Co je nucené prohlížení a jak to funguje?

Webové aplikace jsou klíčovými prvky při poskytování služeb na internetu.

Již není novinkou, že mnozí trpěli bezpečnostními chybami. Webová stránka může vystavit jednotlivce značnému riziku, pokud není řádně chráněna.

Útočníci mohou přistupovat k omezeným stránkám a důvěrným uživatelským datům pomocí několika technik, včetně nuceného procházení.

V tomto článku probereme koncept nuceného procházení a jak to funguje.

Co je vynucené prohlížení?

Nucené procházení je technika, kterou útočníci používají k získání přístupu k omezeným webovým stránkám nebo jiným zdrojům manipulací s adresou URL. Označuje se také jako vynucené procházení. Jak název napovídá, útočník násilně prohlíží zdroj, ke kterému nemá oprávnění.

Takový útok se zaměřuje na soubory v adresáři webového serveru nebo na omezené adresy URL, které nekontrolují autorizaci.

Tyto prostředky jsou pro útočníky ziskové, pokud obsahují citlivá data. Může se jednat o samotný web nebo o zákazníky webu. Mezi citlivé údaje mohou patřit:

• Pověření
• Zdrojový kód
• Záložní soubory
• Protokoly
• Konfigurace
• Podrobnosti o interní síti

Pokud se web může stát obětí útoku vynuceného prohlížení, pak není řádně zabezpečený.

Autorizace by měla zajistit, že uživatelé mají odpovídající oprávnění pro přístup na stránky s omezeným přístupem. Než jim bude povolen přístup, uživatelé zadají své přihlašovací údaje, jako je uživatelské jméno a heslo. Vynucené procházení se pokouší obejít tato nastavení zabezpečení tím, že požaduje přístup k omezeným cestám. Testuje, zda má přístup na stránku bez poskytnutí platných přihlašovacích údajů.

Jak funguje nucené prohlížení?

Nucené procházení je častým problémem webových stránek, které mají různé uživatelské role, jako jsou běžní uživatelé a správci. Každý uživatel se přihlašuje ze stejné stránky, ale má přístup k různým nabídkám a možnostem. Pokud však stránky, na které tyto nabídky vedou, nejsou zabezpečené, uživatel může uhodnout název platné stránky a pokusit se získat přímo její adresu URL.

Několik scénářů ukazuje, jak funguje nucené procházení, ať už se provádí ručně nebo pomocí automatického nástroje. Podívejme se na některé případy.

1. Nezabezpečená stránka účtu

Uživatel se přihlásí na web a adresa URL stránky jeho účtu je www.example.com/account.php? uživatel=4. Uživatel může přejít k rotaci čísel a změnit adresu URL na www.example.com/account.php? uživatel=6. Pokud se stránka otevře, bude mít přístup k informacím druhého uživatele, aniž by potřeboval znát jeho přihlašovací údaje.

2. Nezabezpečená stránka objednávky

Uživatel s účtem na webu elektronického obchodu zobrazí jednu ze svých objednávek na adrese www.example.com/orders/4544. Nyní náhodně změní ID objednávky na www.example.com/orders/4546. Pokud má stránka s objednávkami slabou stránku vynuceného procházení, útočník může zjistit podrobnosti o uživateli s touto objednávkou. Přinejmenším získají informace o zakázce, která není jejich.

3. skenování URL

Útočník využívá skenovací nástroj k vyhledávání adresářů a souborů v souborovém systému webového serveru. Může vyhledávat běžná jména správců, hesel a souborů protokolu. Pokud nástroj obdrží úspěšnou odpověď HTTP, znamená to, že existuje odpovídající prostředek. Poté bude útočník pokračovat a získat přístup k souborům.

Metody nuceného procházení

Útočník může provést útok nuceným procházením ručně nebo pomocí automatických nástrojů.

Při ručním násilném procházení útočník používá techniku ​​rotace čísel nebo správně uhodne název adresáře nebo souboru a zadá jej do adresního řádku. Tato metoda je obtížnější než použití automatizovaných nástrojů, protože útočník nemůže ručně odesílat požadavky se stejnou frekvencí.

Nucené procházení s pomocí automatických nástrojů zahrnuje použití nástroje pro vyhledávání existujících adresářů a souborů na webu. Mnoho souborů s omezeným přístupem je obvykle skrytých, ale nástroje pro skenování je mohou vylovit.

Automatizované nástroje prohledávají mnoho potenciálních názvů stránek a zaznamenávají výsledky získané ze serveru. Ukládají také adresy URL, které odpovídají každému požadavku na stránku. Útočník bude pokračovat v ručním vyšetřování, aby zjistil, ke kterým stránkám má přístup.

U obou metod je vynucené procházení jako útok hrubou silou, kdy útočník uhodne vaše heslo.

Jak zabránit nucenému prohlížení

Zde je něco, co je třeba mít na paměti: skrytí souborů je neznepřístupní. Ujistěte se, že nepředpokládáte, že pokud na stránku neodkážete, útočník na ni nebude mít přístup. Nucené procházení tento předpoklad vyvrací. A běžná jména přiřazená stránkám a adresářům lze snadno uhodnout a zpřístupnit tak zdroje útočníkům.

Zde je několik tipů, které vám pomohou zabránit nucenému procházení.

1. Vyhněte se používání běžných názvů souborů

Vývojáři obvykle přidělují běžná jména souborům a webovým adresářům. Tyto běžné názvy mohou být „admin“, „protokoly“, „administrátor“ nebo „záloha“. Při pohledu na ně je celkem snadné je uhodnout.

Jedním ze způsobů, jak udržet nucené procházení na uzdě, je pojmenovávat soubory podivnými nebo složitými názvy, které je těžké zjistit. S tím na místě budou mít útočníci těžký oříšek. Pomáhá stejná technika vytváření silných a účinných hesel.

2. Udržujte svůj seznam adresářů na webovém serveru vypnutý

Výchozí konfigurace představuje bezpečnostní riziko, protože by mohla pomoci hackerům získat neoprávněný přístup k vašemu serveru.

Pokud na svém webovém serveru povolíte výpis adresářů, můžete uniknout informacím, které budou pozvat útočníky. Měli byste vypnout výpis adresářů a ponechat podrobnosti o souborovém systému mimo veřejný pohled.

3. Před každou zabezpečenou operací ověřte ověření uživatele

Je snadné ignorovat potřebu ověřování uživatelů webu na konkrétní webové stránce. Pokud si nedáte pozor, můžete na to zapomenout.

Ujistěte se, že vaše webové stránky jsou přístupné pouze ověřeným uživatelům. Nasaďte kontrolu autorizace na každém kroku, abyste udrželi zabezpečení.

4. Používejte správné řízení přístupu

Použití správného řízení přístupu zahrnuje udělení explicitního přístupu uživatelům ke zdrojům a stránkám, které odpovídají jejich právům, a nic víc.

Ujistěte se, že jste definovali typy souborů, ke kterým mají uživatelé oprávnění přistupovat. Můžete například omezit uživatelům přístup k záložním nebo databázovým souborům.

Jděte proti sobě s útočníky

Pokud hostujete webovou aplikaci na veřejném internetu, zvete útočníky, aby se co nejlépe pokusili proniknout dovnitř. S ohledem na tuto skutečnost musí nutně dojít k útokům nuceného prohlížení. Otázka zní: umožníte útočníkům získat přístup, když se o to pokusí?

Nemusíš. Postavte silný odpor nasazením různých vrstev kybernetické bezpečnosti ve vašem systému. Je vaší odpovědností zabezpečit svá digitální aktiva. Udělejte vše, co musíte udělat, abyste zajistili to, co vám patří.

5krát útoky hrubou silou vedou k obrovskému narušení bezpečnosti

Online uživatelé jsou neustále ohroženi narušením bezpečnosti a útoky hrubou silou jsou důvodem k obavám. Zde jsou některé z nejhorších.

Přečtěte si další

O autorovi