Directorio web gratuito
El listado de directorios es una función del servidor web que muestra el contenido del directorio cuando no hay ningún archivo de índice en un directorio específico del sitio web. Es peligroso dejar esta función activada en el servidor web porque conduce a la divulgación de información.
Incluso si el listado de directorios está desactivado en un servidor web, los atacantes podrían descubrir y explotar las vulnerabilidades del servidor web que les permiten realizar la exploración de directorios. Por ejemplo, había una antigua vulnerabilidad de Apache Tomcat, donde el manejo inadecuado de los bytes nulos (%00) y la barra invertida (\) lo hacían propenso a los ataques de listado de directorios.
El atacante puede mostrar la lista completa de archivos en el directorio de respaldo. Este directorio incluye archivos sensibles como archivos de contraseñas, archivos de bases de datos, registros FTP y scripts PHP. Es obvio que esta información no estaba destinada a ser vista por el público.
Una mala configuración del servidor web ha llevado a la divulgación de la lista de archivos y los datos están disponibles públicamente. Además, este tipo de archivos, como los registros FTP, podrían contener otra información sensible como nombres de usuario, direcciones IP y la estructura completa de directorios del sistema operativo de alojamiento web.
Wikipedia
La indexación de directorios es cuando se muestra un listado de archivos en un navegador en lugar de una página web real. Esto ocurre cuando una URL resuelve a un directorio que no contiene un archivo por defecto. El servidor Sitehost de la Universidad de Indiana busca los siguientes archivos por defecto en el orden que se indica a continuación:
Por defecto, la indexación de directorios en Sitehost y Pages está desactivada. Esto significa que su sitio web necesita tener la indexación de directorios habilitada manualmente como se menciona a continuación, o un archivo de índice (ver los nombres de archivos anteriores) debe estar ubicado en el directorio web. Si la indexación de directorios no está habilitada, y no hay un archivo de índice disponible, su sitio web mostrará un error 403 “Prohibido”. La Oficina de Seguridad de la Información de la Universidad considera que esta es una acción prudente para eliminar la posibilidad de que usuarios no autorizados descubran información sobre el sistema de archivos que no es específicamente necesaria. Por lo tanto, los propietarios de cuentas individuales deben evaluar si esta característica es apropiada para sus cuentas web.
Para habilitar la indexación de directorios en su cuenta, debe crear un archivo y guardarlo como .htaccess. Puede tener información adicional en este archivo, pero para habilitar la indexación debe tener la siguiente línea:
Sitio web del directorio de empresas en línea
Antes de intentar atacar un sitio web, vale la pena entender la estructura, los directorios y los archivos que utiliza el sitio web. Además, al saber qué archivos y directorios hay, podemos encontrar directorios y archivos ocultos o confidenciales que el administrador de la web no cree que sean visibles o accesibles para el público. Estos pueden convertirse en el objetivo final de nuestros esfuerzos.
Ataques de travesía de directoriosLa travesía de directorios es un tipo de ataque en el que podemos navegar fuera del directorio predeterminado o índice en el que aterrizamos por defecto. Por ejemplo, si queremos obtener los hash de las contraseñas en el servidor, tendríamos que navegar a /etc/shadow en un servidor Linux o Mac OS X. Podemos ser capaces de movernos a ese directorio ejecutando un cruce de directorios, pero antes de que podamos hacer nada de esto, necesitamos conocer la estructura de directorios del servidor web.OWASP, o el Proyecto Abierto de Seguridad de Aplicaciones Web, desarrolló una herramienta que es excelente para este propósito, llamada DirBuster. Es básicamente una herramienta de fuerza bruta para encontrar los nombres de directorios y archivos más utilizados en los servidores web.
Directorio web de Google
Podría haber incluido muchos más en esta lista, como Jasmine Directory, Brownbook y Bloggapedia, pero basándome en sus números de tráfico actuales (o la falta de ellos), no estoy seguro de que merezcan la pena.
Nota: A menos que se indique lo contrario, todas las estimaciones de tráfico se tomaron de SimilarWeb.com en enero de 2022. Además, con la excepción de BOTW, Yahoo y BBB, todos estos directorios web ofrecen listados gratuitos.
Aunque solo un 6% del mundo utiliza Bing como motor de búsqueda, es importante recordar que es el motor de búsqueda por defecto de Internet Explorer y Edge, y que Microsoft sigue dominando el mercado de los ordenadores de sobremesa.
Más allá de un listado de negocios, YP se mantiene relevante ofreciendo cupones, proporcionando listados para una gran variedad de industrias, y publicando regularmente contenido de blog para impulsar la equidad de enlaces internos hacia sus páginas de directorio.
Además de los directorios mencionados anteriormente, puede haber otros directorios de nicho con mucho tráfico que sean pertinentes para su sector, como Avvo para abogados, Thumbtack para contratistas locales o Porch para profesionales de la mejora del hogar.