Beim Directory Busting spürst du versteckte Verzeichnisse oder Dateien auf einem Webserver auf. Diese Methode wird häufig von Systemadministratoren genutzt, um Schwachstellen zu finden und abzusichern. Gleichzeitig wird sie aber auch von Angreifern eingesetzt, um nach ungeschützten Daten, Admin-Bereichen oder sensiblen Dateien zu suchen.
Mit Tools wie Gobuster kannst du systematisch eine Liste potenzieller Verzeichnisnamen (eine sogenannte Wordlist) prüfen lassen. Gobuster sendet dabei automatisierte Anfragen an den Server und wertet die Antworten aus. Wenn ein Verzeichnis existiert, meldet der Server einen Erfolgscode zurück.
In dieser Simulation lernst du, wie Directory Busting funktioniert und welche Gefahren entstehen, wenn Webserver nicht ausreichend abgesichert sind. Dein Ziel ist es, versteckte Verzeichnisse auf einem simulierten Server zu finden und zu analysieren. Dazu musst du die gefundenen Verzeichnisse manuell im Browser eingeben, wobei die Endung .html angehängt werden muss, um den Inhalt der Dateien anzuzeigen.
Warum machen wir das?
Diese Übung hilft dir, die Funktionsweise von Angriffstechniken wie Directory Busting zu verstehen. Du erkennst, wie Angreifer durch schlecht gesicherte Webserver auf sensible Verzeichnisse zugreifen könnten. Das Verständnis dieser Angriffsweise ist ein erster Schritt, um mögliche Schwachstellen frühzeitig zu erkennen und zu vermeiden.
Nutze den folgenden Befehl, um den Scan korrekt zu starten:
Was macht der Befehl?
- gobuster: Startet das Tool Gobuster.
- dir: Gibt an, dass Verzeichnisse gesucht werden sollen.
- -u http://192.168.0.10: Definiert die Ziel-URL (hier ein lokaler Server).
- -w wordlist.txt: Verwendet die angegebene Wortliste (wordlist.txt), um nach Verzeichnissen zu suchen.
Gib den Gobuster-Befehl ein, um den Scan zu starten: