Webseiten werden aktualisiert, Inhalte gelöscht, Strukturen angepasst – und wichtige Spuren verschwinden scheinbar für immer. Das Webarchiv (z. B. die „Wayback Machine” von archive.org), unterstüzt die Recherche und Informationsgewinnung.
Open Source Intelligence (OSINT)
OSINT steht für Open Source Intelligence und bezieht sich auf das Sammeln und Auswerten öffentlicher, frei zugänglicher Informationen. Im Pentest-Kontext bedeutet das, dass man öffentliche Datenquellen nutzt, um Schwachstellen und potenzielle Angriffspunkte zu identifizieren. Dabei helfen Suchmaschinen, Social Media, Firmenwebseiten, Foren und Archiv-Dienste wie das Webarchiv.
Ein großer Vorteil von OSINT ist, dass keine illegalen Methoden genutzt werden müssen, um relevante Daten zu sammeln. Das reduziert sowohl das rechtliche als auch das moralische Risiko und kann zu aussagekräftigen Ergebnissen führen.
Webarchiv als Informationsquelle für Pentester:innen
Historische Einblicke
Das Webarchiv speichert Snapshots von Webseiten über die Jahre. So kann festgestellt, wie sich eine Seite im Lauf der Zeit verändert hat.
- Alte Dateien, Verzeichnisse oder Subdomains
- Veraltete Software-Versionen
- Rückschlüsse auf ältere Technologien
Infos über Technologie-Stack
Oft kann man in älteren Versionen einer Website herausfinden, welcher Technologie-Stack verwendet wurde (z. B. CMS, Frameworks oder Datenbankanbindungen). Wenn die Zielseite noch alte Technologien im Hintergrund einsetzt, könnten diese Hinweise auf mögliche Sicherheitslücken geben.
Wiederherstellen gelöschter Inhalte
Nicht nur für investigative Journalist:innen, sondern auch für Pentester:innen ist das Wiederherstellen gelöschter Inhalte interessant. Unternehmen löschen gelegentlich sensible Informationen (z. B. Kontaktlisten, API-Dokumentationen oder Legacy-Endpunkte), die jedoch noch im Webarchiv zu finden sind.
Alte Konfigurationsdateien & Robots.txt
In vielen Fällen lassen sich alte robots.txt-Dateien oder versteckte Konfigurationsseiten ausfindig machen, die auf aktuelle Schwachstellen verweisen können.
Recherche in der Wayback Machine
Timeline & Kalender
Das Webarchiv zeigt dir eine Zeitachse, in der markiert ist, zu welchen Zeitpunkten Kopien der Seite existieren. Klicke auf ein beliebiges Datum, um die archivierte Version aufzurufen.
Mehrere Schnappschüsse vergleichen
Um Veränderungen über die Zeit zu sehen, könne mehrere Zeitpunkte geöffnet und verglichen werden.
- Neue oder gelöschte Unterseiten
- Änderungen im Impressum, Kontaktdaten oder technische Hinweise
- Entfernte Subdomains
Filter & erweiterte Suche
- Direkte Deep-Links: Manchmal findest du durch Google-Suchen bereits archivierte Deep-Links, die im Haupt-Webarchiv nicht sofort auftauchen.
- Operatoren: Google-Dorks oder andere Suchoperatoren wie site:archive.org “http://example.com ” mit passenden Keywords, um gezielt in Archivseiten zu suchen.
Verknüpfung mit anderen OSINT-Tools
Kombiniere das Webarchiv mit weiteren Tools, um ein vollständiges Lagebild zu erhalten:
- DNS- und Subdomain-Scans (z. B. VirusTotal, DNSdumpster)
- Historische IP- und WHOIS-Informationen (Whoxy, Censys)
- Social-Media-Analysen (z. B. LinkedIn)
- Shodan für das Scannen von IPs und Ports
Best Practices und Empfehlungen
Systematische Dokumentation
Im Pentest-Kontext ist eine ausführliche Dokumentation entscheidend, um später den Report sauber zu verfassen.
Quellen kombinieren
Das Webarchiv liefert oft wertvolle Einblicke, jedoch können gelegentlich Seiten aus verschiedenen Gründen unvollständig erfasst sein. Beispielsweise kann eine Seite genau zu dem Zeitpunkt, an dem das Archiv sie speichern wollte, offline gewesen sein, oder bestimmte Inhalte wurden nicht korrekt gespeichert.
Empfehlung
Da das Webarchiv nicht nur von Journalist:innen und Pentester:innen genutzt wird, sondern auch von Angreifer:innen, empfiehlt es sich, den Eintrag in die Waybackmachine entfernen zu lassen.
Formular und Kontakt:
Beispiele anhand von WIkipedia (OSINT)
