Οι διαδικτυακές εφαρμογές είναι κρίσιμα στοιχεία για την παροχή υπηρεσιών στο διαδίκτυο.
Δεν είναι πλέον είδηση ότι πολλοί έχουν υποφέρει από ευπάθειες ασφαλείας. Ένας ιστότοπος μπορεί να εκθέσει άτομα σε σημαντικό κίνδυνο εάν δεν προστατεύεται σωστά.
Οι εισβολείς μπορούν να έχουν πρόσβαση σε περιορισμένες σελίδες και εμπιστευτικά δεδομένα χρήστη χρησιμοποιώντας διάφορες τεχνικές, συμπεριλαμβανομένης της αναγκαστικής περιήγησης.
Σε αυτό το άρθρο, θα συζητήσουμε την έννοια της αναγκαστικής περιήγησης και τον τρόπο λειτουργίας της.
Τι είναι η Αναγκαστική Περιήγηση;
Η αναγκαστική περιήγηση είναι μια τεχνική που χρησιμοποιείται από τους εισβολείς για να αποκτήσουν πρόσβαση σε περιορισμένες ιστοσελίδες ή άλλους πόρους, χειραγωγώντας τη διεύθυνση URL. Αναφέρεται επίσης ως δυναμική περιήγηση. Ακριβώς όπως υπονοεί το όνομα, ένας εισβολέας περιηγείται βίαια σε έναν πόρο για τον οποίο δεν έχει εξουσιοδότηση.
Μια τέτοια επίθεση στοχεύει αρχεία στον κατάλογο του διακομιστή ιστού ή περιορισμένες διευθύνσεις URL, που δεν ελέγχουν για εξουσιοδότηση.
Αυτοί οι πόροι είναι κερδοφόροι για τους εισβολείς εάν περιέχουν ευαίσθητα δεδομένα. Θα μπορούσε να αφορά τον ίδιο τον ιστότοπο ή τους πελάτες του ιστότοπου. Τα ευαίσθητα δεδομένα μπορεί να περιλαμβάνουν:
- Διαπιστευτήρια
- Πηγαίος κώδικας
- Δημιουργία αντιγράφων ασφαλείας αρχείων
- κούτσουρα
- Διαμόρφωση
- Λεπτομέρειες εσωτερικού δικτύου
Εάν ένας ιστότοπος μπορεί να πέσει θύμα επίθεσης αναγκαστικής περιήγησης, τότε δεν είναι σωστά ασφαλής.
Η εξουσιοδότηση θα πρέπει να διασφαλίζει ότι οι χρήστες έχουν την κατάλληλη άδεια για πρόσβαση σε περιορισμένες σελίδες. Οι χρήστες παρέχουν τα στοιχεία σύνδεσής τους, όπως όνομα χρήστη και κωδικό πρόσβασης, προτού τους επιτραπεί η πρόσβαση. Η αναγκαστική περιήγηση προσπαθεί να παρακάμψει αυτές τις ρυθμίσεις ασφαλείας ζητώντας πρόσβαση σε περιορισμένες διαδρομές. Δοκιμάζει για να δει αν μπορεί να έχει πρόσβαση σε μια σελίδα χωρίς να παρέχει έγκυρα διαπιστευτήρια.
Πώς λειτουργεί η αναγκαστική περιήγηση;
Η αναγκαστική περιήγηση είναι ένα κοινό πρόβλημα με ιστότοπους που έχουν διάφορους ρόλους χρήστη, όπως κανονικούς χρήστες και χρήστες διαχειριστή. Κάθε χρήστης συνδέεται από την ίδια σελίδα, αλλά έχει πρόσβαση σε διαφορετικά μενού και επιλογές. Ωστόσο, εάν οι σελίδες στις οποίες οδηγούν αυτά τα μενού δεν είναι ασφαλείς, ένας χρήστης μπορεί να μαντέψει το όνομα μιας έγκυρης σελίδας και να προσπαθήσει να αποκτήσει απευθείας πρόσβαση στη διεύθυνση URL της.
Διάφορα σενάρια δείχνουν πώς λειτουργεί η αναγκαστική περιήγηση, είτε γίνεται χειροκίνητα είτε με τη χρήση αυτοματοποιημένου εργαλείου. Ας ρίξουμε μια ματιά σε μερικές περιπτώσεις.
1. Μια μη ασφαλής σελίδα λογαριασμού
Ένας χρήστης συνδέεται σε έναν ιστότοπο και η διεύθυνση URL για τη σελίδα του λογαριασμού του είναι www.example.com/account.php? χρήστης=4. Ο χρήστης μπορεί να προχωρήσει σε μια εναλλαγή αριθμών και να αλλάξει τη διεύθυνση URL σε www.example.com/account.php? χρήστης=6. Εάν ανοίξει η σελίδα, θα μπορούν να έχουν πρόσβαση στις πληροφορίες του άλλου χρήστη χωρίς να χρειάζεται να γνωρίζουν τα στοιχεία σύνδεσής τους.
2. Μια μη ασφαλής σελίδα παραγγελίας
Ένας χρήστης με λογαριασμό σε ιστότοπο ηλεκτρονικού εμπορίου βλέπει μια από τις παραγγελίες του στη διεύθυνση www.example.com/orders/4544. Τώρα αλλάζουν το αναγνωριστικό παραγγελίας τυχαία σε www.example.com/orders/4546. Εάν η σελίδα παραγγελιών έχει αδυναμία αναγκαστικής περιήγησης, ο εισβολέας μπορεί να ανακαλύψει λεπτομέρειες του χρήστη με αυτήν την παραγγελία. Τουλάχιστον, θα ανακτήσουν πληροφορίες σχετικά με μια παραγγελία που δεν είναι δική τους.
3. Σάρωση URL
Ένας εισβολέας χρησιμοποιεί ένα εργαλείο σάρωσης για να αναζητήσει καταλόγους και αρχεία στο σύστημα αρχείων του διακομιστή Ιστού. Μπορεί να κάνει σάρωση για κοινά ονόματα αρχείων διαχειριστή, κωδικού πρόσβασης και καταγραφής. Εάν το εργαλείο λάβει μια επιτυχημένη απόκριση HTTP, αυτό σημαίνει ότι υπάρχει ένας αντίστοιχος πόρος. Στη συνέχεια, ο εισβολέας θα προχωρήσει και θα έχει πρόσβαση στα αρχεία.
Μέθοδοι αναγκαστικής περιήγησης
Ένας εισβολέας μπορεί να πραγματοποιήσει μια επίθεση αναγκαστικής περιήγησης χειροκίνητα ή με αυτοματοποιημένα εργαλεία.
Στη χειροκίνητη δυναμική περιήγηση, ο εισβολέας χρησιμοποιεί την τεχνική εναλλαγής αριθμών ή μαντεύει σωστά το όνομα ενός καταλόγου ή αρχείου και το πληκτρολογεί στη γραμμή διευθύνσεων. Αυτή η μέθοδος είναι πιο δύσκολη από τη χρήση αυτοματοποιημένων εργαλείων επειδή ο εισβολέας δεν μπορεί να στείλει μη αυτόματα αιτήματα με την ίδια συχνότητα.
Η αναγκαστική περιήγηση με τη βοήθεια αυτοματοποιημένων εργαλείων περιλαμβάνει τη χρήση ενός εργαλείου για τη σάρωση για υπάρχοντες καταλόγους και αρχεία στον ιστότοπο. Πολλά περιορισμένα αρχεία είναι συνήθως κρυμμένα, αλλά τα εργαλεία σάρωσης μπορούν να τα εξαφανίσουν.
Τα αυτοματοποιημένα εργαλεία σαρώνουν πολλά πιθανά ονόματα σελίδων και καταγράφουν τα αποτελέσματα που λαμβάνονται από τον διακομιστή. Αποθηκεύουν επίσης τις διευθύνσεις URL που αντιστοιχούν σε κάθε αίτημα σελίδας. Ο εισβολέας θα προχωρήσει σε μια μη αυτόματη έρευνα για να ανακαλύψει σε ποιες σελίδες μπορεί να έχει πρόσβαση.
Με οποιαδήποτε μέθοδο, η αναγκαστική περιήγηση είναι σαν μια επίθεση ωμής βίας, όπου ο εισβολέας μαντεύει τον κωδικό πρόσβασής σας.
Πώς να αποτρέψετε την αναγκαστική περιήγηση
Ακολουθεί κάτι που πρέπει να έχετε κατά νου: η απόκρυψη αρχείων δεν τα καθιστά απρόσιτα. Βεβαιωθείτε ότι δεν υποθέτετε ότι, εάν δεν συνδεθείτε σε μια σελίδα, ένας εισβολέας δεν μπορεί να έχει πρόσβαση σε αυτήν. Η αναγκαστική περιήγηση καταρρίπτει αυτήν την υπόθεση. Και τα κοινά ονόματα που εκχωρούνται σε σελίδες και καταλόγους μπορούν εύκολα να μαντέψουν, καθιστώντας τους πόρους προσβάσιμους στους εισβολείς.
Ακολουθούν ορισμένες συμβουλές που θα σας βοηθήσουν να αποτρέψετε την αναγκαστική περιήγηση.
1. Αποφύγετε τη χρήση κοινών ονομάτων για αρχεία
Οι προγραμματιστές συνήθως εκχωρούν κοινά ονόματα σε αρχεία και καταλόγους ιστού. Αυτά τα κοινά ονόματα μπορεί να είναι "admin", "logs", "administrator" ή "backup". Κοιτάζοντάς τα, είναι πολύ εύκολο να τα μαντέψεις.
Ένας τρόπος για να κρατήσετε μακριά την αναγκαστική περιήγηση είναι να ονομάσετε αρχεία με περίεργα ή σύνθετα ονόματα που είναι δύσκολο να καταλάβετε. Με αυτό στη θέση του, οι επιθετικοί θα έχουν ένα σκληρό καρύδι να σπάσουν. Η ίδια τεχνική βοηθάει δημιουργία ισχυρών και αποτελεσματικών κωδικών πρόσβασης.
2. Διατηρήστε την καταχώριση του καταλόγου σας απενεργοποιημένη στον διακομιστή ιστού
Μια προεπιλεγμένη διαμόρφωση ενέχει κίνδυνο ασφάλειας, καθώς θα μπορούσε να βοηθήσει τους χάκερ να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στον διακομιστή σας.
Εάν ενεργοποιήσετε την καταχώριση καταλόγου στον διακομιστή ιστού σας, μπορείτε να διαρρεύσετε πληροφορίες που θα προσκαλέσουν εισβολείς. Θα πρέπει να απενεργοποιήσετε την καταχώριση του καταλόγου σας και να κρατήσετε τα στοιχεία του συστήματος αρχείων μακριά από δημόσια προβολή.
3. Επαληθεύστε τον έλεγχο ταυτότητας χρήστη πριν από κάθε ασφαλή λειτουργία
Είναι εύκολο να αγνοήσετε την ανάγκη για έλεγχο ταυτότητας των χρηστών του ιστότοπου σε μια συγκεκριμένη ιστοσελίδα. Εάν δεν είστε προσεκτικοί, μπορεί να ξεχάσετε να το κάνετε.
Βεβαιωθείτε ότι οι ιστοσελίδες σας είναι προσβάσιμες μόνο σε πιστοποιημένους χρήστες. Πραγματοποιήστε έλεγχο εξουσιοδότησης σε κάθε βήμα για να διατηρήσετε την ασφάλεια.
4. Χρησιμοποιήστε τα κατάλληλα στοιχεία ελέγχου πρόσβασης
Η χρήση κατάλληλων ελέγχων πρόσβασης συνεπάγεται τη χορήγηση ρητής πρόσβασης στους χρήστες σε πόρους και σελίδες που αντιστοιχούν στα δικαιώματά τους και τίποτα περισσότερο.
Βεβαιωθείτε ότι έχετε ορίσει τους τύπους αρχείων στα οποία οι χρήστες έχουν άδεια πρόσβασης. Για παράδειγμα, μπορείτε να περιορίσετε τους χρήστες από την πρόσβαση σε αρχεία αντιγράφων ασφαλείας ή βάσης δεδομένων.
Πηγαίνετε πρόσωπο με πρόσωπο με τους επιτιθέμενους
Εάν φιλοξενείτε μια εφαρμογή Ιστού στο δημόσιο Διαδίκτυο, καλείτε τους εισβολείς να κάνουν το καλύτερο δυνατό για να εισέλθουν με το ζόρι. Έχοντας αυτό υπόψη, είναι βέβαιο ότι θα συμβούν επιθέσεις αναγκαστικής περιήγησης. Το ερώτημα είναι: θα επιτρέψετε στους εισβολείς να αποκτήσουν πρόσβαση όταν το επιχειρούν;
Δεν χρειάζεται. Προβάλετε ισχυρή αντίσταση αναπτύσσοντας διαφορετικά επίπεδα ασφάλειας στον κυβερνοχώρο στο σύστημά σας. Είναι δική σας ευθύνη να προστατεύσετε τα ψηφιακά σας στοιχεία. Κάντε ό, τι πρέπει να κάνετε για να εξασφαλίσετε αυτό που σας ανήκει.
Οι διαδικτυακοί χρήστες βρίσκονται υπό συνεχή απειλή από παραβιάσεις της ασφάλειας και οι επιθέσεις ωμής βίας αποτελούν ιδιαίτερη αιτία ανησυχίας. Εδώ είναι μερικά από τα χειρότερα.
Διαβάστε Επόμενο
- Ασφάλεια
- Ασφάλεια
- Ανάπτυξη διαδικτύου
- Ασφάλεια στο Διαδίκτυο
Ο Chris Odogwu είναι ένας παθιασμένος συγγραφέας αφοσιωμένος στη μετάδοση γνώσης μέσω της γραφής του. Καταρτισμένος δημοσιογράφος, είναι κάτοχος πτυχίου Μαζικής Επικοινωνίας και μεταπτυχιακού στις Δημόσιες Σχέσεις και τη Διαφήμιση. Το αγαπημένο του χόμπι είναι ο χορός.
Εγγραφείτε στο ενημερωτικό μας δελτίο
Εγγραφείτε στο ενημερωτικό μας δελτίο για συμβουλές τεχνολογίας, κριτικές, δωρεάν ebook και αποκλειστικές προσφορές!
Κάντε κλικ εδώ για να εγγραφείτε