سایت ناتاس با تعدادی چالش، مسائل امنیتی سایت و وب اپلیکیشن ها را آموزش میدهد. چالش ناتاس یکی از سرگرمی های آموزشی برای علاقمندان به هک و امنیت میتواند باشد.
در این جلسه مرحله دوم چالش ناتاس را باهم حل میکنیم.
به لینک زیر بروید:
natas2.natas.labs.overthewire.org
با پیغام زیر روبرو خواهید شد:
There is nothing on this page
(چیزی در این صفحه وجود ندارد.)
راهنمایی:
در درس های قبلی فهمیدیم که اول باید کدهای صفحه یا برنامه رو چک کنیم. چون خیلی اوقات کدها حاوی باگ یا ایراد هستند.
با کلیدهای کنترل U وارد کدهای سایت میشویم.
این بار رمز عبور برایمان نوشته نشده است اما در همان قسمت یک آدرس از یک فایل آپلود شده، قرار دارد.
جواب:
فایل را که یک عکس با فرمت PNG است در صفحه جدید باز میکنیم. خود عکس چیز خاصی نیست اما نکته ای که قبلا هم راه حل آن را در ذهن آموز گفتیم این است که بسیاری از سایت ها تنظیمات آپلود فایل ها را به درستی انجام نمیدهند.
در اینجا از بالای مرورگر، جایی که url سایت نمایش داده میشود، آدرس عکسی که نمایش داده شده است قرار دارد.
اگر یک دایرکتوری به عقب برگردیم چه میشود؟
باید برسی کنیم.
بنابراین به آدرس زیر میرویم:
http://natas2.natas.labs.overthewire.org/files
میبینیم که جلوی ایندکس شدن فایل های آپلود شده گرفته نشده. در واقع سایت باید این دسترسی را میبست و این صفحه نمایش داده نمیشد.
حالا فایل users.txt را باز میکنیم. پسورد مرحله بعد، داخل آن قرار دارد.
اگر شما هم سایت دارید، چک کنید که این ایراد را دارد یا نه؟ یعنی از طریق تصاویر سایت یا فایل های سایت، کسی میتواند به دایرکتوری قبلی و سایر فایل ها دسترسی پیدا کند؟
اگر این مشکل را داشت از طریق آموزش زیر آن را برطرف کنید:
ایمان صدیقی / ذهن آموز