Test für Verzeichnis Scans/Lesen von Schwachstellen auf der Website

Question

Lass mich nur sagen, ich möchte die Sicherheit eines Servers (http://www.testserver.com) für Verzeichnis Scans/Lesen von Schwachstellen zu testen.

Ich würde normalerweise versuchen, nach einer Datei say/etc/passwd (oder etwas interessanter :) zu suchen, indem Sie etwas wie http://www.testserver.com/../../../../etc/passwd tun und sehen, ob es irgendetwas wirft.

Nun kann das ziemlich mühsam werden, wenn ich nicht genau weiß, wie viele Punkte und Schrägstriche ich durchmachen müsste, um dieses Problem zu finden.

Gibt es einen intelligenten/automatischen Weg, dies zu tun?

P.S. Ich weiß nicht, was das Wort für diese Art von Test ist, also bitte, wenn ich diese Frage dupliziert habe.

Answer 1

In der Regel, wenn Apache oder etwas korrekt konfiguriert ist, können Sie nicht auf etwas über dem Root-Verzeichnis, definiert durch DocumentRoot in Ihrer Apache-Konfiguration.

Wenn Sie die richtige DocumentRoot in Ihrer Apache-Konfiguration festgelegt haben, dann gibt es kein Problem. Normalerweise ist die Standardkonfiguration sicher, aber Sie haben möglicherweise versehentlich Zugriff auf andere Ordner gewährt.