Webapplikationer er afgørende elementer i leveringen af ​​tjenester på internettet.

Det er ikke længere en nyhed, at mange har lidt af sikkerhedssårbarheder. Et websted kan udsætte enkeltpersoner for betydelige risici, hvis det ikke er ordentligt beskyttet.

Angribere kan få adgang til begrænsede sider og fortrolige brugerdata ved hjælp af flere teknikker, herunder tvungen browsing.

I denne artikel vil vi diskutere begrebet tvungen browsing, og hvordan det virker.

Hvad er tvungen browsing?

Tvunget browsing er en teknik, der bruges af angribere til at få adgang til begrænsede websider eller andre ressourcer ved at manipulere URL'en. Det kaldes også kraftfuld browsing. Ligesom navnet antyder, gennemser en angriber kraftigt en ressource, som de ikke har tilladelse til.

Et sådant angreb retter sig mod filer i webserverbiblioteket eller begrænsede URL'er, der ikke tjekker for autorisation.

Disse ressourcer er rentable for angribere, hvis de indeholder følsomme data. Det kan handle om selve hjemmesiden eller sidens kunder. Følsomme data kan omfatte:

instagram viewer
  • Legitimationsoplysninger
  • Kildekode
  • Sikkerhedskopier filer
  • Logs
  • Konfiguration
  • Interne netværksdetaljer

Hvis et websted kan blive offer for et tvunget browsingangreb, er det ikke ordentligt sikkert.

Autorisation bør sikre, at brugerne har passende tilladelse for at få adgang til begrænsede sider. Brugere angiver deres loginoplysninger, såsom et brugernavn og adgangskode, før de får adgang. Tvunget browsing forsøger at omgå disse sikkerhedsindstillinger ved at anmode om adgang til begrænsede stier. Den tester for at se, om den kan få adgang til en side uden at angive gyldige legitimationsoplysninger.

Hvordan fungerer tvungen browsing?

Tvunget browsing er et almindeligt problem med websteder, der har forskellige brugerroller, såsom normale brugere og administratorbrugere. Hver bruger logger ind fra den samme side, men har adgang til forskellige menuer og muligheder. Men hvis de sider, disse menuer fører til, ikke er sikre, kan en bruger gætte navnet på en gyldig side og forsøge at få direkte adgang til dens URL.

Flere scenarier viser, hvordan tvungen browsing fungerer, uanset om det sker manuelt eller ved brug af et automatiseret værktøj. Lad os tage et kig på nogle tilfælde.

1. En usikker kontoside

En bruger logger ind på et websted, og URL'en til deres kontoside er www.example.com/account.php? bruger=4. Brugeren kan fortsætte med at foretage en nummerrotation og ændre URL'en til www.example.com/account.php? bruger=6. Hvis siden åbner, vil de kunne få adgang til den anden brugers oplysninger uden at skulle kende deres loginoplysninger.

2. En usikker ordreside

En bruger med en konto på et e-handelswebsted ser en af ​​deres ordrer på www.example.com/orders/4544. De ændrer nu ordre-id'et tilfældigt til www.example.com/orders/4546. Hvis ordresiden har en tvungen browsing svaghed, kan angriberen opdage detaljer om brugeren med denne ordre. I det mindste vil de hente information om en ordre, der ikke er deres.

3. URL-scanning

En angriber gør brug af et scanningsværktøj til at søge efter mapper og filer i webserverens filsystem. Det kan scanne for almindelige navne på admin, adgangskode og logfiler. Hvis værktøjet får et vellykket HTTP-svar, indebærer det, at der findes en matchende ressource. Så vil angriberen gå videre og få adgang til filerne.

Tvungen browsingmetoder

En angriber kan udføre et tvungen browsing-angreb manuelt eller med automatiserede værktøjer.

Ved manuel kraftig browsing bruger angriberen talrotationsteknikken eller gætter navnet på en mappe eller fil korrekt og indtaster det i adresselinjen. Denne metode er sværere end brugen af ​​automatiserede værktøjer, fordi angriberen ikke manuelt kan sende anmodninger med samme frekvens.

Tvunget browsing ved hjælp af automatiserede værktøjer involverer brug af et værktøj til at scanne efter eksisterende mapper og filer på webstedet. Mange begrænsede filer er normalt skjulte, men scanningsværktøjer kan fiske dem ud.

Automatiserede værktøjer scanner gennem mange potentielle sidenavne og registrerer resultaterne opnået fra serveren. De gemmer også de URL'er, der svarer til hver sideanmodning. Angriberen vil fortsætte med at udføre en manuel undersøgelse for at finde ud af, hvilke sider de kan få adgang til.

Med begge metoder er tvungen browsing som et brute force angreb, hvor angriberen gætter dit kodeord.

Sådan forhindrer du tvungen browsing

Her er noget at huske på: at skjule filer gør dem ikke utilgængelige. Sørg for, at du ikke går ud fra, at hvis du ikke linker til en side, kan en angriber ikke få adgang til den. Tvunget browsing afkræfter denne antagelse. Og almindelige navne, der er tildelt sider og mapper, kan nemt gættes, hvilket gør ressourcer tilgængelige for angribere.

Her er nogle tips til at hjælpe dig med at forhindre tvungen browsing.

1. Undgå brug af almindelige navne til filer

Udviklere tildeler typisk almindelige navne til filer og webmapper. Disse almindelige navne kan være "admin", "logs", "administrator" eller "backup". Når man ser på dem, er de ret nemme at gætte.

En måde at holde tvungen browsing på afstand er at navngive filer med mærkelige eller komplekse navne, som er svære at finde ud af. Med det på plads vil angriberne have en hård nød at knække. Den samme teknik hjælper med skabe stærke og effektive adgangskoder.

2. Hold din adresseliste fra på webserveren

En standardkonfiguration udgør en sikkerhedsrisiko, da den kan hjælpe hackere med at få uautoriseret adgang til din server.

Hvis du aktiverer biblioteksfortegnelse på din webserver, kan du lække oplysninger, der vil invitere angribere. Du bør deaktivere din mappeliste og holde filsystemdetaljer væk fra offentlig visning.

3. Bekræft brugergodkendelse før hver sikret handling

Det er nemt at se bort fra behovet for at godkende webstedsbrugere på en bestemt webside. Hvis du ikke er forsigtig, kan du glemme at gøre det.

Sørg for, at dine websider kun er tilgængelige for godkendte brugere. Implementer et autorisationstjek ved hvert trin for at opretholde sikkerheden.

4. Brug korrekt adgangskontrol

Brug af korrekt adgangskontrol involverer at give brugere eksplicit adgang til ressourcer og sider, der svarer til deres rettigheder og intet mere.

Sørg for, at du definerer de typer filer, som brugere har tilladelse til at få adgang til. For eksempel kan du begrænse brugernes adgang til backup- eller databasefiler.

Gå head to head med angribere

Hvis du hoster en webapplikation på det offentlige internet, inviterer du angribere til at gøre deres bedste for at tvinge sig ind. Med dette i tankerne, er tvungne browsing-angreb nødt til at ske. Spørgsmålet er: vil du tillade angribere at få adgang, når de forsøger det?

Det behøver du ikke. Sæt stærk modstand ved at implementere forskellige lag af cybersikkerhed på dit system. Det er dit ansvar at sikre dine digitale aktiver. Gør hvad du skal gøre for at sikre det, der tilhører dig.

5 gange brute force-angreb fører til enorme sikkerhedsbrud

Onlinebrugere er konstant truet af sikkerhedsbrud, og brute force-angreb er en særlig årsag til bekymring. Her er nogle af de værste.

Læs Næste

DelTweetE-mail
Relaterede emner
  • Sikkerhed
  • Sikkerhed
  • Web-udvikling
  • Online sikkerhed
Om forfatteren
Chris Odogwu (34 artikler udgivet)

Chris Odogwu er en passioneret forfatter, der er forpligtet til at formidle viden gennem sit forfatterskab. Han er uddannet journalist og har en bachelorgrad i massekommunikation og en kandidatgrad i public relations og reklame. Hans yndlingshobby er dans.

Mere fra Chris Odogwu

Abonner på vores nyhedsbrev

Tilmeld dig vores nyhedsbrev for tekniske tips, anmeldelser, gratis e-bøger og eksklusive tilbud!

Klik her for at abonnere