Što je prisilno pregledavanje i kako funkcionira?

Web aplikacije su ključni elementi u pružanju usluga na internetu.

Više nije vijest da su mnogi patili od sigurnosnih propusta. Web stranica može izložiti pojedince značajnom riziku ako nije pravilno zaštićena.

Napadači mogu pristupiti ograničenim stranicama i povjerljivim korisničkim podacima koristeći nekoliko tehnika, uključujući prisilno pregledavanje.

U ovom članku ćemo raspravljati o konceptu prisilnog pregledavanja i kako ono funkcionira.

Što je prisilno pregledavanje?

Prisilno pregledavanje je tehnika koju napadači koriste za dobivanje pristupa ograničenim web-stranicama ili drugim resursima manipuliranjem URL-om. Također se naziva i prisilno pregledavanje. Baš kao što naziv implicira, napadač nasilno pregledava resurs za koji nema autorizaciju.

Takav napad cilja na datoteke u direktoriju web poslužitelja ili ograničene URL-ove koji ne provjeravaju autorizaciju.

Ovi resursi su profitabilni napadačima ako sadrže osjetljive podatke. Može se raditi o samoj web stranici ili o klijentima stranice. Osjetljivi podaci mogu uključivati:

• vjerodajnice
• Izvorni kod
• Sigurnosne kopije datoteka
• Dnevnici
• Konfiguracija
• Detalji interne mreže

Ako web-mjesto može postati žrtva napada prisilnog pregledavanja, onda nije ispravno sigurno.

Autorizacija bi trebala osigurati da korisnici imaju odgovarajuće dopuštenje za pristup ograničenim stranicama. Korisnici daju svoje podatke za prijavu, poput korisničkog imena i lozinke, prije nego im se dopusti pristup. Prisilno pregledavanje pokušava zaobići ove sigurnosne postavke traženjem pristupa ograničenim putovima. Testira može li pristupiti stranici bez davanja valjanih vjerodajnica.

Kako funkcionira prisilno pregledavanje?

Prisilno pregledavanje čest je problem kod web-mjesta koja imaju različite korisničke uloge kao što su obični korisnici i korisnici administratora. Svaki se korisnik prijavljuje s iste stranice, ali ima pristup različitim izbornicima i opcijama. Međutim, ako stranice do kojih ti izbornici vode nisu sigurne, korisnik bi mogao pogoditi naziv valjane stranice i pokušati izravno pristupiti njenom URL-u.

Nekoliko scenarija pokazuje kako funkcionira prisilno pregledavanje, bilo da se radi ručno ili uz korištenje automatiziranog alata. Pogledajmo neke primjere.

1. Nesigurna stranica računa

Korisnik se prijavljuje na web-mjesto, a URL njegove stranice računa je www.example.com/account.php? korisnik=4. Korisnik može nastaviti rotirati brojeve i promijeniti URL u www.example.com/account.php? korisnik=6. Ako se stranica otvori, moći će pristupiti podacima drugog korisnika bez potrebe za njihovim podacima za prijavu.

2. Nesigurna stranica za narudžbu

Korisnik s računom na web-mjestu e-trgovine pregledava jednu od svojih narudžbi na www.example.com/orders/4544. Sada nasumično mijenjaju ID narudžbe u www.example.com/orders/4546. Ako stranica s narudžbama ima slabost u prisilnom pregledavanju, napadač bi mogao otkriti pojedinosti o korisniku s tom narudžbom. U najmanju ruku, oni će dohvatiti informacije o narudžbi koja nije njihova.

3. Skeniranje URL-ova

Napadač koristi alat za skeniranje za traženje direktorija i datoteka u datotečnom sustavu web poslužitelja. Može skenirati uobičajena imena administratorskih, lozinki i datoteka zapisnika. Ako alat dobije uspješan HTTP odgovor, to implicira da postoji odgovarajući resurs. Tada će napadač krenuti naprijed i pristupiti datotekama.

Metode prisilnog pregledavanja

Napadač može izvršiti napad prisilnog pregledavanja ručno ili pomoću automatiziranih alata.

U ručnom prisilnom pregledavanju, napadač koristi tehniku ​​rotacije brojeva ili ispravno pogađa ime direktorija ili datoteke i upisuje ga u adresnu traku. Ova metoda je teža od korištenja automatiziranih alata jer napadač ne može ručno slati zahtjeve na istoj frekvenciji.

Prisilno pregledavanje uz pomoć automatiziranih alata uključuje korištenje alata za skeniranje postojećih direktorija i datoteka na web stranici. Mnoge ograničene datoteke obično su skrivene, ali ih alati za skeniranje mogu otkriti.

Automatizirani alati skeniraju mnoge potencijalne nazive stranica i bilježe rezultate dobivene s poslužitelja. Također pohranjuju URL-ove koji odgovaraju svakom zahtjevu stranice. Napadač će nastaviti ručnu istragu kako bi otkrio kojim stranicama može pristupiti.

S bilo kojom metodom, prisilno pregledavanje je poput napada grubom silom, gdje napadač pogodi vašu lozinku.

Kako spriječiti prisilno pregledavanje

Evo što treba imati na umu: skrivanje datoteka ne čini ih nedostupnima. Pazite da ne pretpostavite da, ako ne postavite vezu na stranicu, napadač joj ne može pristupiti. Prisilno pregledavanje pobija ovu pretpostavku. A uobičajena imena dodijeljena stranicama i direktorijima mogu se lako pogoditi, čineći resurse dostupnima napadačima.

Evo nekoliko savjeta koji će vam pomoći u sprječavanju prisilnog pregledavanja.

1. Izbjegavajte korištenje uobičajenih naziva za datoteke

Programeri obično dodjeljuju uobičajena imena datotekama i web imenicima. Ti uobičajeni nazivi mogu biti "admin", "logs", "administrator" ili "backup". Gledajući ih, lako ih je pogoditi.

Jedan od načina da zadržite prisilno pregledavanje je da datoteke nazivate čudnim ili složenim nazivima koje je teško odgonetnuti. Uz to, napadači će imati tvrd orah. Ista tehnika pomaže kod stvaranje jakih i učinkovitih lozinki.

2. Neka vaš popis imenika bude isključen na web poslužitelju

Zadana konfiguracija predstavlja sigurnosni rizik jer bi mogla pomoći hakerima da dobiju neovlašteni pristup vašem poslužitelju.

Ako omogućite popis direktorija na svom web poslužitelju, možete procuriti informacije koje će pozvati napadače. Trebali biste isključiti svoj popis direktorija i držati pojedinosti o datotečnom sustavu podalje od javnog pogleda.

3. Provjerite autentifikaciju korisnika prije svake sigurne operacije

Lako je zanemariti potrebu za provjerom autentičnosti korisnika web-mjesta na određenoj web stranici. Ako ne budete oprezni, mogli biste to zaboraviti učiniti.

Provjerite jesu li vaše web stranice dostupne samo provjerenim korisnicima. Uvedite provjeru autorizacije na svakom koraku kako biste održali sigurnost.

4. Koristite odgovarajuće kontrole pristupa

Korištenje odgovarajućih kontrola pristupa uključuje davanje korisnicima eksplicitnog pristupa resursima i stranicama koje odgovaraju njihovim pravima i ništa više.

Provjerite jeste li definirali vrste datoteka kojima korisnici imaju dopuštenje za pristup. Na primjer, možete onemogućiti korisnicima pristup sigurnosnoj kopiji ili datotekama baze podataka.

Idite u susret s napadačima

Ako hostirate web-aplikaciju na javnom internetu, pozivate napadače da daju sve od sebe kako bi se probili. Imajući to na umu, napadi prisilnog pregledavanja sigurno će se dogoditi. Pitanje je: hoćete li dopustiti napadačima da dobiju pristup kada to pokušaju?

Ne morate. Dajte snažan otpor primjenom različitih slojeva kibernetičke sigurnosti na vašem sustavu. Vaša je odgovornost osigurati svoju digitalnu imovinu. Učinite sve što morate učiniti da osigurate ono što vam pripada.

5 puta brutalne sile dovode do velikih sigurnosnih proboja

Korisnici na mreži stalno su pod prijetnjom kršenja sigurnosti, a napadi grube sile poseban su razlog za zabrinutost. Evo nekih od najgorih.

Pročitajte dalje

O autoru