اینبار به سراغ چالش ناتاس 3 رفتیم تا ببینیم چه درسی برای برقراری امنیت سایت میخواهد به ما بدهد.
در دو جلسه قبلی دیدیم که چالش ناتاس یک تمرین برای آموزش هک قانونی است. هک قانونی یعنی شخص، متخصص حوزه هک و امنیت میشود برای حفظ امنیت بانک ها و وبسایت ها. در واقع هکر کلاه سفید میشود.
در ناتاس 2 فهمیدیم که آدرس یک عکس یا فایل که در سایت آپلود شده اگر به درستی تنظیمات دسترسی آن انجام نشده باشد راهی برای لو رفتن سایر فایل ها و نفوذ هکر است.
حالا در چالش ناتاس 3، آن عکس حذف شده و وقتی به کدهای سایت نگاه میکنیم چیزی وجود ندارد.
پیغام سایت کماکان مشابه قبلی است:
There is nothing on this page
پس حالا باید چه کار کرد؟
اگر دقت کنید در کدنویسی این صفحه یک پیغام قرار داده شده است:
<!– No more information leaks!! Not even Google will find it this time… –>
معنی آن میشود:
اطلاعات بیشتری درز پیدا نمیکند. حتی گوگل هم نمیتواند آن را پیدا کند!
پس این سوال ایجاد میشود که گوگل چطور نمیتواند آن را پیدا کند؟
باید بدانید که گوگل از طریق فایل robots.txt سایت ها، اقدام به خواندن محتوای آن میکند و آن را ایندکس میکند، پس ما باید آن فایل را پیدا کنیم و چک کنیم.
فایل روبوتس تی اکس تی را به راحتی میتوان یافت، فقط کافیست آخر آدرس سایت، آن را اضافه کرد. یعنی لینک زیر:
به آدرس فوق که بروید، با این تکه از آدرس مواجه خواهید شد:
Disallow: /s3cr3t/
یعنی به گوگل گفته به این آدرس از سایت نرو. پس اینطور جلوی دسترسی گوگل را گرفته بود.
پس باید آن را سرچ کنیم، یعنی:
http://natas3.natas.labs.overthewire.org/s3cr3t
به این آدرس که بروید، فایل users.txt را خواهید یافت و پسورد مرحله بعد داخل آن است.
پایان مرحله
این مرحله هم تمام میشود اما به یاد داشته باشید که در چالش های ناتاس باید به دنبال فایل users.txt باشید. به خاطر داشتن این در چالش های پیشرفته تر به شما کمک میکند.
درس چالش 3 این بود که باید حواستان به آنچه در فایل robots.txt قرار دارد و صفحاتی که اجازه آنها را به گوگل داده اید باشد.
ذهن آموز