Web-sovellukset ovat keskeisiä osia palvelujen tarjoamisessa Internetissä.

Ei ole enää uutinen, että monet ovat kärsineet tietoturva-aukoista. Verkkosivusto voi altistaa yksilöt merkittävälle riskille, jos sitä ei ole asianmukaisesti suojattu.

Hyökkääjät voivat käyttää rajoitettuja sivuja ja luottamuksellisia käyttäjätietoja useilla tekniikoilla, mukaan lukien pakkoselailu.

Tässä artikkelissa keskustelemme pakotetun selaamisen käsitteestä ja sen toiminnasta.

Mitä pakotettu selaus on?

Pakotettu selaus on tekniikka, jota hyökkääjät käyttävät pääsyyn rajoitetuille verkkosivuille tai muille resursseille manipuloimalla URL-osoitetta. Sitä kutsutaan myös voimakkaaksi selaamiseksi. Kuten nimestä voi päätellä, hyökkääjä selaa väkisin resurssia, johon heillä ei ole lupaa.

Tällainen hyökkäys kohdistuu verkkopalvelimen hakemistossa oleviin tiedostoihin tai rajoitettuihin URL-osoitteisiin, jotka eivät tarkista valtuutusta.

Nämä resurssit ovat hyödyllisiä hyökkääjille, jos ne sisältävät arkaluonteisia tietoja. Se voi koskea itse verkkosivustoa tai sivuston asiakkaita. Arkaluonteisia tietoja voivat olla:

  • Valtuustiedot
  • Lähdekoodi
  • Varmuuskopiot
  • Lokit
  • Kokoonpano
  • Sisäisen verkon tiedot

Jos verkkosivusto voi joutua pakotetun selaushyökkäyksen uhriksi, se ei ole kunnolla suojattu.

Valtuutuksen tulee varmistaa, että käyttäjillä on asianmukaiset käyttöoikeudet pääsyä rajoitetuille sivuille. Käyttäjät antavat kirjautumistietonsa, kuten käyttäjätunnuksen ja salasanan, ennen kuin he saavat pääsyn. Pakotettu selaus yrittää ohittaa nämä suojausasetukset pyytämällä pääsyä rajoitettuihin polkuihin. Se testaa, pääseekö sivulle antamatta kelvollisia tunnistetietoja.

Kuinka pakotettu selaus toimii?

Pakotettu selaus on yleinen ongelma verkkosivustoilla, joilla on erilaisia ​​käyttäjärooleja, kuten tavalliset käyttäjät ja järjestelmänvalvojat. Jokainen käyttäjä kirjautuu sisään samalta sivulta, mutta hänellä on pääsy erilaisiin valikoihin ja vaihtoehtoihin. Jos sivut, joille nämä valikot johtavat, eivät kuitenkaan ole suojattuja, käyttäjä saattaa arvata kelvollisen sivun nimen ja yrittää päästä suoraan sen URL-osoitteeseen.

Useat skenaariot osoittavat, kuinka pakkoselaus toimii, joko manuaalisesti tai automaattisen työkalun avulla. Tarkastellaanpa joitain tapauksia.

1. Epäturvallinen tilisivu

Käyttäjä kirjautuu sisään verkkosivustolle ja hänen tilisivunsa URL-osoite on www.example.com/account.php? käyttäjä=4. Käyttäjä voi jatkaa numeron kiertämistä ja muuttaa URL-osoitteeksi www.example.com/account.php? käyttäjä=6. Jos sivu avautuu, he pääsevät käsiksi toisen käyttäjän tietoihin ilman, että heidän tarvitsee tietää heidän kirjautumistietojaan.

2. Epävarma tilaussivu

Käyttäjä, jolla on tili verkkokauppasivustolla, tarkastelee yhtä tilauksestaan ​​osoitteessa www.example.com/orders/4544. He muuttavat nyt tilaustunnuksen satunnaisesti muotoon www.example.com/tilaukset/4546. Jos tilaussivulla on pakotettu selausheikkous, hyökkääjä saattaa löytää tietoja käyttäjästä, jolla on tilaus. Ainakin he hakevat tietoja tilauksesta, joka ei ole heidän.

3. URL-skannaus

Hyökkääjä käyttää tarkistustyökalua etsiäkseen hakemistoja ja tiedostoja verkkopalvelimen tiedostojärjestelmästä. Se saattaa etsiä yleisiä järjestelmänvalvojan, salasanan ja lokitiedostojen nimiä. Jos työkalu saa onnistuneen HTTP-vastauksen, se tarkoittaa, että vastaava resurssi on olemassa. Sitten hyökkääjä menee eteenpäin ja käyttää tiedostoja.

Pakotetut selaustavat

Hyökkääjä voi suorittaa pakkoselaushyökkäyksen manuaalisesti tai automaattisilla työkaluilla.

Manuaalisessa voimakkaassa selaamisessa hyökkääjä käyttää numeron kiertotekniikkaa tai arvaa oikein hakemiston tai tiedoston nimen ja kirjoittaa sen osoitepalkkiin. Tämä menetelmä on vaikeampi kuin automaattisten työkalujen käyttö, koska hyökkääjä ei voi lähettää manuaalisesti pyyntöjä samalla taajuudella.

Automaattisten työkalujen avulla tapahtuvaan pakotettuun selaamiseen kuuluu työkalun käyttäminen verkkosivustolla olevien hakemistojen ja tiedostojen etsimiseen. Monet rajoitetut tiedostot ovat yleensä piilossa, mutta skannaustyökalut voivat kalastaa ne pois.

Automaattiset työkalut skannaavat monia mahdollisia sivunimiä ja tallentavat palvelimelta saadut tulokset. Ne tallentavat myös kutakin sivupyyntöä vastaavat URL-osoitteet. Hyökkääjä suorittaa manuaalisen tutkimuksen selvittääkseen, mille sivuille he voivat päästä.

Kummallakin menetelmällä pakotettu selaus on kuin raa'an voiman hyökkäys, jossa hyökkääjä arvaa salasanasi.

Pakotetun selauksen estäminen

Tämä on hyvä muistaa: tiedostojen piilottaminen ei tee niistä käyttökelvottomia. Varmista, ettet oleta, että jos et linkitä sivulle, hyökkääjä ei voi käyttää sitä. Pakotettu selaus kumoaa tämän oletuksen. Sivuille ja hakemistoille määritetyt yleiset nimet voidaan helposti arvata, jolloin resurssit ovat hyökkääjien käytettävissä.

Tässä on muutamia vinkkejä, jotka auttavat sinua estämään pakotetun selaamisen.

1. Vältä tiedostojen yleisten nimien käyttöä

Kehittäjät antavat tiedostoille ja verkkohakemistoille tavalliset nimet. Nämä yleiset nimet voivat olla "admin", "logs", "administrator" tai "backup". Niitä katsoessa ne on melko helppo arvata.

Yksi tapa pitää pakotettu selaaminen loitolla on nimetä tiedostoja oudoilla tai monimutkaisilla nimillä, joita on vaikea selvittää. Kun tämä on paikoillaan, hyökkääjillä on kova pähkinä purettavana. Sama tekniikka auttaa luoda vahvoja ja tehokkaita salasanoja.

2. Pidä hakemistoluettelosi pois päältä verkkopalvelimessa

Oletuskokoonpano aiheuttaa turvallisuusriskin, koska se voi auttaa hakkereita pääsemään luvattomasti palvelimellesi.

Jos otat hakemistolistauksen käyttöön verkkopalvelimessasi, voit vuotaa tietoja, jotka kutsuvat hyökkääjiä. Sinun tulisi sammuttaa hakemistoluettelosi ja pitää tiedostojärjestelmän tiedot poissa julkisesta näkyvyydestä.

3. Tarkista käyttäjän todennus ennen jokaista suojattua toimintoa

On helppo jättää huomiotta tarve todentaa sivuston käyttäjät tietyllä verkkosivulla. Jos et ole varovainen, saatat unohtaa tehdä sen.

Varmista, että verkkosivusi ovat vain todennettujen käyttäjien käytettävissä. Suorita valtuutustarkistus jokaisessa vaiheessa turvallisuuden ylläpitämiseksi.

4. Käytä asianmukaisia ​​kulunvalvontalaitteita

Asianmukaisten käyttöoikeuksien hallinta edellyttää, että käyttäjät saavat nimenomaisen pääsyn resursseihin ja sivuihin, jotka vastaavat heidän oikeuksiaan, eikä mitään muuta.

Varmista, että määrität tiedostotyypit, joihin käyttäjillä on käyttöoikeus. Voit esimerkiksi estää käyttäjiä pääsemästä varmuuskopio- tai tietokantatiedostoihin.

Mene vastakkain hyökkääjien kanssa

Jos isännöit verkkosovellusta julkisessa Internetissä, kutsut hyökkääjiä yrittämään parhaansa päästäkseen sisään. Tämä mielessä pitäen pakotettuja selaushyökkäyksiä tapahtuu väistämättä. Kysymys kuuluu: annatko hyökkääjien päästä käsiksi, kun he yrittävät?

Sinun ei tarvitse. Esitä voimakas vastus ottamalla käyttöön järjestelmässäsi erilaisia ​​kyberturvallisuustasoja. Sinun vastuullasi on turvata digitaaliset omaisuutesi. Tee kaikki, mitä sinun täytyy tehdä turvataksesi sen, mikä sinulle kuuluu.

5 kertaa brute Force -hyökkäykset johtavat valtaviin tietoturvaloukkauksiin

Verkkokäyttäjiä uhkaavat jatkuvasti tietoturvaloukkaukset, ja raa'an voiman hyökkäykset ovat erityisen huolestuttavia. Tässä on joitain pahimpia.

Lue Seuraava

JaaTweetSähköposti
Liittyvät aiheet
  • Turvallisuus
  • Turvallisuus
  • Verkkokehitys
  • Verkkoturvallisuus
Kirjailijasta
Chris Odogwu (34 artikkelia julkaistu)

Chris Odogwu on intohimoinen kirjailija, joka on sitoutunut välittämään tietoa kirjoittamalla. Koulutettu toimittaja, hänellä on kandidaatin tutkinto joukkoviestinnästä ja maisterin tutkinto PR- ja mainonnasta. Hänen lempiharrastuksensa on tanssi.

Lisää Chris Odogwulta

tilaa uutiskirjeemme

Liity uutiskirjeemme saadaksesi teknisiä vinkkejä, arvosteluja, ilmaisia ​​e-kirjoja ja eksklusiivisia tarjouksia!

Klikkaa tästä tilataksesi