Žiniatinklio programos yra labai svarbūs teikiant paslaugas internete.

Jau ne naujiena, kad daugelis nukentėjo nuo saugumo spragų. Jei svetainė nėra tinkamai apsaugota, asmenims gali kilti didelė rizika.

Užpuolikai gali pasiekti apribotus puslapius ir konfidencialius naudotojų duomenis naudodami keletą metodų, įskaitant priverstinį naršymą.

Šiame straipsnyje aptarsime priverstinio naršymo sąvoką ir jo veikimą.

Kas yra priverstinis naršymas?

Priverstinis naršymas yra metodas, kurį užpuolikai naudoja norėdami pasiekti apribotus tinklalapius ar kitus išteklius manipuliuodami URL. Jis taip pat vadinamas priverstiniu naršymu. Kaip rodo pavadinimas, užpuolikas priverstinai naršo šaltinį, kuriam neturi leidimo.

Tokia ataka taikosi į žiniatinklio serverio kataloge esančius failus arba apribotus URL, kurie netikrina prieigos.

Šie ištekliai yra naudingi užpuolikams, jei juose yra neskelbtinų duomenų. Tai gali būti apie pačią svetainę arba svetainės klientus. Į jautrius duomenis gali būti įtraukta:

  • Įgaliojimai
  • Pirminis kodas
  • Atsarginės kopijos failai
  • Rąstai
  • Konfigūracija
  • Vidinio tinklo informacija

Jei svetainė gali tapti priverstinio naršymo atakos auka, ji nėra tinkamai saugi.

Leidimas turėtų užtikrinti, kad vartotojai turėtų atitinkamus leidimus norėdami pasiekti apribotus puslapius. Naudotojai pateikia savo prisijungimo duomenis, pvz., vartotojo vardą ir slaptažodį, prieš jiems suteikiant prieigą. Priverstinis naršymas bando apeiti šiuos saugos nustatymus, prašydamas prieigos prie apribotų kelių. Jis išbando, ar gali pasiekti puslapį nepateikęs galiojančių kredencialų.

Kaip veikia priverstinis naršymas?

Priverstinis naršymas yra dažna problema svetainėse, kuriose atliekami įvairūs naudotojų vaidmenys, pvz., įprasti vartotojai ir administratoriai. Kiekvienas vartotojas prisijungia iš to paties puslapio, bet turi prieigą prie skirtingų meniu ir parinkčių. Tačiau jei puslapiai, į kuriuos nukreipiami šie meniu, nėra saugūs, vartotojas gali atspėti tinkamo puslapio pavadinimą ir bandyti tiesiogiai pasiekti jo URL.

Keletas scenarijų rodo, kaip veikia priverstinis naršymas, nesvarbu, ar tai daroma rankiniu būdu, ar naudojant automatinį įrankį. Pažvelkime į kai kuriuos atvejus.

1. Nesaugus paskyros puslapis

Vartotojas prisijungia prie svetainės ir jo paskyros puslapio URL yra www.example.com/account.php? vartotojas=4. Vartotojas gali keisti skaičių ir pakeisti URL į www.example.com/account.php? vartotojas=6. Jei puslapis bus atidarytas, jie galės pasiekti kito naudotojo informaciją nežinant prisijungimo duomenų.

2. Nesaugus užsakymo puslapis

Naudotojas, turintis paskyrą el. prekybos svetainėje, peržiūri vieną iš savo užsakymų adresu www.example.com/orders/4544. Dabar jie atsitiktinai pakeičia užsakymo ID į www.example.com/orders/4546. Jei užsakymų puslapyje yra priverstinio naršymo trūkumas, užpuolikas gali sužinoti informaciją apie vartotoją su tuo užsakymu. Bent jau jie gaus informaciją apie užsakymą, kuris nėra jų.

3. URL nuskaitymas

Užpuolikas naudoja nuskaitymo įrankį, kad ieškotų katalogų ir failų žiniatinklio serverio failų sistemoje. Jis gali nuskaityti įprastus administratoriaus, slaptažodžio ir žurnalo failų pavadinimus. Jei įrankis gauna sėkmingą HTTP atsakymą, tai reiškia, kad yra atitinkamas šaltinis. Tada užpuolikas eis į priekį ir pasieks failus.

Priverstinio naršymo metodai

Užpuolikas gali įvykdyti priverstinio naršymo ataką rankiniu būdu arba automatizuotais įrankiais.

Neautomatinio priverstinio naršymo metu užpuolikas naudoja skaičių pasukimo techniką arba teisingai atspėja katalogo ar failo pavadinimą ir įveda jį į adreso juostą. Šis metodas yra sunkesnis nei automatinių įrankių naudojimas, nes užpuolikas negali rankiniu būdu siųsti užklausų tokiu pat dažniu.

Priverstinis naršymas naudojant automatizuotus įrankius apima įrankį, kuris nuskaito esamus katalogus ir failus svetainėje. Daugelis apribotų failų paprastai yra paslėpti, tačiau nuskaitymo įrankiai gali juos išgauti.

Automatiniai įrankiai nuskaito daugybę galimų puslapių pavadinimų ir įrašo iš serverio gautus rezultatus. Jie taip pat saugo URL adresus, atitinkančius kiekvieną puslapio užklausą. Užpuolikas atliks rankinį tyrimą, kad išsiaiškintų, kuriuos puslapius jis gali pasiekti.

Naudojant bet kurį metodą, priverstinis naršymas yra tarsi žiaurios jėgos ataka, kurioje užpuolikas atspėja tavo slaptažodį.

Kaip išvengti priverstinio naršymo

Štai ką reikia turėti omenyje: paslėpus failus, jie nebus nepasiekiami. Įsitikinkite, kad nemanote, kad jei nepateiksite nuorodos į puslapį, užpuolikas negalės jo pasiekti. Priverstinis naršymas paneigia šią prielaidą. Puslapiams ir katalogams priskirtus įprastus pavadinimus galima nesunkiai atspėti, todėl užpuolikai gali pasiekti išteklius.

Štai keletas patarimų, kurie padės išvengti priverstinio naršymo.

1. Nenaudokite bendrų failų pavadinimų

Kūrėjai paprastai skiria bendrus pavadinimus failams ir žiniatinklio katalogams. Šie įprasti pavadinimai gali būti „admin“, „logs“, „administratorius“ arba „atsarginė kopija“. Žvelgiant į juos, juos gana lengva atspėti.

Vienas iš būdų išvengti priverstinio naršymo yra pavadinti failus keistais ar sudėtingais pavadinimais, kuriuos sunku suprasti. Kai tai bus padaryta, užpuolikai turės kietą riešutą. Ta pati technika padeda sukurti stiprius ir veiksmingus slaptažodžius.

2. Išjunkite savo katalogų sąrašą žiniatinklio serveryje

Numatytoji konfigūracija kelia pavojų saugumui, nes ji gali padėti įsilaužėliams gauti neteisėtą prieigą prie jūsų serverio.

Jei žiniatinklio serveryje įgalinsite katalogų sąrašą, galite nutekinti informaciją, kuri pakvies užpuolikus. Turėtumėte išjungti savo katalogų sąrašą ir saugoti, kad failų sistemos informacija nebūtų viešai matoma.

3. Prieš kiekvieną saugią operaciją patikrinkite vartotojo autentifikavimą

Nesunku nepaisyti poreikio autentifikuoti svetainės naudotojus konkrečiame tinklalapyje. Jei nesate atsargūs, galite pamiršti tai padaryti.

Užtikrinkite, kad jūsų tinklalapiai būtų prieinami tik autentifikuotiems vartotojams. Kad išlaikytumėte saugumą, kiekviename žingsnyje atlikite įgaliojimo patikrą.

4. Naudokite tinkamus prieigos valdiklius

Naudojant tinkamus prieigos valdiklius, vartotojams suteikiama aiški prieiga prie išteklių ir puslapių, kurie atitinka jų teises ir nieko daugiau.

Įsitikinkite, kad apibrėžėte failų, kuriuos vartotojai turi leidimą pasiekti, tipus. Pavyzdžiui, galite apriboti vartotojų prieigą prie atsarginių kopijų ar duomenų bazės failų.

Eikite vienas į kitą su užpuolikais

Jei žiniatinklio programą priglobiate viešajame internete, kviečiate užpuolikus stengtis įsilaužti. Turint tai omenyje, priverstinio naršymo atakos įvyks. Kyla klausimas: ar leisite užpuolikams pasiekti prieigą, kai jie bandys tai padaryti?

Jūs neprivalote. Suteikite stiprų pasipriešinimą savo sistemoje įdiegdami skirtingus kibernetinio saugumo sluoksnius. Jūs esate atsakingi už savo skaitmeninio turto apsaugą. Darykite viską, ką turite padaryti, kad užtikrintumėte tai, kas jums priklauso.

5 kartus žiaurios jėgos išpuoliai sukelia didžiulius saugumo pažeidimus

Prisijungusiems vartotojams nuolat gresia saugumo pažeidimai, o brutalios jėgos atakos kelia ypatingą susirūpinimą. Štai keletas blogiausių.

Skaitykite toliau

DalintisTviteryjeEl. paštas
Susijusios temos
  • Saugumas
  • Saugumas
  • Interneto kūrimas
  • Interneto sauga
Apie autorių
Chrisas Odogwu (Paskelbta 34 straipsniai)

Chrisas Odogwu yra aistringas rašytojas, pasiryžęs perteikti žinias rašydamas. Apmokytas žurnalistas, jis yra įgijęs masinės komunikacijos bakalauro ir viešųjų ryšių ir reklamos magistro laipsnius. Jo mėgstamiausias pomėgis yra šokiai.

Daugiau iš Chriso Odogwu

Prenumeruokite mūsų naujienlaiškį

Prisijunkite prie mūsų naujienlaiškio, kad gautumėte techninių patarimų, apžvalgų, nemokamų el. knygų ir išskirtinių pasiūlymų!

Norėdami užsiprenumeruoti, spustelėkite čia