2.1k Aufrufe
Gefragt in Webseiten HTML von deltafurcht Mitglied (200 Punkte)
Hallo,

vor kurzem habe ich mit html eine Webseite erstellt. Nun wollte ich einen Sicherheitscheck machen und testen ob irgendeiner Unberechtigter auch Zugriff auf alle Unterverzeichnisse meiner Homepage bekommen könnte.

Also auch auf die Unter-VZ, welche nicht durch Anklicken sichtbar sind.

Daher die Frage: gibt es einen Befehl mit dem man sich alle Unterverzeichnisse einer Webadresse anzeigen lassen könnte. Also z.B. dass nach Eingabe des Befehls eine Liste erscheint mit bspweise supportnet.de/forum, supportnet.de/test, supportnet.de/privat, supportnet.de/ablage usw., usw.

Falls es einen solchen Befehl, eine Möglichkeit gibt, wäre dann die nächste Frage, wie ich die privaten Unterverzeichnisse vor Zugriff eines Externen schützen könnte (habe Hompeage bei Strato)

Für Tipps danke im Voraus

5 Antworten

+1 Punkt
Beantwortet von steffen2 Experte (6.4k Punkte)
die üblichen Namen kann man einfach so mit Wörterbuch-Attacken erraten.

Es hilft zumindest etwas, wenn du den Ordner anstatt /privat einfach /privat_g896n64n706vm467m4 nennst.

Ansonsten hat man früher mit der .htaccess einen Basis-Schutz gemacht. Da kann man mit dem passenden Datei-Inhalt die Verzeichnis/Datei-Anzeige des jeweiligen Ordners abschalten. Ob das im heutigen www noch ausreichend ist, weiß ich nicht.
0 Punkte
Beantwortet von deltafurcht Mitglied (200 Punkte)

 .htaccess okay, danke für den Hinweis

Also einen Befehl in der Art von dir/s für Web-Verzeichnisse gibt es nicht?

+1 Punkt
Beantwortet von kody Experte (3.2k Punkte)

Hallo,

um Zugriff auf den Webserver zu bekommen, muss dieser so konfiguriert sein, dass er den Zugriff auf die Verzeichnisse zulässt. Das ist aber nicht die Regel.

Ein Webserver, sollte im Normalfall so konfiguriert sein, dass er standardmäßig nach einer index.****-Datei sucht. Findet er diese nicht, verweigert er den Zugriff.

Du kannst mal prüfen, ob dein Server sicher ist.
Gib mal in die Browser-Adresszeile folgendes ein:

ftp://www.irgendwas.com/directory/
Der rote Text steht für deine Webseite. Wenn eine Passwort-Abfrage erscheint, dann ist dein Serverzugang sicher.

MfG Kody

0 Punkte
Beantwortet von deltafurcht Mitglied (200 Punkte)

@kody: danke für den Tipp.

Hab´s mal ausprobiert. Zuerst im Chrome Browser ftp://www.meinehomepage.de/directory/ eingegeben

Ergebnis: URL not found

Dann habe ich ftp://www.meinehomepage.de/directory/ in die Adressleiste vom Chromium Edge kopiert. 

Ergebnis: es kam eine Meldung, dass versucht wird, den Chrome Browser zu öffnen! Als ich dies bejaht habe, wurde ich umgeleitet zu deinem ftp://www.irgendwas.com/directory/ hier im Thread.

Dann das gleiche Ergebnis, nach ich ftp://www.meinehomepage.de/directory/ in die Adressleiste vom Opera Browser kopiert hatte. 

Bisher verstehe ich noch nicht was da passiert

+1 Punkt
Beantwortet von kody Experte (3.2k Punkte)
@deltafurcht

die Browsermeldungen sind schon ok.

Das ist ein Zeichen, dass kein Zugriff auf das Hauptverzeichnis und somit auch auf die Unterverzeichnisse besteht. Ansonsten wäre das Verzeichnis zu sehen.

Die Browsermeldungen bedeutet aber nicht, dass z. B. Hacker, die Serverschwachstellen finden und  ausnutzen und somit Zugriff auf die Verzeichnisse erlangen können.

MfG Kody
...