Fuerza bruta para descubrir directorios en Aplicaciones Web

editado marzo 2016 en Seguridad Web
Mucha gente suele quitarle valor a esta técnica cuando se trata de auditar la seguridad de una aplicación web y si, puede que sea una técnica que realice muchas peticiones (genere mucho ruido) o que tarde mucho en terminar, pero la experiencia nos dice que siempre que la hemos lanzado frente a un cliente, hemos encontrado por lo menos un directorio o archivo útil o interesante.

La Fuerza Bruta para descubrir archivos y directorios jugosos no es algo nuevo, pero es una práctica recomendada (normalmente para correr en segundo plano, por lo demorado del proceso) a la hora de auditar una aplicación web.
lWgr1Yz.png

Al igual que en los ataques de fuerza bruta a un servicio (usuario, contraseña) el éxito de este ataque depende directamente del diccionario que utilices y aquí es bien importante la información previa que tengas de la aplicación, si es un cms, o usa algún framework especifico, si es una app de .NET, etc...

Existen muchas herramientas para esta labor, desde la conocida DirBuster del proyecto OWASP, pasando por, wfuzz, dirsearch y dirB.

La herramienta realmente es la de menos (por que hasta el nmap con el script http-enum o metasploit con el auxiliar auxiliary/scanner/http/brute_dirs del colombiano Efrain 'ET' Torres puede hacer la tarea), elije la que mejor se ajuste a tus necesidades, pero revisa muy bien tu diccionario, optimízalo para que no haga peticiones a directorios y archivos que de entrada sabes que no va a encontrar (por ejemplo. si sabes que la app es un .net seguro no encontraras un wp-config.php).

Una buena práctica es hacer una enumeración de todos los archivos enlazados públicamente y luego generar un diccionario con estos archivos, pero añadiendo extensiones como:
.svn .old .bak .back .1 .2 .txt .~ .save .backup .zip .rar .tar. gz .tar.gz archivo.extencion- archivo.extencion-original

Te puedes llevar una grata sorpresa al encontrar código fuente que te ayude en tu auditoria o directamente información valiosa como usuarios y contraseñas dentro de los archivos de configuración.
Accede o Regístrate para comentar.