Čo je to nútené prehliadanie a ako to funguje?

Webové aplikácie sú kľúčovými prvkami pri poskytovaní služieb na internete.

Už nie je novinkou, že mnohí trpeli bezpečnostnými chybami. Webová stránka môže vystaviť jednotlivcov značnému riziku, ak nie je riadne chránená.

Útočníci môžu pristupovať k obmedzeným stránkam a dôverným užívateľským údajom pomocou niekoľkých techník, vrátane núteného prehliadania.

V tomto článku budeme diskutovať o koncepte núteného prehliadania a o tom, ako to funguje.

Čo je vynútené prehliadanie?

Nútené prehliadanie je technika, ktorú útočníci používajú na získanie prístupu k obmedzeným webovým stránkam alebo iným zdrojom manipuláciou s adresou URL. Označuje sa tiež ako nútené prehliadanie. Ako už názov napovedá, útočník násilne prehliada zdroj, na ktorý nemá autorizáciu.

Takýto útok sa zameriava na súbory v adresári webového servera alebo obmedzené adresy URL, ktoré nekontrolujú autorizáciu.

Tieto zdroje sú pre útočníkov ziskové, ak obsahujú citlivé údaje. Môže ísť o samotný web alebo o zákazníkov webu. Medzi citlivé údaje môžu patriť:

• poverenia
• Zdrojový kód
• Záložné súbory
• Denníky
• Konfigurácia
• Podrobnosti o internej sieti

Ak sa webová stránka môže stať obeťou útoku núteného prehliadania, potom nie je riadne zabezpečená.

Autorizácia by mala zabezpečiť, aby používatelia mali príslušné povolenia na prístup k obmedzeným stránkam. Používatelia zadávajú svoje prihlasovacie údaje, ako je používateľské meno a heslo, skôr ako im bude povolený prístup. Nútené prehliadanie sa pokúša obísť tieto nastavenia zabezpečenia požiadaním o prístup k obmedzeným cestám. Testuje, či má prístup na stránku bez poskytnutia platných poverení.

Ako funguje nútené prehliadanie?

Nútené prehliadanie je bežným problémom webových stránok, ktoré majú rôzne používateľské roly, ako sú bežní používatelia a správcovia. Každý používateľ sa prihlasuje z tej istej stránky, ale má prístup k rôznym ponukám a možnostiam. Ak však stránky, na ktoré tieto ponuky vedú, nie sú zabezpečené, používateľ môže uhádnuť názov platnej stránky a pokúsiť sa priamo získať jej adresu URL.

Niekoľko scenárov ukazuje, ako funguje nútené prehliadanie, či už sa vykonáva manuálne alebo pomocou automatizovaného nástroja. Poďme sa pozrieť na niektoré prípady.

1. Nezabezpečená stránka účtu

Používateľ sa prihlási na webovú lokalitu a adresa URL stránky jeho účtu je www.example.com/account.php? užívateľ=4. Používateľ môže pristúpiť k rotácii čísel a zmeniť adresu URL na www.example.com/account.php? užívateľ=6. Ak sa stránka otvorí, budú môcť pristupovať k informáciám druhého používateľa bez toho, aby museli poznať jeho prihlasovacie údaje.

2. Nezabezpečená stránka objednávky

Používateľ s účtom na webovej lokalite elektronického obchodu zobrazí jednu zo svojich objednávok na adrese www.example.com/orders/4544. Teraz náhodne zmenia ID objednávky na www.example.com/orders/4546. Ak má stránka s objednávkami slabú stránku vynúteného prehliadania, útočník môže objaviť podrobnosti o používateľovi s touto objednávkou. Minimálne získajú informácie o zákazke, ktorá nie je ich.

3. skenovanie URL

Útočník využíva skenovací nástroj na vyhľadávanie adresárov a súborov v súborovom systéme webového servera. Môže vyhľadávať bežné názvy správcov, hesiel a súborov denníka. Ak nástroj dostane úspešnú odpoveď HTTP, znamená to, že existuje zodpovedajúci zdroj. Potom bude útočník pokračovať a získať prístup k súborom.

Metódy núteného prehliadania

Útočník môže vykonať útok núteného prehliadania manuálne alebo pomocou automatických nástrojov.

Pri manuálnom násilnom prehliadaní útočník používa techniku ​​rotácie čísel alebo správne uhádne názov adresára alebo súboru a napíše ho do adresného riadku. Táto metóda je náročnejšia ako použitie automatizovaných nástrojov, pretože útočník nemôže manuálne odosielať požiadavky s podobnou frekvenciou.

Nútené prehliadanie pomocou automatických nástrojov zahŕňa použitie nástroja na vyhľadávanie existujúcich adresárov a súborov na webovej lokalite. Mnoho obmedzených súborov je zvyčajne skrytých, ale nástroje na skenovanie ich dokážu vyloviť.

Automatizované nástroje prehľadávajú množstvo potenciálnych názvov stránok a zaznamenávajú výsledky získané zo servera. Ukladajú tiež adresy URL, ktoré zodpovedajú každej žiadosti o stránku. Útočník bude pokračovať v manuálnom vyšetrovaní, aby zistil, ku ktorým stránkam má prístup.

Pri oboch spôsoboch je vynútené prehliadanie ako útok hrubou silou, pri ktorom je útočník uhádne vaše heslo.

Ako zabrániť nútenému prehliadaniu

Tu je niečo, čo treba mať na pamäti: skrytie súborov neznamená, že sú nedostupné. Nepredpokladajte, že ak na stránku neodkážete, útočník na ňu nebude mať prístup. Nútené prehliadanie tento predpoklad vyvracia. A bežné názvy priradené stránkam a adresárom sa dajú ľahko uhádnuť, čím sa zdroje sprístupnia útočníkom.

Tu je niekoľko tipov, ktoré vám pomôžu zabrániť nútenému prehliadaniu.

1. Vyhnite sa používaniu bežných názvov súborov

Vývojári zvyčajne prideľujú súborom a webovým adresárom bežné názvy. Tieto bežné názvy môžu byť „správca“, „denníky“, „správca“ alebo „záloha“. Pri pohľade na ne sa dajú celkom ľahko uhádnuť.

Jedným zo spôsobov, ako udržať nútené prehliadanie na uzde, je pomenovať súbory zvláštnymi alebo zložitými názvami, ktoré je ťažké zistiť. S tým na mieste budú mať útočníci ťažký oriešok. Pomáha rovnaká technika vytváranie silných a efektívnych hesiel.

2. Nechajte svoj zoznam adresárov na webovom serveri vypnutý

Predvolená konfigurácia predstavuje bezpečnostné riziko, pretože môže pomôcť hackerom získať neoprávnený prístup k vášmu serveru.

Ak povolíte zoznam adresárov na svojom webovom serveri, môžete uniknúť informácie, ktoré pozvú útočníkov. Mali by ste vypnúť zoznam svojich adresárov a ponechať podrobnosti o súborovom systéme mimo dosahu verejnosti.

3. Pred každou zabezpečenou operáciou overte overenie používateľa

Je ľahké ignorovať potrebu overovania používateľov lokality na konkrétnej webovej stránke. Ak si nedáte pozor, možno na to zabudnete.

Uistite sa, že vaše webové stránky sú prístupné iba pre overených používateľov. Nasaďte kontrolu autorizácie na každom kroku, aby ste zachovali bezpečnosť.

4. Používajte správne kontroly prístupu

Používanie riadnej kontroly prístupu zahŕňa udelenie explicitného prístupu používateľom k zdrojom a stránkam, ktoré zodpovedajú ich právam, a nič viac.

Uistite sa, že ste definovali typy súborov, ku ktorým majú používatelia oprávnenie pristupovať. Môžete napríklad obmedziť používateľom prístup k záložným alebo databázovým súborom.

Choďte proti sebe s útočníkmi

Ak hosťujete webovú aplikáciu na verejnom internete, pozývate útočníkov, aby sa čo najlepšie pokúsili preniknúť dovnútra. S ohľadom na túto skutočnosť sa nevyhnutne vyskytnú útoky núteného prehliadania. Otázka znie: umožníte útočníkom získať prístup, keď sa o to pokúsia?

nemusíš. Postavte silný odpor nasadením rôznych vrstiev kybernetickej bezpečnosti vo vašom systéme. Je vašou zodpovednosťou zabezpečiť svoje digitálne aktíva. Urobte všetko, čo musíte urobiť, aby ste si zabezpečili to, čo vám patrí.

5-krát útoky hrubou silou vedú k obrovským narušeniam bezpečnosti

Online používatelia sú neustále ohrození narušením bezpečnosti a útoky hrubou silou vyvolávajú obavy. Tu sú niektoré z najhorších.

Prečítajte si ďalej

O autorovi