Aplikacje internetowe są kluczowym elementem świadczenia usług w Internecie.
Nie jest już wiadomością, że wiele osób ucierpiało z powodu luk w zabezpieczeniach. Witryna internetowa może narazić osoby na znaczne ryzyko, jeśli nie jest odpowiednio chroniona.
Atakujący mogą uzyskać dostęp do stron z ograniczeniami i poufnych danych użytkownika za pomocą kilku technik, w tym wymuszonego przeglądania.
W tym artykule omówimy koncepcję wymuszonego przeglądania i sposób jej działania.
Co to jest wymuszone przeglądanie?
Wymuszone przeglądanie to technika wykorzystywana przez atakujących w celu uzyskania dostępu do stron internetowych lub innych zasobów z ograniczeniami poprzez manipulowanie adresem URL. Nazywa się to również przeglądaniem siłowym. Jak sama nazwa wskazuje, atakujący wymusza przeglądanie zasobu, do którego nie ma autoryzacji.
Atak taki atakuje pliki w katalogu serwera WWW lub zastrzeżone adresy URL, które nie sprawdzają autoryzacji.
Zasoby te są opłacalne dla atakujących, jeśli zawierają dane wrażliwe. Może dotyczyć samej witryny lub klientów witryny. Dane wrażliwe mogą obejmować:
- Referencje
- Kod źródłowy
- Kopia zapasowa
- Dzienniki
- Konfiguracja
- Szczegóły sieci wewnętrznej
Jeśli witryna może paść ofiarą wymuszonego ataku na przeglądanie, nie jest odpowiednio bezpieczna.
Autoryzacja powinna zapewnić, że użytkownicy mają odpowiednie uprawnienia aby uzyskać dostęp do stron z ograniczeniami. Użytkownicy podają swoje dane logowania, takie jak nazwa użytkownika i hasło, zanim uzyskają dostęp. Wymuszone przeglądanie próbuje ominąć te ustawienia zabezpieczeń, żądając dostępu do zastrzeżonych ścieżek. Testuje, czy może uzyskać dostęp do strony bez podania prawidłowych poświadczeń.
Jak działa wymuszone przeglądanie?
Wymuszone przeglądanie jest częstym problemem w witrynach, które mają różne role użytkowników, takich jak zwykli użytkownicy i administratorzy. Każdy użytkownik loguje się z tej samej strony, ale ma dostęp do różnych menu i opcji. Jeśli jednak strony, do których prowadzą te menu, nie są bezpieczne, użytkownik może odgadnąć nazwę prawidłowej strony i spróbować uzyskać bezpośredni dostęp do jej adresu URL.
Kilka scenariuszy pokazuje, jak działa wymuszone przeglądanie, niezależnie od tego, czy odbywa się to ręcznie, czy za pomocą zautomatyzowanego narzędzia. Rzućmy okiem na kilka przykładów.
1. Niebezpieczna strona konta
Użytkownik loguje się do witryny, a adres URL strony jego konta to www.example.com/account.php? użytkownik=4. Użytkownik może przystąpić do rotacji numerów i zmienić adres URL na www.example.com/account.php? użytkownik=6. Jeśli strona się otworzy, będą mogli uzyskać dostęp do informacji innego użytkownika bez konieczności znajomości jego danych logowania.
2. Niepewna strona zamówienia
Użytkownik posiadający konto w witrynie e-commerce wyświetla jedno ze swoich zamówień pod adresem www.example.com/orders/4544. Teraz losowo zmieniają identyfikator zamówienia na www.example.com/orders/4546. Jeśli strona z zamówieniami ma słabość do wymuszonego przeglądania, osoba atakująca może odkryć szczegóły użytkownika z tym zamówieniem. Przynajmniej uzyskają informacje o zamówieniu, które nie jest ich.
3. Skanowanie adresów URL
Atakujący korzysta z narzędzia skanującego do wyszukiwania katalogów i plików w systemie plików serwera WWW. Może skanować w poszukiwaniu wspólnych nazw administratora, haseł i plików dziennika. Jeśli narzędzie otrzyma pomyślną odpowiedź HTTP, oznacza to, że istnieje pasujący zasób. Następnie atakujący przejdzie dalej i uzyska dostęp do plików.
Wymuszone metody przeglądania
Atakujący może przeprowadzić wymuszony atak przeglądania ręcznie lub za pomocą zautomatyzowanych narzędzi.
W ręcznym wymuszonym przeglądaniu osoba atakująca wykorzystuje technikę rotacji liczb lub poprawnie odgaduje nazwę katalogu lub pliku i wpisuje ją w pasku adresu. Ta metoda jest trudniejsza niż użycie automatycznych narzędzi, ponieważ atakujący nie może ręcznie wysyłać żądań z podobną częstotliwością.
Wymuszone przeglądanie za pomocą zautomatyzowanych narzędzi polega na użyciu narzędzia do skanowania istniejących katalogów i plików w witrynie. Wiele zastrzeżonych plików jest zwykle ukrytych, ale narzędzia do skanowania mogą je wyłowić.
Zautomatyzowane narzędzia skanują wiele potencjalnych nazw stron i rejestrują wyniki uzyskane z serwera. Przechowują również adresy URL odpowiadające każdemu żądaniu strony. Atakujący przeprowadzi następnie ręczne dochodzenie, aby odkryć, do których stron może uzyskać dostęp.
W obu przypadkach wymuszone przeglądanie jest jak atak typu brute force, w którym atakujący zgaduje twoje hasło.
Jak zapobiegać wymuszonemu przeglądaniu
Należy pamiętać: ukrywanie plików nie czyni ich niedostępnymi. Upewnij się, że nie zakładasz, że jeśli nie umieścisz linku do strony, osoba atakująca nie będzie mogła uzyskać do niej dostępu. Wymuszone przeglądanie obala to założenie. Popularne nazwy przypisane do stron i katalogów można łatwo odgadnąć, dzięki czemu zasoby stają się dostępne dla atakujących.
Oto kilka wskazówek, które pomogą Ci zapobiec wymuszonemu przeglądaniu.
1. Unikaj używania wspólnych nazw plików
Deweloperzy zazwyczaj przydzielają wspólne nazwy plikom i katalogom internetowym. Mogą to być nazwy pospolite „admin”, „dzienniki”, „administrator” lub „kopia zapasowa”. Patrząc na nie, dość łatwo je odgadnąć.
Jednym ze sposobów na powstrzymanie wymuszonego przeglądania jest nadawanie nazw plikom o dziwnych lub złożonych nazwach, które są trudne do rozszyfrowania. Dzięki temu napastnicy będą mieli twardy orzech do zgryzienia. Ta sama technika pomaga w tworzenie silnych i skutecznych haseł.
2. Wyłącz listę katalogów na serwerze internetowym
Domyślna konfiguracja stanowi zagrożenie dla bezpieczeństwa, ponieważ może pomóc hakerom w uzyskaniu nieautoryzowanego dostępu do serwera.
Jeśli włączysz wyświetlanie katalogów na swoim serwerze internetowym, możesz ujawnić informacje, które zaproszą atakujących. Powinieneś wyłączyć listę katalogów i trzymać szczegóły systemu plików z dala od widoku publicznego.
3. Weryfikuj uwierzytelnienie użytkownika przed każdą zabezpieczoną operacją
Łatwo zignorować potrzebę uwierzytelniania użytkowników witryny na określonej stronie internetowej. Jeśli nie będziesz ostrożny, możesz o tym zapomnieć.
Upewnij się, że Twoje strony internetowe są dostępne tylko dla uwierzytelnionych użytkowników. Wdróż kontrolę autoryzacji na każdym kroku, aby zachować bezpieczeństwo.
4. Używaj właściwej kontroli dostępu
Korzystanie z odpowiednich kontroli dostępu obejmuje udzielanie użytkownikom wyraźnego dostępu do zasobów i stron, które odpowiadają ich prawom i nic więcej.
Upewnij się, że zdefiniowałeś typy plików, do których użytkownicy mają uprawnienia dostępu. Na przykład możesz ograniczyć użytkownikom dostęp do kopii zapasowych lub plików bazy danych.
Idź łeb w łeb z atakującymi
Jeśli hostujesz aplikację internetową w publicznym Internecie, zachęcasz napastników, aby dołożyli wszelkich starań, aby się włamać. Mając to na uwadze, z pewnością dojdzie do wymuszonych ataków przeglądania. Pytanie brzmi: czy pozwolisz atakującym uzyskać dostęp, gdy spróbują?
Nie musisz. Stawiaj silny opór, wdrażając w swoim systemie różne warstwy cyberbezpieczeństwa. Twoim obowiązkiem jest zabezpieczenie zasobów cyfrowych. Zrób wszystko, co musisz, aby zabezpieczyć to, co należy do ciebie.
Użytkownicy online są stale zagrożeni naruszeniami bezpieczeństwa, a ataki typu brute force są szczególnym powodem do niepokoju. Oto niektóre z najgorszych.
Czytaj dalej
- Bezpieczeństwo
- Bezpieczeństwo
- Tworzenie stron internetowych
- Bezpieczeństwo w Internecie
Chris Odogwu jest zapalonym pisarzem, który poprzez swoje pisarstwo przekazuje wiedzę. Z wykształcenia dziennikarz, posiada licencjat z komunikacji masowej oraz magisterium z public relations i reklamy. Jego ulubionym hobby jest taniec.
Zapisz się do naszego newslettera
Dołącz do naszego newslettera, aby otrzymywać porady techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!
Kliknij tutaj, aby zasubskrybować