Шта је принудно прегледање и како функционише?

Веб апликације су кључни елементи у пружању услуга на интернету.

Више није вијест да су многи патили од сигурносних пропуста. Веб локација може изложити појединце значајном ризику ако није правилно заштићена.

Нападачи могу приступити ограниченим страницама и поверљивим корисничким подацима користећи неколико техника, укључујући принудно прегледање.

У овом чланку ћемо разговарати о концепту принудног прегледавања и како оно функционише.

Шта је принудно прегледање?

Принудно прегледање је техника коју нападачи користе да би добили приступ ограниченим веб страницама или другим ресурсима манипулисањем УРЛ-ом. Такође се назива и присилно прегледање. Баш као што име имплицира, нападач насилно прегледава ресурс за који нема овлашћење.

Такав напад циља датотеке у директоријуму веб сервера или ограничене УРЛ адресе које не проверавају ауторизацију.

Ови ресурси су профитабилни за нападаче ако садрже осетљиве податке. Може да се ради о самој веб локацији или о клијентима сајта. Осетљиви подаци могу да обухватају:

• Акредитиви
• Изворни код
• Бекап фајлови
• Дневници
• Конфигурација
• Детаљи интерне мреже

Ако веб локација може постати жртва принудног напада прегледавања, онда није исправно безбедна.

Ауторизација треба да обезбеди да корисници имају одговарајућу дозволу за приступ ограниченим страницама. Корисници дају своје податке за пријаву, попут корисничког имена и лозинке, пре него што им се дозволи приступ. Принудно прегледање покушава да заобиђе ова безбедносна подешавања тако што захтева приступ ограниченим путањама. Тестира да ли може да приступи страници без давања ваљаних акредитива.

Како функционише принудно прегледање?

Принудно прегледање је чест проблем са веб локацијама које имају различите корисничке улоге као што су обични корисници и корисници администратора. Сваки корисник се пријављује са исте странице, али има приступ различитим менијима и опцијама. Међутим, ако странице до којих ти менији воде нису безбедне, корисник би могао да погоди име важеће странице и покуша да директно приступи њеној УРЛ адреси.

Неколико сценарија показује како функционише присилно прегледање, било да се ради ручно или уз коришћење аутоматизованог алата. Хајде да погледамо неке примере.

1. Небезбедна страница налога

Корисник се пријављује на веб локацију и УРЛ његове странице налога је ввв.екампле.цом/аццоунт.пхп? корисник=4. Корисник може да настави са ротацијом бројева и промени УРЛ у ввв.екампле.цом/аццоунт.пхп? корисник=6. Ако се страница отвори, они ће моћи да приступе информацијама другог корисника без потребе да знају њихове детаље за пријаву.

2. Небезбедна страница за наруџбу

Корисник са налогом на веб локацији за е-трговину гледа једну од својих поруџбина на ввв.екампле.цом/ордерс/4544. Сада насумично мењају ИД поруџбине у ввв.екампле.цом/ордерс/4546. Ако страница са наруџбинама има слабост принудног прегледања, нападач може открити детаље корисника са том наруџбом. У најмању руку, они ће преузети информације о наруџби која није њихова.

3. УРЛ скенирање

Нападач користи алатку за скенирање да тражи директоријуме и датотеке у систему датотека веб сервера. Може да скенира уобичајена имена администраторских, лозинки и датотека евиденције. Ако алатка добије успешан ХТТП одговор, то имплицира да постоји одговарајући ресурс. Тада ће нападач наставити и приступити датотекама.

Методе присилног прегледавања

Нападач може да изврши напад принудног прегледавања ручно или помоћу аутоматизованих алата.

Приликом ручног принудног прегледавања, нападач користи технику ротације бројева, или исправно погађа име директоријума или датотеке и укуцава га у адресну траку. Овај метод је тежи од употребе аутоматизованих алата јер нападач не може ручно да шаље захтеве на истој фреквенцији.

Принудно претраживање уз помоћ аутоматизованих алата подразумева коришћење алата за скенирање постојећих директоријума и датотека на веб локацији. Многе ограничене датотеке су обично скривене, али алати за скенирање их могу открити.

Аутоматски алати скенирају многе потенцијалне називе страница и бележе резултате добијене са сервера. Они такође чувају УРЛ адресе које одговарају сваком захтеву за страницу. Нападач ће наставити да спроводи ручну истрагу како би открио којим страницама може да приступи.

Са било којом методом, принудно претраживање је попут напада грубом силом, где нападач погађа вашу лозинку.

Како спречити присилно прегледање

Ево нечега што треба имати на уму: скривање датотека их не чини недоступним. Уверите се да не претпоставите да нападач не може да јој приступи ако не повежете страницу. Принудно прегледање разоткрива ову претпоставку. А уобичајена имена додељена страницама и директоријумима могу се лако погодити, чинећи ресурсе доступним нападачима.

Ево неколико савета који ће вам помоћи да спречите присилно прегледање.

1. Избегавајте употребу уобичајених имена за датотеке

Програмери обично додељују уобичајена имена датотекама и веб директоријумима. Ова уобичајена имена могу бити "админ", "логови", "администратор" или "резервна копија". Гледајући их, прилично их је лако погодити.

Један од начина да задржите принудно прегледавање је да именујете датотеке са чудним или сложеним именима која је тешко открити. Са тим на месту, нападачи ће имати тврд орах. Иста техника помаже код креирање јаких и ефикасних лозинки.

2. Држите своју листу директоријума искљученом на веб серверу

Подразумевана конфигурација представља безбедносни ризик јер би могла помоћи хакерима да добију неовлашћени приступ вашем серверу.

Ако омогућите листу директоријума на свом веб серверу, можете процурити информације које ће позвати нападаче. Требало би да искључите свој списак директоријума и да детаље о систему датотека не видите у јавности.

3. Проверите аутентификацију корисника пре сваке безбедне операције

Лако је занемарити потребу за аутентификацијом корисника сајта на одређеној веб страници. Ако нисте пажљиви, можда ћете то заборавити.

Уверите се да су ваше веб странице доступне само аутентификованим корисницима. Примените проверу ауторизације на сваком кораку да бисте одржали безбедност.

4. Користите одговарајуће контроле приступа

Коришћење одговарајућих контрола приступа подразумева давање корисницима експлицитног приступа ресурсима и страницама које одговарају њиховим правима и ништа више.

Уверите се да дефинишете типове датотека којима корисници имају дозволу да приступе. На пример, можете да забраните корисницима приступ резервним копијама или датотекама базе података.

Идите у сусрет са нападачима

Ако хостујете веб апликацију на јавном интернету, позивате нападаче да дају све од себе да уђу. Имајући ово на уму, напади присилног прегледавања ће се сигурно догодити. Питање је: да ли ћете дозволити нападачима да добију приступ када то покушају?

Не морате. Дајте снажан отпор применом различитих слојева сајбер безбедности на вашем систему. Ваша је одговорност да обезбедите своју дигиталну имовину. Урадите све што морате да обезбедите оно што вам припада.

5 пута бруталне силе доводе до великих нарушавања безбедности

Корисници на мрежи су под сталном претњом кршења безбедности, а напади грубе силе су посебан разлог за забринутост. Ево неких од најгорих.

Реад Нект

О аутору