| |
|
<![CDATA[<menu id="guoca"></menu>]]>|
|
<![CDATA[<xmp id="guoca">]]>|
|
|
| |
|
|
|
| <![CDATA[<nav id="guoca"><code id="guoca"></code></nav>]]>
|
|
| |
| |
| <![CDATA[<nav id="guoca"><code id="guoca"></code></nav>]]>
什么是強制瀏覽
點贊0
收藏0
發現錯別字
舉報
5個月前 提問
亚洲 欧美 自拍 唯美 另类
強制瀏覽是:
避免強制瀏覽的措施如下:
開發人員必須永遠不要假定不可能找到公共可訪問的URL。如果存在,則可以找到。身份驗證是必須的。
開發人員必須永遠不要假設用戶通過身份驗證后,就不需要任何其他訪問控制。對于訪問的每個網頁,開發人員必須確保已認證的用戶有權訪問內容。
回答所涉及的環境:聯想天逸510S、Windows 10。
強制瀏覽包括避開瀏覽器導航對應用程序功能訪問順序實施的任何限制。應使用強制瀏覽測試多階段過程或其他區域中的錯誤假設。通常,這些假設會導致可以通過使用強制瀏覽加以利用的訪問控制漏洞。
強制瀏覽是一種針對受保護程度不佳的網站和Web應用程序的攻擊技術,它使攻擊者能夠訪問他們不應該訪問的資源。這些資源可能包含敏感信息。強制瀏覽是由粗心的編碼引起的常見Web應用程序安全性問題。
強制瀏覽由Mitre在CWE-425中正式定義。在來自Open Web Application Security Project的最新OWASP Top-10 2017中,強制瀏覽不視為單獨的類別,而是包含在類別A5:2017-Broken Access Control中。
以下是強制瀏覽攻擊的一些示例。
使用難以猜測的URL
網站或Web應用程序的開發人員使用非常規的文件名和目錄名,很難為有價值的資源創建URL。該URL無需身份驗證即可訪問特權功能。例如:
開發人員認為該URL太復雜,無法猜測,沒有鏈接,沒有索引或未提交給Google,因此肯定沒有人會找到它。但是,攻擊者會發現此URL(例如,使用社交工程或其他技術以及諸如蠻力目錄枚舉,文件枚舉,資源枚舉之類的掃描工具)來訪問該URL,并獲得管理員訪問權限。盡管許多開發人員都認為,對于熟練的攻擊者來說,識別資源并不困難。
可預測的資源位置
網站或Web應用程序的開發人員使用簡單身份驗證。用戶通過身份驗證后,便可以訪問網站的任何URL。
攻擊者是該站點的用戶。他們首先訪問以下網頁:
然后,他們在瀏覽器地址欄中輸入以下URL,嘗試使用代表另一個用戶的URL參數:
如果身份驗證過于簡單,則他們可以訪問屬于任何其他用戶的敏感數據。他們還可以嘗試以下ID:
在許多情況下,ID = 1可能屬于管理員用戶,并且該頁面可能包含有價值的信息,這些信息將使攻擊者能夠升級其攻擊。
訪問公用文件和目錄
強制瀏覽與其他類似的Web應用程序安全性問題(例如不安全的直接對象引用和目錄列表)密切相關。例如,如果Web服務器打開了目錄列表,則強制瀏覽可能使攻擊者能夠訪問關鍵信息。這里有些例子:
https://www.example.com/source-code/在此示例中,Web服務器打開了目錄列表,攻擊者猜測了通用目錄名稱source-code,從而可以訪問Web應用程序的整個源代碼結構。
https://www.example.com/configuration/在這種情況下,攻擊者可以訪問所有Web應用程序配置文件。其中一些文件可能包含敏感信息,例如數據庫的訪問密碼。
https://www.example.com/backup/這次,攻擊者可以訪問Web應用程序的所有備份文件,例如,可以包括數據庫轉儲。
如何避免強制瀏覽
為了避免強行瀏覽攻擊,開發人員必須永遠不要認為簡單的解決方案足以滿足應用程序數據安全性:
要發現潛在的漏洞,您應該使用諸如Acunetix之類的工具來進行高效,自動化的Web應用程序漏洞掃描。這將幫助您快速發現大多數問題,并在攻擊者利用它們之前消除它們。您還應該進行手動滲透測試,以發現難以自動發現的問題,例如強制瀏覽。
回答所涉及的環境:聯想天逸510S、Windows 10。