александром Малютиным газеты Маркер, служебной тайны Президента РФ, я надеюсь, станет меньше. Если специалисты прочтут этот материал и примут меры по наведению порядка на серверах.

А инциденты, которые все же будут происходить из-за правового беспредела нигилизма отдельных журналистов, будет проще расследовать. Ведь по-прежнему трудится в газете журналист того самого печально прославившегося Маркера, цинично заявившая во всеуслышание, что ей Уголовный Кодекс не указ. "Мне пофиг что написано в УК", - публично заявила журналист газеты Маркер. И добавила: "Я сама определяю, на что есть у меня право, а на что нет".
url]


И что может прилипнуть к рукам такого человека завтра, предсказать невозможно.
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Бедеров Игорь Сергеевич

Приватный уровень доступа
Регистрация
24 Июнь 2010
Сообщения
687
Реакции
5
Баллы
18
Возраст
40
Просто супер, спасибо!!!
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Матушкин Андрей Николаевич

Президент IAPD
Команда форума
Приватный уровень доступа
Действительный члены НП "МОД"
Регистрация
1 Январь 1970
Сообщения
22.020
Реакции
3.772
Баллы
113
Возраст
53
Адрес
Россия,
Веб-сайт
o-d-b.ru
Спасибо!!!
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Плотников Юрий Михайлович

Приватный уровень доступа
Действительный члены НП "МОД"
Регистрация
21 Июль 2010
Сообщения
3.699
Реакции
563
Баллы
113
Возраст
71
Адрес
Россия, Хабаровск. +7 914 544 16 90.
Веб-сайт
www.sysk-dv.ru
Спасибо, интересно!
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Роберт

Приватный уровень доступа
Действительный члены НП "МОД"
Регистрация
26 Февраль 2012
Сообщения
1.983
Реакции
7
Баллы
38
Возраст
58
Адрес
Санкт-Петербург. +79818128361
Веб-сайт
www.detektiv-spb.ru
Апач гадит под себя?! :D ой хорошо.
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Роберт

Приватный уровень доступа
Действительный члены НП "МОД"
Регистрация
26 Февраль 2012
Сообщения
1.983
Реакции
7
Баллы
38
Возраст
58
Адрес
Санкт-Петербург. +79818128361
Веб-сайт
www.detektiv-spb.ru
Роберт написал(а):
Апач гадит под себя?! :D ой хорошо.
Далее
10.05.2007, 18.17.22
index of - альтернативный метод поиска файлов

Или как найти открытые каталоги например с музыкой с помощью https://google.com

Итак, что же такое открытый каталог? Все очень просто. На многих веб-серверах по всему интернету в настройках разрешен просмотр веб-каталога со всем его содержимым. К примеру на нашем сайте подобный трюк не пройдет, но на многих других это сработает. То-есть, иными словами, вы увидите не страничку сайта, а содержимое каталога, где может лежать много чего вкусненького, о чем вы даже и не подозреваете.

А что нам мешает найти подобные каталоги с помощью поисковой машины? Да собственно ничего не стоит. Стоит лишь внимательно изучить язык запросов, который есть у каждого поисковика. Попробуем сделать это в гугле.


Итак, сейчас мы сформируем запрос в Гугл. Пусть вас не пугают странные символы, но это все ни что иное, как то что мы напишем в окошке поиска Гугла и нажмем искать.

Что бы ограничить поиск только html страничками пишем
-inurl:htm -inurl:html

И искать будем только на страничках с тэгом title содержащим фразу "index of", так как большинство веб-серверов возвращают стандартную страничку открытого каталога и тайтл там одинаковый:

intitle:"index of"

Добавим в запрос строку которая так же стандартно содержится на этой странице:
"Last modified"

Укажем тип файла - mp3 и некое ключевое слово например "chaif"

Получилась такая поисковая строчка:

-inurl:htm -inurl:html intitle:"index of" "Last modified" mp3 chaif

Давайте посмотрим что нам на такой запрос ответит мудрый Гугл
Несколько песен Чайфа можно скачать уже по первой ссылке. Главное помните, что ищем мы фактически по названиям фалов, ппоэтому Гугл за результаты поиска ответственность не несет. Изучив языки поисковых запросов можно искать намного эффективнее на любом поисковике. Учитывайте только что у каждого язык свой. :D
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Похожие темы

До нового года осталось