Busindre

En auditorías de seguridad web es importante encontrar el máximo de información sobre el objetivo a auditar. Para ello, proponemos una serie de directrices a la hora de querer buscar ficheros en servidores web.

• Crawling: Buscar ficheros en el código fuente (Burpsuite).
• Fuzzing
• Robots.txt / sitemap.xml
• Buscadores (Google dorks).
• Directory Listing
• Archivos .listing (Generados por wget) / .DS_Store (Finder MacOS X) / Thumbs.db. / wc.db (SVN).
• Errores en el servidor web (Tomcat, Apache, etc.) / Mod_negotiation.
• Utilizando metadatos (Imágenes, PDFs, Doc, etc).
• Bugs Software del servidor web / aplicación web.
• Cache de buscadores / históricos (Archive.org).
• Descompilar software (Applets Java / swf flash / ActiveX).