📜  强制浏览 – 道德黑客

📅  最后修改于: 2022-05-13 01:57:14.362000             🧑  作者: Mango

强制浏览 – 道德黑客

强制浏览攻击是一种漏洞,其中未经授权的用户可以访问授权用户的内容。当 Web 应用程序对同一用户具有多个用户权限级别时,强制浏览是一种攻击。因此,攻击者会获取他/她原本无法访问的敏感信息。攻击者可以使用暴力破解方法获取网站上存在的用户帐户的常见目录、文件或信息。强制浏览之所以如此命名是因为我们强制浏览只有授权用户才能浏览的 URL。此外,使用强制浏览,黑客可以访问可能包含重要数据的常见文件。也可以使用应用程序索引的命中和试用方法进行强制浏览攻击页和目录基于可预测的值。由于其严重性,它被列为 OWASP Top 10 漏洞列表。

概念

网站的用户拥有不同的权限集。只有当用户无法访问管理员权限时,网站才容易受到攻击,但如果用户通过简单的复制和粘贴管理 URL 来访问管理员权限和命令,他/她可能会造成很多损害到网站和公司。

攻击如何运作

示例 1
让我们假设用户登录到他的帐户并且 URL 是 - www.gfg.com/info/user1。 PHP.现在,他复制此 URL 并将其粘贴到隐身模式选项卡中。如果打开相同的页面,则表示该网站未检查身份验证。用户可以通过像这样的命中和试验或蛮力方法来修改 URL-www.gfg.com/info/user2。 PHP并加载页面。他将在该网站上获取用户 2 的信息,而无需密码或电子邮件 ID 或任何身份验证来访问用户 2 的帐户。同样,如果用户以某种方式获取管理员的 URL,他将能够获取管理员无需任何身份验证的特权。因此,此漏洞至关重要。

示例 2
让我们假设登录到亚马逊网站的用户有一个 URL-www.amazon.com/orders/123。现在,他确定 123 是他的订单 ID。他更改此值以查看他是否可以看到随机用户订单。他将 URL 修改为 www.amazon.com/orders/122。现在,如果亚马逊网站存在强制浏览漏洞,该网站将向其显示订单 ID 为 122 的随机客户的订单。因此,作为授权用户的攻击者可以访问他不应该获得的未经身份验证的内容。

强制浏览方法

  • 手动预测:如上例所述,用户手动(使用命中和试用方法)通过简单地更改 URL 的某些值来发现网站存在强制浏览漏洞。
  • 自动预测:此方法包括使用 dirbuster 等自动化工具查找可能包含敏感信息的常见文件和目录名称。
  • 开源方法: “Exploit.db”是一个平台,列出了大多数应用软件和网站的漏洞。可以借助该网站进一步了解攻击情况。

如何避免强制浏览

  • 对于访问的每个网页,开发人员必须确保只有经过身份验证的用户才有权访问内容。
  • 经过身份验证的用户不应能够使用已授权的内容。每一步都需要进行授权检查以确保安全。
  • 创建白名单,允许显式访问一组考虑的 URL,允许应用程序的一部分按预期执行其功能。默认情况下拒绝任何不在此 URL 空间中的请求。