03 Кві, 2023

Обхід авторизації за допомогою маніпулювання URL-адресою

Обхід авторизації за допомогою маніпулювання URL-адресою відноситься до уразливості безпеки в веб-додатках, при якій зловмисник може маніпулювати параметрами URL-адреси, щоб обійти механізми аутентифікації і авторизації програми. Маніпулюючи параметрами URL-адреси, зловмисник може отримати несанкціонований доступ до обмежених областях або виконувати дії, дозволені тільки авторизованим користувачам. Цей тип вразливості може зустрічатися в різних веб додатках і може призвести до серйозних порушень безпеки, якщо не буде усунутий належним чином.

Приклад уразливого коду на різних мовах програмування:


В PHP:

				
					if ($_SESSION['user_id'] == $_GET['user_id']) {
    // Display sensitive information for user
}

				
			

 

У цьому коді ідентифікатор користувача береться з параметра URL user_id і порівнюється з ідентифікатором користувача, збереженого сеансу. Якщо зловмисник змінює user_id якщо параметр в URL-адресі буде співпадати з адресою іншого користувача, вони можуть отримати несанкціонований доступ до конфіденційної інформації.

• В Java:

				
					if (request.getParameter("user_id").equals(session.getAttribute("user_id"))) {
    // Display sensitive information for user
}

				
			

 

Цей код схожий на наведений вище приклад PHP, але на Java. Для цього потрібно user_id параметр запиту і порівнює його з ідентифікатором користувача, збереженого сеансу. Знову ж, зловмисник може змінити user_id параметр в URL-адресі для отримання несанкціонованого доступу.

• в Python:

				
					if request.args.get('user_id') == session['user_id']:
    # Display sensitive information for user

				
			

 

У цьому коді на Python user_id параметр береться з аргументів запиту порівнюється з ідентифікатором користувача, збереженого сеансу. Як і в попередніх прикладах, зловмисник може маніпулювати user_id параметр URL для обходу авторизації.

Приклади обходу авторизації при використанні з допомогою маніпулювання URL-адресою

Доступ до Сторінок з обмеженим доступом:

Припустимо, існує веб-додаток, який вимагає, щоб користувачі входили в систему для доступу до певних сторінок або ресурсів. Якщо зловмисникові вдасться обійти автентифікації та авторизації, змінивши URL-адресу, він зможе отримати доступ до обмежених сторінок або ресурсів без входу в систему. Наприклад, якщо URL-адресу сторінки з обмеженим доступом є https://example.com/dashboardзловмисник може змінити URL-адресу на https://example.com/dashboard?user_id=1 щоб обійти перевірку авторизації і отримати доступ до панелі моніторингу ідентифікатора користувача 1.

Зміна даних:

Якщо веб-додаток дозволяє користувачам змінювати дані через форму або API, зловмисник може маніпулювати URL-адресою, щоб змінити дані, на зміну яких у нього немає повноважень. Наприклад, якщо URL-адреса API для оновлення адреси електронної пошти користувача є https://example.com/api/user/update_emailзловмисник може змінити URL-адресу на https://example.com/api/user/update_email?user_id=1&[email protected] оновити адресу електронної пошти для ідентифікатора користувача 1 без належної авторизації.

Виконання несанкціонованих дій:

Зловмисник також може використовувати маніпуляції з URL-адресами для виконання дій, дозволених тільки авторизованим користувачам, таких як зміна пароля або видалення облікового запису. Наприклад, якщо URL-адреса для зміни пароля користувача є https://example.com/account/change_passwordзловмисник може змінити URL-адресу на https://example.com/account/change_password?user_id=1&password=newpassword змінити пароль для ідентифікатора користувача 1 без належної авторизації.

Методи підвищення привілеїв для обходу авторизації за допомогою маніпулювання URL-адресою

Втручання в змінні сеансу:

Один з методів полягає в зміні змінних сеансу, щоб підвищити привілеї зловмисника. Наприклад, зловмисник може змінити змінну сеансу, в якій зберігається роль, з "звичайного користувача" на "адміністратора", надаючи доступ зловмиснику до привілейованих функцій або інформації.

Використання відомих Вразливостей:

Інший метод полягає у використанні відомих вразливостей в додатку або системі для підвищення привілеїв. Наприклад, зловмисник може використовувати уразливість SQL-ін'єкції, щоб отримати доступ до облікового запису адміністратора, а потім змінити привілеї користувача, щоб надати собі адміністративний доступ.

Примусове використання облікових даних:

Зловмисник може спробувати використовувати облікові дані методом грубої сили, щоб отримати доступ до привілейованої облікового запису. Наприклад, якщо додаток використовує слабкі паролі або допускає необмежену кількість спроб входу в систему, зловмисник може використовувати скрипт, щоб спробувати велику кількість комбінацій імені користувача і пароля, поки не знайде ту, яка працює.

Використання логічних Недоліків:

Зловмисник також може скористатися логічними недоліками в додатку, щоб отримати доступ більш високого рівня. Наприклад, якщо програма дозволяє користувачам змінювати інформацію про своєму власному профілі користувача, зловмисник може змінити свій профіль, щоб надати собі додаткові привілеї або доступ.

Обхід засобів контролю безпеки:

Нарешті, зловмисник може спробувати обійти засоби контролю безпеки чи обійти перевірки контролю доступу в додатку, щоб підвищити свої привілеї. Це може включати в себе використання таких методів, як маніпулювання URL-адресами або використання вразливостей в коді програми для обходу автентифікації та авторизації.

Загальна методологія та контрольний список для обходу авторизації за допомогою маніпулювання URL-адресою

Методологія:

  1. Визначте, які області програми або які функції вимагають належної авторизації і контролю доступу. Це можуть бути сторінки або ресурси, доступні тільки пройшов перевірку автентичності користувачам, або функціями, які потребують певних дозволів або ролей.

  2. Визначте параметри і значення, що використовуються в процесі аутентифікації та авторизації. Це може включати змінні сеансу, файли cookie, токени або інші дані, використовувані для аутентифікації та авторизації користувачів.

  3. Після того як ви визначили параметри, використовувані в процесі аутентифікації та авторизації, змініть їх в URL-адресі, щоб дізнатися, чи можливо обійти засоби контролю доступу. Наприклад, спробуйте змінити ідентифікатор користувача або роль в URL-адресі, щоб дізнатися, чи можете ви отримати доступ до несанкціонованих даними або функцій.

  4. Проаналізуйте результати ваших тестів, щоб дізнатися, чи вдалося вам обійти контроль доступу і отримати несанкціонований доступ або привілеї. Зверніть увагу на будь-які повідомлення про помилки, несподіване поведінку або інші індикатори, що вказують на те, що вам вдалося обійти засоби контролю доступу.

  5. Повідомляйте про будь-які виявлені вами вразливості або проблеми команді розробників і працюйте з ними над усуненням проблем. Обов'язково вкажіть чіткі кроки по відтворенню проблеми та будь-яку додаткову інформацію, яка могла б допомогти команді вирішити проблему.

  6. Після усунення неполадок повторно протестуйте додаток, щоб переконатися, що уразливості були усунені належним чином і засоби управління доступом працюють належним чином.

Контрольний список:

  1. Визначте, як додаток обробляє аутентифікацію і авторизацію, включаючи використання сеансових файлів cookie, токенів, ролей користувачів та інших факторів.

  2. Визначте ресурси, які захищені механізмами аутентифікації та авторизації, такі як сторінки з обмеженим доступом, форми або інші функціональні можливості.

  3. Визначте параметри, використовувані в процесі аутентифікації та авторизації, такі як ідентифікатор користувача, роль користувача ідентифікатор сеансу і інші відповідні фактори.

  4. Змініть параметри в URL-адресі, щоб дізнатися, чи можливо обійти контроль доступу і отримати несанкціонований доступ до захищених ресурсів. Спробуйте змінити ідентифікатор користувача, роль користувача ідентифікатор сеансу і інші відповідні параметри.

  5. Перевірте вертикальне підвищення привілеїв, змінивши параметри в URL-адресі, щоб надати більш високі рівні доступу або дозволів, ніж ті, які дозволені для поточного користувача.

  6. Перевірте горизонтальне підвищення привілеїв, змінивши параметри в URL-адресі для доступу до даних або функцій, що належать іншим користувачам чи ролями.

  7. Перевірте на предмет підробки параметрів, змінивши параметри в URL-адресі, щоб побачити, чи можливо маніпулювати поведінкою програми або отримувати доступ до захищених ресурсів несподіваними способами.

  8. Проаналізуйте результати тестів, щоб побачити, чи можливо обійти механізми аутентифікації і авторизації, отримати несанкціонований доступ до захищених ресурсів або маніпулювати поведінкою програми несподіваними способами.

  9. Повідомляйте про будь-які виявлені вами вразливості або проблеми команді розробників і працюйте з ними над усуненням проблем. Обов'язково вкажіть чіткі кроки по відтворенню проблеми та будь-яку додаткову інформацію, яка могла б допомогти команді вирішити проблему.

  10. Після усунення неполадок повторно протестуйте додаток, щоб переконатися, що уразливості були усунені належним чином і засоби управління доступом працюють належним чином.

Набір інструментів для експлуатації Обхід авторизації за допомогою маніпулювання URL-адресою

Ручні інструменти:

  • Burp Suite: Інструмент на основі проксі, який дозволяє перехоплювати і змінювати HTTP-запити і відповіді, Burp Suite може використовуватися для перевірки обходу авторизації за допомогою маніпулювання URL-адресою шляхом зміни параметрів запиту.

  • OWASP ZAP: Подібно Burp Suite, OWASP ZAP - це інструмент на основі проксі, який дозволяє перехоплювати і змінювати HTTP-запити і відповіді. Він володіє функціями, які допомагають автоматизувати процес тестування на обхід авторизації допомогою маніпулювання URL.

  • Fiddler: Проксі-інструмент веб-налагодження, що дозволяє перевіряти і змінювати HTTP-трафік, Fiddler може використовуватися для перевірки обходу авторизації за допомогою маніпулювання URL-адресою шляхом зміни параметрів запиту.

  • Postman: Популярний інструмент тестування API, який дозволяє відправляти HTTP-запити і перевіряти відповіді. Postman можна використовувати для перевірки обходу авторизації за допомогою маніпулювання URL-адресою шляхом зміни параметрів запиту.

  • HTTPieHTTP-клієнт командного рядка, який дозволяє відправляти HTTP-запити і перевіряти відповіді. HTTPie можна використовувати для перевірки обходу авторизації за допомогою маніпулювання URL-адресою шляхом зміни параметрів запиту.

  • Curl: Інший інструмент командного рядка для надсилання запитів HTTP, Curl, можна використовувати для перевірки обходу авторизації за допомогою маніпулювання URL-адресою шляхом зміни параметрів запиту.

  • Insomnia: Популярний клієнт REST, який дозволяє відправляти HTTP-запити і перевіряти відповіді. Insomnia може бути використана для перевірки обходу авторизації за допомогою маніпулювання URL-адресою шляхом зміни параметрів запиту.

  • PawHTTP-клієнт на базі Mac, який дозволяє відправляти HTTP-запити і перевіряти відповіді. Paw можна використовувати для перевірки обходу авторизації за допомогою маніпулювання URL-адресою шляхом зміни параметрів запиту.

  • HTTP Toolkit: Багатоплатформовий проксі-інструмент, який дозволяє перехоплювати і змінювати HTTP-запити і відповіді. HTTP Toolkit можна використовувати для перевірки обходу авторизації за допомогою маніпулювання URL-адресою шляхом зміни параметрів запиту.

  • Firefox Tamper Data: Надбудова для браузера, що дозволяє перехоплювати і змінювати HTTP-запити і відповіді. Дані несанкціонованого доступу можуть бути використані для перевірки обходу авторизації за допомогою маніпулювання URL-адресою шляхом зміни параметрів запиту.

Автоматизовані інструменти:

  • Netsparker: Сканер безпеки веб-додатків, який може автоматично перевіряти обхід авторизації за допомогою маніпуляцій з URL-адресами, відправляючи ряд корисних даних і аналізуючи відповіді.

  • Acunetix: Ще один сканер безпеки веб-додатків, який може автоматично перевіряти обхід авторизації за допомогою маніпуляцій з URL-адресами, відправляючи ряд корисних даних і аналізуючи відповіді.

  • AppScan: Сканер безпеки веб-додатків від IBM AppScan може автоматично перевіряти обхід авторизації за допомогою маніпулювання URL-адресами, відправляючи ряд корисних даних і аналізуючи відповіді.

  • Qualys: Хмарна платформа безпеки і відповідності вимогам Qualys може автоматично перевіряти обхід авторизації за допомогою маніпулювання URL-адресами, відправляючи ряд корисних даних і аналізуючи відповіді.

  • Zed Attack Proxy (ZAP): Сканер безпеки веб-додатків з відкритим вихідним кодом, який може автоматично перевіряти обхід авторизації за допомогою маніпуляцій з URL-адресами, відправляючи ряд корисних даних і аналізуючи відповіді.

  • Nikto: Сканер веб-сервера, який може автоматично перевіряти обхід авторизації за допомогою маніпуляцій з URL-адресами, відправляючи ряд корисних даних і аналізуючи відповіді.

  • Arachni: Сканер безпеки веб-додатків на базі Ruby, який може автоматично перевіряти обхід авторизації за допомогою маніпуляцій з URL-адресами, відправляючи ряд корисних даних і аналізуючи відповіді.

  • Skipfish: Автоматизований сканер безпеки веб-додатків, який може автоматично перевіряти обхід авторизації за допомогою маніпуляцій з URL-адресами, відправляючи ряд корисних даних і аналізуючи відповіді.

  • OpenVAS: Сканер мережевих вразливостей, який також може перевіряти уразливості веб-додатків, включаючи обхід авторизації за допомогою маніпулювання URL.

  • Metasploit: Платформа тестування на проникнення з відкритим вихідним кодом

  • Wapiti: Сканер безпеки веб-додатків, який може автоматично перевіряти обхід авторизації за допомогою маніпуляцій з URL-адресами, відправляючи ряд корисних даних і аналізуючи відповіді.

  • Skipfish: Автоматизований сканер безпеки веб-додатків, який може автоматично перевіряти обхід авторизації за допомогою маніпуляцій з URL-адресами, відправляючи ряд корисних даних і аналізуючи відповіді.

  • Golismero: Інструмент аудиту безпеки з відкритим вихідним кодом, який може виконувати сканування веб-додатків і перевіряти на обхід авторизації допомогою маніпулювання URL.

  • Grendel-Scan: Сканер безпеки веб-додатків, який може автоматично перевіряти обхід авторизації за допомогою маніпуляцій з URL-адресами, відправляючи ряд корисних даних і аналізуючи відповіді.

  • WebReaver: Інструмент тестування безпеки веб-додатків, який може автоматично перевіряти обхід авторизації за допомогою маніпуляцій з URL-адресами, відправляючи ряд корисних даних і аналізуючи відповіді.

  • WebScarab: Проксі-інструмент на основі Java, який можна використовувати для перевірки обходу авторизації допомогою маніпулювання URL-адресою шляхом зміни параметрів запиту.

  • Tamper Chrome: Розширення для браузера, яке дозволяє перехоплювати і змінювати HTTP-запити і відповіді. Tamper Chrome можна використовувати для перевірки обходу авторизації за допомогою маніпулювання URL-адресою шляхом зміни параметрів запиту.

  • IronWASP: Інструмент тестування безпеки веб-додатків, який може автоматично перевіряти обхід авторизації за допомогою маніпуляцій з URL-адресами, відправляючи ряд корисних даних і аналізуючи відповіді.

  • Havij: Автоматизований інструмент SQL-ін'єкції, який також може перевіряти обхід авторизації за допомогою маніпулювання URL.

  • sqlmap: Ще один автоматизований інструмент SQL-ін'єкції, який також може перевіряти обхід авторизації за допомогою маніпулювання URL.

Середній бал CVSS обхід авторизації стека з допомогою маніпулювання URL-адресою

Оцінка CVSS (Common Vulnerability Scoring System) для уразливості обходу авторизації може сильно варіюватися в залежності від специфіки вразливості та її впливу на вразливу систему. Проте в цілому вразливість обходу авторизації за допомогою маніпулювання URL-адресами можна вважати вразливістю високого ступеня серйозності, оскільки вона дозволяє зловмиснику отримати доступ до обмежених ресурсів або виконувати дії, на виконання яких він не уповноважений. Оцінка CVSS для такої вразливості, ймовірно, буде, принаймні, в діапазоні від 7 до 9 з 10, що вказує на високий рівень ризику і впливу. Однак важливо відзначити, що кожна вразливість повинна оцінюватися в кожному конкретному випадку для визначення її конкретної оцінки CVSS.

Загальна перерахування слабких місць (CWE)

• CWE-285: Неправильна авторизація: Ця категорія CWE охоплює уразливості, які дозволяють зловмиснику обійти засоби контролю доступу в системі, таких як перевірки авторизації на основі параметрів URL.

• CWE-319: Передача конфіденційної інформації відкритим текстом: ця категорія охоплює проблеми, що виникають, коли конфіденційна інформація, така як токени аутентифікації або облікові дані передається по незашифрованному каналу.

• CWE-352: Підробка міжсайтових запитів (CSRF): Ця категорія охоплює уразливості, які дозволяють зловмиснику обманом змусити жертву виконати дію, яку вона не збиралася виконувати, наприклад, змінити свій пароль або здійснити покупку, використовуючи уразливість в механізмі авторизації системи.

• CWE-359: Розкриття приватної інформації ('Порушення конфіденційності'): Ця категорія охоплює уразливості, які призводять до розкриття конфіденційної або приватної інформації, такої як інформація облікового запису користувача, яка не повинна бути доступна неавторизованим користувачам.

• CWE-601: Перенаправлення URL-адреси на ненадійний сайт ('Відкрите перенаправлення'): ця категорія охоплює уразливості, які дозволяють зловмиснику перенаправляти користувача на шкідливий веб-сайт шляхом зміни URL-адреси законного веб-сайту.

• CWE-611: Неправильне обмеження посилання на зовнішню сутність XML: Ця категорія охоплює уразливості, які дозволяють зловмиснику читати конфіденційні файли або виконувати довільний код, використовуючи вразливість синтаксичного аналізу XML.

• CWE-620: Неперевірена зміна пароля: Ця категорія охоплює уразливості, які дозволяють зловмиснику змінювати пароль користувача без належної аутентифікації або авторизації.

• CWE-863: Неправильна авторизація: Ця категорія охоплює уразливості, які виникають, коли механізм авторизації системи неправильно реалізований або налаштований, що допускає несанкціонований доступ до захищених ресурсів.

• CWE-935: Неправильна перевірка сертифіката: Ця категорія охоплює проблеми, що виникають, коли система неправильно перевіряє сертифікати SSL / TLS, що дозволяє зловмисникові виконати атаки "людина посередині" або перехопити конфіденційну інформацію.

• CWE-942: Занадто дозвільний міждоменної білий список: Ця категорія охоплює проблеми, що виникають, коли междоменная політика системи є занадто дозвільної, дозволяючи несанкціонований доступ до захищених ресурсів в різних доменах.

Топ-10 CVE, пов'язаних з обходом авторизації допомогою маніпулювання URL

• CVE-2022-4281 – У Facepay 1.0 була виявлена уразливість, класифікована як критична. Ця уразливість зачіпає невідому функціональність файлу /face-recognition-php/facepay-master/camera.php . Маніпулювання аргументом userId призводить до обходу авторизації. Атака може бути запущена віддалено. Цієї уразливості був присвоєний ідентифікатор VDB-214789.

• CVE-2022-3876 – Вразливість, яка була класифікована як проблемна, була виявлена в Click Studios Passwordstate і розширення браузера Chrome Passwordstate. Ця проблема зачіпає деяку невідому обробку файлу / api/browserextension/UpdatePassword/ компонентного API. Маніпулювання аргументом PasswordID призводить до обходу авторизації. Атака може бути ініційована віддалено. Експлойт був розкритий громадськості і може бути використаний. Рекомендується оновити порушене компонент. Цієї уразливості був присвоєний ідентифікатор VDB-216245.

• CVE-2022-36785 – D-Link – G інтегрований пристрій доступу 4 Розкриття інформації та обхід авторизації. * Розкриття інформації – файл містить URL-адресу з приватним IP-адресою у рядку 15 “login.asp" A. Вікно.Розташування.посилання = http://192.168.1.1/setupWizard.asp "http://192.168.1.1/setupWizard.asp" ; "admin" – містить значення імені користувача за замовчуванням "login.asp" B. При доступі до веб-інтерфейсу форма входу в систему за адресою * Authorization Bypass – URL за допомогою “SetupWizard.asp' блокує прямий доступ до веб-інтерфейс не перевіряє належним чином значення змінних ідентифікації користувача, розташованих на стороні клієнта, до нього можна отримати доступ без перевірки браузера "login_glag" і "login_status" і прочитати облікові дані адміністратора для веб-інтерфейсу.

• CVE-2022-25237 – На Bonita Web 2021.2 впливає вразливість обходу аутентифікації / авторизації через надмірно широкого шаблону винятку, використовуваного в RestAPIAuthorizationFilter. Додавши ;i18ntranslation або /../i18ntranslation/ в кінець URL, користувачі без привілеїв можуть отримати доступ до привілейованих кінцевим точкам API. Це може призвести до віддаленого виконання коду через зловживання привілейованими діями API.

• CVE-2022-0691 – Обхід авторизації через керований користувачем ключ в URL-адресі NPM-синтаксичний аналіз до версії 1.5.9.

• CVE-2022-0686 – Обхід авторизації через керований користувачем ключ в URL-адресі NPM-синтаксичний аналіз до версії 1.5.8.

• CVE-2022-0639 – Обхід авторизації через керований користувачем ключ в URL-адресі NPM-синтаксичний аналіз до версії 1.5.7.

• CVE-2022-0512 – Обхід авторизації через керований користувачем ключ в URL-адресі NPM-синтаксичний аналіз до версії 1.5.6.

• CVE-2020-3522 – Уразливість в веб-інтерфейсі управління програмним забезпеченням Cisco Data Center Network Manager (DCNM) може дозволити віддаленого зловмиснику, який пройшов перевірку автентичності, обійти авторизацію на вразливому пристрої і отримати доступ до конфіденційної інформації, пов'язаної з пристроєм. Уразливість існує через те, що вразливе програмне забезпечення дозволяє користувачам отримувати доступ до ресурсів, призначеним тільки для адміністраторів. Зловмисник може скористатися цією уразливістю, відправивши створений URL-адресу на вразливе пристрій. Успішний експлойт може дозволити зловмиснику додавати, видаляти і редагувати певні мережеві конфігурації таким же чином, як користувач із правами адміністратора.

• CVE-2020-15487 – Re: Таблиця 2.3 містить уразливість для сліпий неаутентифицированной SQL-ін'єкції функції getBaseCriteria() в protected/models/Ticket.php файл. Змінюючи параметр GET folder, можна виконувати довільні SQL через створений URL-адресу. Віддалене виконання команди без автентифікації можливо за допомогою SQL-ін'єкції для оновлення певних значень бази даних, які виконуються функцією bizRule eval() в yii/framework/web/auth/CAuthManager.php файл. Результуючий обхід авторизації також можливий шляхом відновлення або зміни хешей паролів і маркерів скидання пароля, що дозволяє отримати адміністративні привілеї.

Практикуючись в тестуванні на Обхід авторизації за допомогою маніпулювання URL-адресою

Переконайтеся, що ви отримали явну дозвіл від власника або адміністратора, перш ніж проводити будь-яке тестування.

Чітко визначте обсяг тестування, включаючи цільову систему або додаток, типи тестів, які будуть проводитися, і будь-які відповідні обмеження.

Використовуйте окремі тестові середовища для проведення тестування, а не для тестування в реальних системах або виробничих середовищах. Це допоможе запобігти будь-які ненавмисні наслідки або шкоди для живих систем.

Використовуйте інструменти для проведення початкового сканування і виявлення потенційних вразливостей. Проте обов'язково виконайте ручне тестування, щоб перевірити всі виявлені вразливості.

Дотримуйтеся етичних принципів тестування, таких як керівництво по тестуванню OWASP, і уникайте будь-яких дій, які можуть завдати шкоди чи порушити роботу системи.

Докладно документуйте свої висновки, включаючи кроки, які ви зробили для виявлення і використання будь-яких вразливостей. Це допоможе власнику системи або адміністратору краще зрозуміти ризики і розставити пріоритети в зусиллях по виправленню.

Відповідально і своєчасно повідомляйте про будь-які виявлені уразливості власнику системи або адміністратору і працюйте з ними над усуненням проблеми.

Для обходу авторизації в дослідженні з допомогою маніпулювання URL-адресою

OWASP Топ-10: Проект Open Web Application Security Project (OWASP) - це організація, керована співтовариством, яка надає ресурси і рекомендації щодо забезпечення безпеки веб-додатків. OWASP Top 10 - це список найбільш критичних ризиків безпеки веб-додатків, який включає в себе обхід авторизації шляхом маніпулювання URL. Веб-сайт OWASP надає детальну інформацію про кожного з ризиків, а також рекомендації щодо їх запобігання і пом'якшення.

CWE: Загальна перерахування слабких місць (CWE) - це список поширених слабких місць безпеки програмного забезпечення, включаючи ті, які пов'язані з обходом авторизації допомогою маніпулювання URL. Веб-сайт CWE містить детальні описи кожної слабкості, а також рекомендації про те, як їм запобігти і пом'якшити.

Інструменти тестування безпеки веб-додатків: Існує безліч доступних інструментів тестування безпеки веб-додатків, як з відкритим вихідним кодом, так і комерційних, які можна використовувати для перевірки вразливостей обходу авторизації за допомогою маніпулювання URL. Деякі популярні інструменти включають Burp Suite, OWASP ZAP і Acunetix.

Онлайн-курси та навчальні посібники: Доступно безліч онлайн-курсів, посібників, присвячених безпеки веб-додатків, включаючи обхід авторизації за допомогою маніпулювання URL. Деякі популярні платформи, що пропонують курси включають Udemy, Coursera і Pluralsight.

Книги: Є безліч книг, присвячених безпеки веб-додатків, включаючи обхід авторизації за допомогою маніпулювання URL. Деякі популярні видання включають "Безпека веб-додатків: керівництво для початківців" Брайана Саллівана і Вінсента Ллю і "Керівництво хакера веб-додатків: пошук і використання недоліків безпеки" Дэффида Штуттарда і Маркуса Пінто.

Книги з оглядом обходу авторизації через маніпуляцію URL

Керівництво хакера веб-додатків: пошук і використання недоліків безпеки Дафидд Штуттард і Маркус Пінто: Ця книга являє собою всеосяжне керівництво з безпеки веб-додатків, включаючи методи виявлення і використання вразливостей, таких як обхід авторизації за допомогою маніпулювання URL.

Безпека веб-додатків: Керівництво для початківців Брайан Салліван і Вінсент Ллю: Ця книга являє собою введення в безпеку веб-додатків, включаючи поширені уразливості і рекомендації по їх усуненню.

Освоєння сучасного веб-тестування на Проникнення автор: Прахар Прасад: У цій книзі розглядаються передові методи тестування веб-додатків на проникнення, включаючи використання вразливостей, таких як обхід авторизації допомогою маніпулювання URL.

Тест на одновременный доступ: автор: Джоел Скамбрей, Вінсент Ллю і Калеб Сіма: У цій книзі представлено детальний посібник з безпеки веб-додатків, включаючи методи виявлення і використання вразливостей, таких як обхід авторизації за допомогою маніпулювання URL.

Тестування на проникнення: практичне введення у злом автор Джорджія Вайдман: Ця книга являє собою практичне керівництво з тестування на проникнення, включаючи методи виявлення і використання вразливостей веб-додатків, таких як обхід авторизації шляхом маніпулювання URL.

Основи веб-злому: інструменти і методи для атаки в Інтернеті автор Джош Паулі: Ця книга являє собою введення в веб-хакерство, включаючи методи виявлення і використання вразливостей, таких як обхід авторизації допомогою маніпулювання URL.

Black Hat Python: Програмування на Python для хакерів і пентестеров автор: Джастін Зейтц: У цій книзі представлено керівництво з використання мови програмування Python для тестування веб-додатків на проникнення, включаючи методи виявлення і використання вразливостей, таких як обхід авторизації допомогою маніпулювання URL.

Кулінарна книга з тестування веб-безпеки: систематичні методи швидкого пошуку проблем Пако Хоуп і Бен Вальтер: У цій книзі представлена колекція рецептів тестування безпеки веб-додатків, включаючи методи виявлення і використання вразливостей, таких як обхід авторизації за допомогою маніпулювання URL.

Злом сірої капелюхи: керівництво етичного хакера Аллен Харпер, Деніел Регаладо і Райан Лінн: Ця книга являє собою посібник з етичного злому, включаючи методи виявлення і використання вразливостей веб-додатків, таких як обхід авторизації за допомогою маніпулювання URL.

Заплутана мережа: керівництво по забезпеченню безпеки сучасних веб-додатків Міхал Залевські: Ця книга являє собою докладний посібник з безпеки веб-додатків, включаючи методи виявлення і усунення вразливостей, таких як обхід авторизації шляхом маніпулювання URL.

Список корисних навантажень Обхід авторизації за допомогою маніпулювання URL

  1. /admin/
  2. /administrator/
  3. /login.php
  4. /login.aspx
  5. /login.jsp
  6. /dashboard/
  7. /account/
  8. /wp-admin/
  9. /user/
  10. /profile/
  11. /edit/
  12. /delete/
  13. /add/
  14. /modify/
  15. /upload/
  16. /backup/
  17. /restore/
  18. /reset/
  19. /change_password/
  20. /forgot_password/

Як бути захищеним від обходу авторизації за допомогою маніпулювання URL

  1. Використовуйте надійні механізми аутентификації, такі як двофакторна аутентифікація, надійні паролі і багатофакторна аутентифікація, щоб зловмисникам було складніше обійти авторизацію шляхом маніпулювання URL.

  2. Вбудуйте методи безпечного керування сеансами, такі як використання безпечних файлів cookie, примусове дотримання тайм-аутів сеансу і використання зашифрованих підключень, щоб запобігти перехоплення сеансу.

  3. Вбудуйте механізми контролю доступу для забезпечення того, щоб користувачі могли отримати доступ тільки до тих ресурсів, доступ до яких їм дозволено. Використовуйте ролі та дозволи для забезпечення контролю доступу і обмеження доступу користувачів до конфіденційних ресурсів.

  4. Перевіряйте дані, що вводяться користувачем як на стороні клієнта, так і на стороні сервера, щоб запобігти атаки, такі як ін'єкційні атаки, які можуть бути використані для обходу авторизації.

  5. Використовуйте брандмауери веб-додатків, щоб допомогти виявити і запобігти атаки, які можуть бути використані для обходу авторизації шляхом маніпулювання URL.

  6. Підтримуйте все програмне забезпечення в актуальному стані і застосовуйте виправлення безпеки, як тільки вони стануть доступні, щоб запобігти використання відомих вразливостей.

  7. Проводите регулярне тестування безпеки, включаючи оцінку вразливостей і тестування на проникнення, для виявлення і усунення вразливостей, перш ніж їх можна буде використовувати.

  8. Навчіть співробітників передовим методам забезпечення безпеки і переконайтеся, що вони обізнані про ризики, пов'язані з обходом авторизації шляхом маніпулювання URL-адресами. Заохочуйте їх повідомляти про будь-які підозрілі дії або потенційних порушення безпеки.

Висновок

Обхід авторизації за допомогою маніпулювання URL-адресою це серйозна уразливість в системі безпеки, яка дозволяє зловмисникам отримувати несанкціонований доступ до конфіденційних ресурсів. Це поширена проблема в веб-додатках, які не можуть належним чином перевірити дані, що вводяться користувачем і реалізувати засоби контролю доступу.

Щоб запобігти атакам з обходом авторизації допомогою маніпулювання URL-адресами, важливо впровадити надійні механізми ідентифікації, механізми контролю доступу та методи безпечного керування сеансами. Крім того, регулярне тестування безпеки і навчання співробітників можуть допомогти виявити і усунути уразливість, перш ніж їх можна буде використовувати.

Інші Послуги

Готові до безпеки?

зв'язатися з нами