DirBuster - Comment brute-forcer les répertoires d'un site Web

DirBuster fait partie des applications utiles pour l’auditeur des applications Web. Celui-ci, programmé en Java, prend une liste (de répertoires) en entrée et essaye toutes les combinaisons possibles à partir de la racine d’un site Web. Chercher à brute-forcer un serveur Web peut être intéressant pour trouver des informations confidentielles, qui n’auraient pas du être disponibles à un utilisateur lambda. Cela permet aussi de comprendre un peu mieux l’architecture du site Web (l’utilisation par exemple d’applications ou de frameworks open source vulnérables), ce qui permet à l’auditeur d’arriver assez rapidement à une exploitation possible pour prendre le contrôle, ou infecter l’utilisateur cible de programmes malveillants.

DirBuster est maintenu par l’OWASP, et continue son petit bonhomme de chemin. Pour le télécharger c’est par ici.

Pour se protéger de ce type d’outil, c’est facile il suffit de bien sécuriser son serveur Web :

• Ne pas donner accès à certains répertoires via le serveur Web (positionner les droits pour lister un répertoire)
• Mettre un index.html vide à la racine d’un répertoire pour éviter tout listing abusif de celui-ci
• Utiliser un login/mot de passe avec .htaccess à la racine du répertoire (le fichier de mot de passe ne doit pas être accessible par le net)
• Protéger l’accès à certaines ressources grâce au referer (facile à contourner pour un expert)
• Blacklister toute connexion anormale sur le serveur Web (nombre de connexions par secondes trop élevées)
• Etc.

La conclusion c’est que moins vous donnez de l’information à l’attaquant, plus il sera difficile pour lui de trouver des portes dérobées de votre application ou de votre serveur Web. Une petite sécurisation du serveur Web est un plus non négligeable si on veut protéger l’utilisateur final.