Skip to content

Wie enumerierst du einen Webserver, den du noch nie gesehen hast?

Kurzantwort

Bestimme den Stack aus Headern und Quellcode, dann brute-force Verzeichnisse und Dateien mit gobuster oder feroxbuster unter Nutzung einer guten Wortliste und relevanter Endungen. Suche nach Admin-Panels, Backups, Konfigurationsdateien und Upload-Punkten und prüfe virtuelle Hosts, wenn die Seite auf einen Hostnamen reagiert.

Ein Webdienst ist der häufigste Einstiegspunkt auf OSCP-Maschinen, und die Startseite zeigt fast nie die verwundbare Komponente. Bei der Web-Enumerierung geht es darum, die Teile der Anwendung aufzudecken, die der Entwickler nicht für deine Augen bestimmt hat.

Zuerst bestimmen

Prüfe Antwort-Header, Cookies und Seitenquellcode, um den Server (Apache/IIS/nginx), die Sprache (PHP/ASP.NET) und jedes Framework oder CMS zu bestimmen. Der Stack entscheidet über alles Weitere — welche Endungen zu brute-forcen sind und welche Exploits greifen.

Inhalt brute-forcen

Nutze gobuster, feroxbuster oder ffuf gegen eine hochwertige Wortliste (die SecLists-Sammlung ist Standard). Zwei Details entscheiden über Erfolg oder Misserfolg:

  • Endungen. Übergib -x php,txt,bak (oder asp,aspx auf IIS), damit du config.php, backup.bak und admin.php findest, nicht nur Verzeichnisse.
  • Rekursion. Wenn du ein Verzeichnis findest, brute-force auch darin.

Du jagst nach Admin-Panels, Login-Seiten, Datei-Uploads, robots.txt, Backup- und Konfigurationsdateien sowie versionsverratenden Pfaden.

Virtuelle Hosts und Quellcode

Wenn sich die Anwendung anders verhält, sobald du einen Host:-Header sendest, fuzz die vHosts mit einer Hostnamen-Wortliste — viele Maschinen verstecken eine zweite Seite hinter einem virtuellen Host, der nicht im DNS steht. Lies immer HTML-Kommentare und verlinktes JavaScript; Anmeldedaten, interne Pfade und API-Endpunkte sickern dort ständig durch.

Warum manuell wichtig ist

Automatisierte Scanner verpassen den Kontext. Ein Mensch bemerkt, dass eine „Upload“-Seite gepaart mit einem Ordner mit Verzeichnisauflistung bedeutet, dass du eine Webshell ablegen und ausführen kannst — eine Kette, die kein einzelnes Werkzeug meldet.

Worauf Interviewer achten

Sie wollen Verzeichnis- und Datei-Brute-Force mit den richtigen Endungen, Quellcode-Prüfung und vHost-Entdeckung — beschrieben als bewusste Schritte. „Ich würde mir einfach die Website ansehen“ ist die Antwort, die durchfällt.

Wahrscheinliche Anschlussfragen

  • Warum ist die Dateiendung wichtig, die du gobuster übergibst?
  • Wie würdest du einen virtuellen Host entdecken, der nicht im DNS steht?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.