Kas ir piespiedu pārlūkošana un kā tā darbojas?

Tīmekļa lietojumprogrammas ir būtiski elementi pakalpojumu sniegšanā internetā.

Tas vairs nav jaunums, ka daudzi ir cietuši no drošības ievainojamībām. Vietne var pakļaut personas ievērojamam riskam, ja tā nav pienācīgi aizsargāta.

Uzbrucēji var piekļūt ierobežotām lapām un konfidenciāliem lietotāju datiem, izmantojot vairākas metodes, tostarp piespiedu pārlūkošanu.

Šajā rakstā mēs apspriedīsim piespiedu pārlūkošanas jēdzienu un tā darbību.

Kas ir piespiedu pārlūkošana?

Piespiedu pārlūkošana ir paņēmiens, ko uzbrucēji izmanto, lai piekļūtu ierobežotām tīmekļa lapām vai citiem resursiem, manipulējot ar URL. To sauc arī par piespiedu pārlūkošanu. Tāpat kā norāda nosaukums, uzbrucējs piespiedu kārtā pārlūko resursu, kuram viņam nav atļaujas.

Šāds uzbrukums ir vērsts uz failiem tīmekļa servera direktorijā vai ierobežotiem URL, kas nepārbauda autorizāciju.

Šie resursi uzbrucējiem ir izdevīgi, ja tajos ir sensitīvi dati. Tas varētu būt par pašu vietni vai vietnes klientiem. Sensitīvie dati var ietvert:

• Akreditācijas dati
• Avota kods
• Dublējuma faili
• Baļķi
• Konfigurācija
• Iekšējā tīkla informācija

Ja vietne var kļūt par upuri piespiedu pārlūkošanas uzbrukumam, tā nav pareizi droša.

Autorizācijai jānodrošina, ka lietotājiem ir atbilstošas ​​atļaujas lai piekļūtu ierobežotām lapām. Lietotāji sniedz savu pieteikšanās informāciju, piemēram, lietotājvārdu un paroli, pirms viņiem tiek atļauta piekļuve. Piespiedu pārlūkošana mēģina apiet šos drošības iestatījumus, pieprasot piekļuvi ierobežotiem ceļiem. Tā pārbauda, ​​vai tā var piekļūt lapai, nesniedzot derīgus akreditācijas datus.

Kā darbojas piespiedu pārlūkošana?

Piespiedu pārlūkošana ir izplatīta problēma vietnēs, kurām ir dažādas lietotāju lomas, piemēram, parastie lietotāji un administratori. Katrs lietotājs piesakās no vienas lapas, taču viņam ir piekļuve dažādām izvēlnēm un opcijām. Tomēr, ja lapas, uz kurām novirza šīs izvēlnes, nav drošas, lietotājs var uzminēt derīgas lapas nosaukumu un mēģināt tieši piekļūt tās URL.

Vairāki scenāriji parāda, kā darbojas piespiedu pārlūkošana neatkarīgi no tā, vai tā tiek veikta manuāli vai izmantojot automatizētu rīku. Apskatīsim dažus gadījumus.

1. Nedroša konta lapa

Lietotājs piesakās vietnē, un viņa konta lapas URL ir www.example.com/account.php? lietotājs=4. Lietotājs var turpināt skaitļu pagriešanu un mainīt URL uz www.example.com/account.php? lietotājs=6. Ja lapa tiek atvērta, viņi varēs piekļūt cita lietotāja informācijai, nezinot viņu pieteikšanās informāciju.

2. Nedroša pasūtījuma lapa

Lietotājs, kuram ir konts e-komercijas vietnē, apskata vienu no saviem pasūtījumiem vietnē www.example.com/orders/4544. Tagad viņi nejauši maina pasūtījuma ID uz www.example.com/orders/4546. Ja pasūtījumu lapai ir piespiedu pārlūkošanas trūkums, uzbrucējs var atklāt informāciju par lietotāju ar šo pasūtījumu. Viņi vismaz izgūs informāciju par pasūtījumu, kas nav viņu pasūtīts.

3. URL skenēšana

Uzbrucējs izmanto skenēšanas rīku, lai meklētu direktorijus un failus tīmekļa servera failu sistēmā. Tas var meklēt parastos administratora, paroles un žurnālfailu nosaukumus. Ja rīks saņem veiksmīgu HTTP atbildi, tas nozīmē, ka pastāv atbilstošs resurss. Tad uzbrucējs dosies uz priekšu un piekļūs failiem.

Piespiedu pārlūkošanas metodes

Uzbrucējs var veikt piespiedu pārlūkošanas uzbrukumu manuāli vai ar automatizētiem rīkiem.

Manuālā piespiedu pārlūkošanā uzbrucējs izmanto skaitļu pagriešanas paņēmienu vai pareizi uzmin direktorija vai faila nosaukumu un ieraksta to adreses joslā. Šī metode ir grūtāka nekā automatizētu rīku izmantošana, jo uzbrucējs nevar manuāli nosūtīt pieprasījumus ar tādu pašu frekvenci.

Piespiedu pārlūkošana ar automatizētu rīku palīdzību ietver rīka izmantošanu, lai meklētu vietnē esošus direktorijus un failus. Daudzi ierobežoti faili parasti ir paslēpti, taču skenēšanas rīki tos var izskaust.

Automatizētie rīki skenē daudzus iespējamos lapu nosaukumus un reģistrē no servera iegūtos rezultātus. Tie arī saglabā URL, kas atbilst katram lapas pieprasījumam. Uzbrucējs veiks manuālu izmeklēšanu, lai noskaidrotu, kurām lapām viņš var piekļūt.

Izmantojot jebkuru no metodēm, piespiedu pārlūkošana ir kā brutāla spēka uzbrukums, kur uzbrucējs uzmin tavu paroli.

Kā novērst piespiedu pārlūkošanu

Jāpatur prātā: failu slēpšana nepadara tos nepieejamus. Pārliecinieties, ka nepieņemat, ka uzbrucējs nevarēs tai piekļūt, ja neveiksit saiti uz lapu. Piespiedu pārlūkošana atspēko šo pieņēmumu. Lapām un direktorijiem piešķirtos parastos nosaukumus var viegli uzminēt, padarot resursus pieejamus uzbrucējiem.

Šeit ir daži padomi, kas palīdzēs novērst piespiedu pārlūkošanu.

1. Izvairieties no failiem izmantot parastos nosaukumus

Izstrādātāji failiem un tīmekļa direktorijiem parasti piešķir parastos nosaukumus. Šie parastie nosaukumi var būt "admin", "žurnāli", "administrators" vai "rezerves kopija". Skatoties uz tiem, tos ir diezgan viegli uzminēt.

Viens no veidiem, kā novērst piespiedu pārlūkošanu, ir nosaukt failus ar dīvainiem vai sarežģītiem nosaukumiem, kurus ir grūti izdomāt. Ar to uzbrucējiem būs ciets rieksts. Tā pati tehnika palīdz ar izveidot spēcīgas un efektīvas paroles.

2. Izslēdziet savu direktoriju sarakstu tīmekļa serverī

Noklusējuma konfigurācija rada drošības risku, jo tā var palīdzēt hakeriem iegūt nesankcionētu piekļuvi jūsu serverim.

Ja savā tīmekļa serverī iespējojat direktoriju sarakstu, varat nopludināt informāciju, kas aicinās uzbrucējus. Izslēdziet savu direktoriju sarakstu un glabājiet failu sistēmas informāciju prom no publiskas apskates.

3. Pirms katras drošās darbības pārbaudiet lietotāja autentifikāciju

Ir viegli neņemt vērā vajadzību autentificēt vietnes lietotājus noteiktā tīmekļa lapā. Ja neesat uzmanīgs, varat to aizmirst.

Nodrošiniet, lai jūsu tīmekļa lapas būtu pieejamas tikai autentificētiem lietotājiem. Lai saglabātu drošību, katrā darbībā veiciet autorizācijas pārbaudi.

4. Izmantojiet pareizu piekļuves kontroli

Pareizas piekļuves kontroles izmantošana nozīmē, ka lietotājiem tiek piešķirta nepārprotama piekļuve resursiem un lapām, kas atbilst viņu tiesībām, un nekas vairāk.

Noteikti definējiet failu tipus, kuriem lietotājiem ir atļauja piekļūt. Piemēram, varat liegt lietotājiem piekļuvi dublējuma vai datu bāzes failiem.

Dodieties viens pret vienu ar uzbrucējiem

Ja publiskajā internetā mitināt tīmekļa lietojumprogrammu, jūs aicināt uzbrucējus censties ar spēku iekļūt. Paturot to prātā, piespiedu pārlūkošanas uzbrukumi noteikti notiks. Jautājums ir: vai jūs ļausiet uzbrucējiem piekļūt, kad viņi to mēģina?

Tev nevajag. Izdariet spēcīgu pretestību, savā sistēmā izvietojot dažādus kiberdrošības līmeņus. Jūs esat atbildīgs par savu digitālo līdzekļu drošību. Dariet visu, kas jums jādara, lai nodrošinātu to, kas jums pieder.

5 reizes brutālu spēku uzbrukumi noved pie milzīgiem drošības pārkāpumiem

Tiešsaistes lietotājus pastāvīgi apdraud drošības pārkāpumi, un rupja spēka uzbrukumi rada īpašas bažas. Šeit ir daži no sliktākajiem.

Lasiet Tālāk

Par autoru