Blog / Website Intelligence

5 stvari koje vaš javni sajt otkriva napadačima — a vi to ne znate

2025-05-05 · 7 min čitanja

Vaš sajt je dizajniran da informiše klijente i partnere. Ali istovremeno otkriva detalje koje niste nameravali da podelite — napadačima, konkurentima i bilo kome ko zna kako da pročita između redova.

1. Tehnološki stek — šta koristite i koje su verzije

Svaki sajt "pjeva" o tehnologijama koje pokreću. HTTP zaglavlja otkrivaju web server (nginx, Apache), programski jezik (PHP, Node.js, Python), pa čak i verziju CMS-a (WordPress 5.8.1, Joomla 3.9).

Zašto je to problem: Zastarela verzija softvera ima poznate ranjivosti. Ako napadač zna da koristite WordPress 5.8.1, on zna tačno koje CVE-ove može da iskoristi.

Kako proveriti: Otvorite Developer Tools (F12) → Network → kliknite na bilo koji zahtev → Headers. Pogledajte X-Powered-By i Server polja.

2. Metapodaci — šta dokumenti kriju

Svaki PDF, Word dokument ili prezentacija na vašem sajtu sadrži metapodatke: ko je autor, koji softver je korišćen, kada je kreiran, gde je sačuvan.

Ako imate PDF "Cenovnik 2025.pdf" čiji autor je "Petar P. — IT Odeljenje", napadač zna ime osobe odgovorne za IT i može ciljati phishing na nju.

Kako proveriti: Preuzmite bilo koji PDF sa svog sajta. U Adobe Acrobat-u: File → Properties → Description. Ili u terminalu: exiftool dokument.pdf.

3. Skrivene direktorijume — šta ste zaboravili obrisati

/backup/, /test/, /admin/, /old/ — ovi direktorijumi postoje na više sajtova nego što bi trebalo. Često sadrže zastarele verzije sajtova, nezaštićene administrativne panele ili direktan pristup fajlovima.

Zašto je to problem: /backup/database.sql može sadržati kompletnu bazu podataka. /test/phpinfo.php otkriva kompletnu konfiguraciju servera.

4. JavaScript i API endpointi — mapa vaših servisa

Moderni sajtovi puni su JavaScript-a koji komunicira sa API-jevima. Pregledom JavaScript fajlova napadač može otkriti:

  • Interne API endpointe (/api/v2/users)
  • API ključeve hardkodovane u frontend-u
  • Strukturu podataka i logiku aplikacije
  • URL-ove staging i development okruženja

5. Sigurnosna zaglavlja — šta vam nedostaje

Sigurnosna HTTP zaglavlja kao što su CSP, HSTS, X-Frame-Options i Content-Type su indikator koliko ozbiljno kompanija shvata bezbednost. Njihovo odsustvo ne čini sajt direktno ranjivim, ali signalizira napadaču da je meta vredna dodatnog istraživanja.

Zaključak: Vaš sajt je prozor u vašu organizaciju

Napadači ne počinju sa eksploatacijom — počinju sa prikupljanjem informacija. Vaš javni sajt je prvo mesto gde gledaju. Ako tamo pronađu dovoljno, imaju mapu vaše organizacije pre nego što pošalju prvi email.

Redovna analiza onoga što vaš sajt otkriva nije paranoia — to je higijena. Baš kao što redovno ažurirate softver, trebalo bi redovno proveravati šta vaš digitalni otisak otkriva o vama.