Wayback Machine
Die Wayback Machine ist ein Online-Dienst von archive.org, der archivierte Versionen von Webseiten speichert und zugänglich macht. Für Pentester ist sie ein wertvolles Tool, um historische Inhalte von Websites zu analysieren. Dies kann Schwachstellen, vergessene Endpoints, alte API-Aufrufe oder sensible Informationen wie E-Mail-Adressen oder API-Schlüssel offenbaren.
Typische Anwendungsfälle
Verborgene Endpoints finden: Alte URLs, die mittlerweile aus dem öffentlichen Zugriff entfernt wurden.
Versionierung: Analyse von Änderungen an der Website, z. B. alte JavaScript-Dateien oder öffentlich zugängliche Konfigurationsdateien.
Leak-Suche: Historische Versionen könnten sensible Informationen enthalten, die später entfernt wurden.
Gefährliche Einstellungen und Risiken
Robots.txt: Manche Seiten blockieren nicht den Zugriff der Wayback Machine, wodurch sensible Informationen aus der Vergangenheit weiterhin zugänglich sind.
Unachtsame Publikation: Informationen, die nur kurz online waren, könnten trotzdem archiviert worden sein.
Nutzung der Wayback Machine
Zugriff auf archivierte Versionen
Navigiere zu https://web.archive.org/ und gib die Ziel-URL ein. Du kannst dann zwischen den archivierten Zeitpunkten wählen.
Automatisierung und Tools
Das Tool waybackurls ermöglicht die schnelle Extraktion archivierter URLs für eine Domain.
Installation:
bashCode kopieren$ go install github.com/tomnomnom/waybackurls@latestVerwendung:
bashCode kopieren$ echo "example.com" | waybackurls
http://example.com/oldpage.html
https://example.com/login.php
http://example.com/api/v1Output: Listet alle archivierten URLs der angegebenen Domain.
Integration in Pentesting-Workflows
Enumeration: Sammle alte Endpoints und evaluiere, ob sie noch verfügbar oder anfällig sind.
Exploitation: Suche nach öffentlich zugänglichen Dateien (z. B.
.env,.git,backup.zip).Reconnaissance: Analysiere frühere Website-Inhalte, um Informationen wie veraltete Frameworks oder CMS-Versionen zu identifizieren.
Last updated