Bloquer l’explorateur de répertoires dirhunt
13 octobre 2019
Les outils de pentest sont avant tout fait pour tester la sécurité de vos applications, de vos systèmes d’exploitation et de vos services Web. Le logiciel dirhunt est un scanner pour extraire la liste des répertoires de vos sites Web. Écrit en Python, il s’installe très simplement sur Linux :
pip3 install dirhunt
Pour tester votre site, il suffit, à partir de la ligne de commande, de taper par exemple :
dirhunt votre_url_a_tester --timeout 5 -x 400-599 --threads 4
Ce logiciel de Pentest utilise l’expression python-requests comme user agent. Sous Apache, vous pouvez assez facilement bloquer ces requêtes intrusives provenant d’apprentis pentesteurs :
RewriteCond %{HTTP_USER_AGENT} "^python-requests/" [NC]
RewriteRule ".*" "/index.html" [QSA,R=302,L]
Les bons pentesteurs – ou les plus « méchants » d’entre eux – sauront contourner assez aisément l’obstacle en ayant recours à un proxy, par exemple. ;+)
