Что такое принудительный просмотр и как он работает?

Веб-приложения являются ключевыми элементами в предоставлении услуг в Интернете.

То, что многие из них пострадали от уязвимостей, уже не новость. Веб-сайт может подвергнуть людей значительному риску, если он не защищен должным образом.

Злоумышленники могут получить доступ к закрытым страницам и конфиденциальным данным пользователей, используя несколько методов, включая принудительный просмотр.

В этой статье мы обсудим концепцию принудительного просмотра и то, как она работает.

Что такое принудительный просмотр?

Принудительный просмотр - это метод, используемый злоумышленниками для получения доступа к веб-страницам с ограниченным доступом или другим ресурсам путем манипулирования URL-адресом. Это также называется принудительным просмотром. Как следует из названия, злоумышленник принудительно просматривает ресурс, для которого у него нет авторизации.

Такая атака нацелена на файлы в каталоге веб-сервера или ограниченные URL-адреса, которые не проверяют авторизацию.

Эти ресурсы выгодны злоумышленникам, если они содержат конфиденциальные данные. Это может быть как сам сайт, так и его клиенты. Конфиденциальные данные могут включать:

• Реквизиты для входа
• Исходный код
• Резервные файлы
• Журналы
• Конфигурация
• Детали внутренней сети

Если веб-сайт может стать жертвой атаки принудительного просмотра, значит, он небезопасен.

Авторизация должна гарантировать, что у пользователей есть соответствующие разрешения. для доступа к закрытым страницам. Пользователи предоставляют свои данные для входа, такие как имя пользователя и пароль, прежде чем им будет разрешен доступ. Принудительный просмотр пытается обойти эти настройки безопасности, запрашивая доступ к ограниченным путям. Он проверяет, может ли он получить доступ к странице без предоставления действительных учетных данных.

Как работает принудительный просмотр?

Принудительный просмотр - распространенная проблема с веб-сайтами, которые имеют различные роли пользователей, такие как обычные пользователи и пользователи с правами администратора. Каждый пользователь входит в систему с одной и той же страницы, но имеет доступ к разным меню и параметрам. Однако, если страницы, на которые ведут эти меню, небезопасны, пользователь может угадать имя действительной страницы и попытаться напрямую получить доступ к ее URL-адресу.

Несколько сценариев показывают, как работает принудительный просмотр, независимо от того, выполняется ли он вручную или с использованием автоматизированного инструмента. Давайте посмотрим на некоторые примеры.

1. Небезопасная страница аккаунта

Пользователь входит на веб-сайт, а URL-адрес страницы его учетной записи - www.example.com/account.php? пользователь = 4. Пользователь может продолжить ротацию номеров и изменить URL-адрес на www.example.com/account.php? пользователь = 6. Если страница откроется, они смогут получить доступ к информации другого пользователя без необходимости знать их данные для входа.

2. Небезопасная страница заказа

Пользователь с учетной записью на веб-сайте электронной коммерции просматривает один из своих заказов по адресу www.example.com/orders/4544. Теперь они случайным образом меняют идентификатор заказа на www.example.com/orders/4546. Если на странице заказов есть уязвимость принудительного просмотра, злоумышленник может обнаружить сведения о пользователе с этим заказом. По крайней мере, они получат информацию о чужом заказе.

3. Сканирование URL

Злоумышленник использует инструмент сканирования для поиска каталогов и файлов в файловой системе веб-сервера. Он может сканировать общие имена файлов администратора, пароля и журнала. Если инструмент получает успешный ответ HTTP, это означает, что соответствующий ресурс существует. Затем злоумышленник перейдет к файлам.

Принудительные методы просмотра

Злоумышленник может провести атаку принудительного просмотра вручную или с помощью автоматизированных средств.

При принудительном просмотре вручную злоумышленник использует технику ротации чисел или правильно угадывает имя каталога или файла и вводит его в адресную строку. Этот метод сложнее, чем использование автоматических инструментов, потому что злоумышленник не может вручную отправлять запросы с такой же частотой.

Принудительный просмотр с помощью автоматизированных инструментов включает использование инструмента для поиска существующих каталогов и файлов на веб-сайте. Многие файлы с ограниченным доступом обычно скрыты, но инструменты сканирования могут их обнаружить.

Автоматические инструменты просматривают множество потенциальных имен страниц и записывают результаты, полученные с сервера. Они также хранят URL-адреса, соответствующие каждому запросу страницы. Злоумышленник продолжит ручное расследование, чтобы определить, к каким страницам он может получить доступ.

При использовании любого из этих методов принудительный просмотр подобен атаке методом грубой силы, когда злоумышленник угадывает ваш пароль.

Как предотвратить принудительный просмотр

Вот что нужно иметь в виду: скрытие файлов не делает их недоступными. Убедитесь, что вы не предполагаете, что если вы не укажете ссылку на страницу, злоумышленник не сможет получить к ней доступ. Принудительный просмотр опровергает это предположение. А общие имена, присвоенные страницам и каталогам, можно легко угадать, что делает ресурсы доступными для злоумышленников.

Вот несколько советов, которые помогут предотвратить принудительный просмотр.

1. Избегайте использования общих имен для файлов

Разработчики обычно присваивают общие имена файлам и веб-каталогам. Эти общие имена могут быть «admin», «logs», «administrator» или «backup». Глядя на них, их довольно легко угадать.

Один из способов избежать принудительного просмотра - это давать файлам странные или сложные имена, которые трудно понять. После этого злоумышленникам придется расколоть крепкий орешек. Эта же техника помогает с создание надежных и эффективных паролей.

2. Не допускайте включения вашего каталога в каталог на веб-сервере

Конфигурация по умолчанию представляет собой угрозу безопасности, поскольку может помочь хакерам получить несанкционированный доступ к вашему серверу.

Если вы включите список каталогов на своем веб-сервере, вы можете получить утечку информации, которая будет приглашать злоумышленников. Вы должны выключить список каталогов и держать детали файловой системы подальше от публичного просмотра.

3. Проверяйте аутентификацию пользователя перед каждой защищенной операцией

Легко игнорировать необходимость аутентификации пользователей сайта на определенной веб-странице. Если вы не будете осторожны, вы можете забыть об этом.

Убедитесь, что ваши веб-страницы доступны только авторизованным пользователям. Разверните проверку авторизации на каждом этапе для поддержания безопасности.

4. Используйте правильный контроль доступа

Использование надлежащего контроля доступа предполагает предоставление пользователям явного доступа к ресурсам и страницам, которые соответствуют их правам, и не более того.

Убедитесь, что вы определили типы файлов, к которым у пользователей есть разрешение на доступ. Например, вы можете запретить пользователям доступ к файлам резервных копий или баз данных.

Соревнуйтесь с атакующими

Если вы размещаете веб-приложение в общедоступном Интернете, вы предлагаете злоумышленникам сделать все возможное, чтобы прорваться внутрь. Имея это в виду, атаки принудительного просмотра неизбежны. Возникает вопрос: позволите ли вы злоумышленникам получить доступ, когда они попытаются это сделать?

Вы не обязаны. Окажите решительное сопротивление, развернув в вашей системе различные уровни кибербезопасности. Вы несете ответственность за безопасность своих цифровых активов. Делайте все возможное, чтобы обезопасить то, что принадлежит вам.

5 раз грубые атаки приводят к огромным нарушениям безопасности

Интернет-пользователи постоянно находятся под угрозой нарушения безопасности, и особую озабоченность вызывают атаки методом перебора. Вот некоторые из худших.

Читать далее

Об авторе