02 Бер, 2023

Маніпулювання прихованим полем

Vulnerability Assessment as a Service (VAaaS)

Tests systems and applications for vulnerabilities to address weaknesses.

Маніпулювання прихованим полем це тип атаки на веб-додаток, що включає в себе зміну прихованих значень полів у формі. Приховані поля використовуються в HTML-форми для зберігання даних, які не призначені для перегляду або зміни користувачами, таких як ідентифікатори сеансів або інша конфіденційна інформація.

При атаках HFM зловмисник може змінити значення цих прихованих полів, щоб обійти заходи безпеки, отримати несанкціонований доступ або виконати інші шкідливі дії. Це може бути досягнуто шляхом маніпулювання HTML-кодом форми, використання автоматизованих інструментів для зміни полів або використання вразливостей в коді на стороні сервера, який обробляє дані форми.

Приклад уразливого коду на різних мовах програмування:


В PHP:

				
					<form method="post" action="process_form.php">
   <input type="hidden" name="user_id" value="<?php echo $_SESSION['user_id']; ?>">
   <input type="text" name="name">
   <input type="submit" value="Submit">
</form>

				
			


У цьому прикладі значення user_id зберігається в прихованому поле, якими може маніпулювати зловмисник. Безпечним способом реалізації цього було б зберегти user_id у змінній сеансу на стороні сервера і використовувати це значення для обробки даних форми.

• В Java:

				
					<form method="post" action="process_form.jsp">
   <input type="hidden" name="user_id" value="<%= session.getAttribute("user_id") %>">
   <input type="text" name="name">
   <input type="submit" value="Submit">
</form>

				
			


Подібно наприклад PHP, значення user_id зберігається в прихованому поле, якими може маніпулювати зловмисник. Безпечним способом реалізації цього було б зберегти user_id у змінній сеансу на стороні сервера і використовувати це значення для обробки даних форми.

• в Python:

				
					<form method="post" action="process_form.py">
   <input type="hidden" name="user_id" value="{{ session['user_id'] }}">
   <input type="text" name="name">
   <input type="submit" value="Submit">
</form>

				
			


Знову ж таки, значення user_id зберігається в прихованому поле, якими може маніпулювати зловмисник. Безпечним способом реалізації цього було б зберегти user_id у змінній сеансу на стороні сервера і використовувати це значення для обробки даних форми.

Приклади використання Прихованих маніпуляцій з полем

Обхід аутентифікації:

У веб-застосунку, який використовує приховане поле для зберігання ідентифікатора користувача або сеансу, зловмисник може маніпулювати значенням прихованого поля, щоб отримати доступ до облікового запису користувача. Наприклад, якщо значення прихованого поля одно ідентифікатора користувача адміністратора, зловмисник може змінити його на свій власний ідентифікатор користувача, щоб отримати адміністративні привілеї.

Маніпулювання платежами:

На веб-сайті електронної комерції, який використовує приховане поле для зберігання ціни товару, зловмисник може маніпулювати значенням прихованого поля, щоб придбати товар за більш низькою ціною. Наприклад, якщо значення прихованого поля встановлено на ціну в 100 доларів, зловмисник може змінити його на 50 доларів, щоб придбати товар за зниженою ціною.

Підробка даних:

В формі, яка використовує приховане поле для зберігання даних, пов'язаних з відправленням форми, зловмисник може маніпулювати значенням прихованого поля, щоб змінити ці дані. Наприклад, якщо значення прихованого поля встановлено рівним ідентифікатору запису в базі даних, зловмисник може змінити його, щоб змінити запис в базі даних.

Атака CSRF:

При атаці з підробкою міжсайтового запиту (CSRF) зловмисник може використовувати приховане поле для впровадження шкідливої корисного навантаження в відправлену форму, яка відбувається, коли користувач-жертва відвідує веб-сайт або натискає на посилання. Наприклад, якщо значення прихованого поля одно URL-адресою, який вказує на шкідливий веб-сайт, зловмисник може обманом змусити користувача-жертву відправити форму і перенаправити його на шкідливий веб-сайт.

Методи підвищення привілеїв для маніпулювання Прихованими полями

Маніпулювання змінними сеансу:

Одним з поширених методів підвищення привілеїв з допомогою HFM є маніпулювання значеннями змінних сеансу, що зберігаються в прихованих полях. Якщо веб-додаток зберігає права користувача або ролі в змінних сеансу, зловмисник може маніпулювати цими значеннями, щоб отримати підвищений доступ.

Наприклад, якщо змінна сеансу користувача зберігає його роль як "користувач", зловмисник може маніпулювати прихованим полем, щоб встановити роль "адміністратор" або інший більш високий рівень привілеїв.

Маніпулювання даними форми:

У деяких випадках веб-додаток може використовувати приховані поля для зберігання даних, пов'язаних з відправленням форми, таких як ідентифікатор запису в базі даних. Якщо зловмисник може маніпулювати цими полями, він може підвищити свої привілеї, змінивши або видаливши запису, доступ до яких у нього не дозволений.

Наприклад, якщо веб-додаток використовує приховане поле для зберігання ідентифікатора запису користувача, зловмисник може маніпулювати полем, щоб встановити ідентифікатор адміністратора або іншого користувача високого рівня, а потім відправити форму, щоб отримати доступ до облікового запису цього користувача.

Використання автоматизованих інструментів:

Автоматизовані інструменти, такі як Burp Suite або OWASP ZAP, можуть використовуватися для управління прихованими полями та іншими даними форми у веб-додатках. Ці інструменти можуть бути використані для проведення цілеспрямованих атак, спрямованих на підвищення привілеїв шляхом маніпулювання прихованими полями.

Наприклад, зловмисник може використовувати такий інструмент, як Burp Suite, для перехоплення і зміни прихованих значень полів у формі входу, що дозволяє їм обійти аутентифікацію і отримати доступ до облікового запису адміністратора.

Загальна методологія та контрольний список для Маніпулювання Прихованими Полями

Методологія:

  1. Визначення прихованих полів: Визначте приховані поля у веб-додатку, якими може маніпулювати зловмисник. Приховані поля зазвичай використовуються для зберігання даних, пов'язаних з відправленням форми, таких як ідентифікатори сеансів, ідентифікатори користувачів або ціни.

  2. Визначте призначення прихованих полів: Визначте призначення прихованих полів і використовуються вони для аутентифікації, авторизації або зберігання даних. Це допоможе визначити потенційний вплив HFM-атаки.

  3. Перевірте наявність перевірки на стороні клієнта: Перевірте, чи використовує веб-додаток перевірку на стороні клієнта для перевірки прихованих значень полів. Якщо перевірка виконується на стороні клієнта, зловмисник може легко обійти її, маніпулюючи значеннями прихованих полів.

  4. Перевірте правильність перевірки на стороні сервера: Перевірте, чи виконує веб-додаток перевірку на стороні сервера для перевірки прихованих значень полів. Перевірка на стороні сервера більш безпечна, ніж перевірка на стороні клієнта, оскільки зловмисник не може обійти її, не отримавши доступу до сервера.

  5. Маніпулюйте прихованими полями: Спробуйте маніпулювати значеннями прихованих полів і відправте форму, щоб перевірити, чи пройшла маніпуляція успішно. Якщо маніпуляція пройшла успішно, це вказує на вразливість, якою може скористатися зловмисник.

  6. Тест на підвищення привілеїв: Якщо виявлена уразливість HFM, перевірте, чи можна її використовувати для підвищення привілеїв. Спробуйте підвищити привілеї, маніпулюючи значеннями прихованих полів, щоб отримати доступ до ресурсів або виконати несанкціоновані дії.

  7. Звіт та виправлення: Повідомляйте розробникам про будь вразливості HFM і надайте рекомендації з усунення. Заходи по виправленню можуть включати реалізацію перевірки вхідних даних і перевірки на стороні сервера, шифрування конфіденційних даних, що зберігаються в прихованих полях, і обмеження використання прихованих полів веб-додатку.

Контрольний список:

  1. Визначте приховані поля у веб-додатку.

  2. Визначте призначення прихованих полів, наприклад, використовуються вони для аутентифікації, авторизації або зберігання даних.

  3. Перевірте наявність перевірки на стороні клієнта, щоб перевірити значення прихованих полів.

  4. Перевірте наявність перевірки на стороні сервера, щоб перевірити значення прихованих полів.

  5. Змініть значення прихованих полів і відправте форму, щоб перевірити, чи пройшла маніпуляція успішно.

  6. Перевірте на підвищення привілеїв, намагаючись підвищити привілеї шляхом маніпулювання прихованими полями.

  7. Перевірте, шифрує веб-додаток конфіденційні дані, що зберігаються в прихованих полях.

  8. Перевірте, чи обмежує веб-додаток використання прихованих полів і запобігає чи надмірне зберігання даних в прихованих полях.

  9. Перевірте інші уразливості веб-додатків, які можуть бути пов'язані з прихованими маніпуляціями з полями, такими як міжсайтовий скриптінг (XSS), підробка міжсайтових запитів (CSRF) або впровадження SQL.

  10. Повідомляйте розробникам про будь уразливість і надайте рекомендації з усунення.

  11. Переконайтеся, що рекомендовані заходи щодо виправлення були реалізовані, і повторно протестуйте веб-додаток на наявність вразливостей HFM.

Набір інструментів для експлуатації Маніпулювання прихованим полем

Ручні Інструменти:

  1. Burp Suite – Популярний проксі-інструмент, використовуваний для перехоплення і зміни трафіку HTTP / HTTPS, включаючи приховані поля. Це дозволяє проводити ручне тестування і маніпулювати прихованими полями.

  2. Tamper Data – Розширення Firefox, яке дозволяє вручну змінювати дані, які передаються між веб-браузером і сервером, включаючи приховані поля.

  3. Chrome Developer Tools – Вбудований інструмент в браузері Google Chrome, який дозволяє вручну переглядати і змінювати елементи веб-сторінки, включаючи приховані поля.

  4. ZAP – Сканер безпеки веб-додатків з відкритим вихідним кодом, що включає в себе функцію проксі для ручного тестування і маніпулювання прихованими полями.

  5. Fiddler – Проксі-інструмент веб-налагодження, який дозволяє вручну перехоплювати і змінювати трафік HTTP / HTTPS, включаючи приховані поля.

  6. OWASP Mantra – Платформа безпеки на основі браузера, яка включає в себе різні інструменти для ручного тестування веб-додатків, включаючи приховані маніпуляції з полями.

  7. Firebug – Розширення Firefox, яке дозволяє вручну перевіряти і змінювати елементи веб-сторінки, включаючи приховані поля.

Автоматизовані інструменти:

  1. Acunetix – Сканер веб-вразливостей, який включає в себе виявлення і використання прихованих вразливостей для маніпулювання полем.

  2. AppScan – Інструмент тестування безпеки веб-додатків, який включає в себе виявлення і використання прихованих вразливостей для маніпулювання полями.

  3. Nessus – Сканер мережевих вразливостей, який включає в себе виявлення прихованих вразливостей для маніпулювання полем.

  4. Netsparker – Сканер безпеки веб-додатків, який включає в себе виявлення і використання прихованих вразливостей для маніпулювання полями.

  5. Nikto – Сканер вразливостей веб-сервера, який включає в себе виявлення прихованих вразливостей для маніпулювання полями.

  6. WebInspect – Інструмент тестування безпеки веб-додатків, який включає в себе виявлення і використання прихованих вразливостей для маніпулювання полями.

  7. Arachni – Сканер безпеки веб-додатків, який включає в себе виявлення і використання прихованих вразливостей для маніпулювання полями.

  8. Vega – Сканер безпеки веб-додатків з відкритим вихідним кодом, який включає в себе виявлення і використання вразливостей для прихованих маніпуляцій з полем.

  9. Skipfish – Сканер безпеки веб-додатків, який включає в себе виявлення і використання прихованих вразливостей для маніпулювання полями.

  10. SQLMap – Інструмент для автоматичного виявлення та експлуатації вразливостей SQL-ін'єкцій, який може бути використаний для виявлення та експлуатації прихованих недоліків при маніпулюванні полями.

  11. W3af – Сканер безпеки веб-додатків з відкритим вихідним кодом, який включає в себе виявлення і використання вразливостей для прихованих маніпуляцій з полем.

  12. Grendel Scan – Сканер безпеки веб-додатків з відкритим вихідним кодом, який включає в себе виявлення і використання вразливостей для прихованих маніпуляцій з полем.

  13. Qualys – Інструмент тестування безпеки веб-додатків, який включає в себе виявлення і використання прихованих вразливостей для маніпулювання полями.

  14. Vega – Сканер безпеки веб-додатків з відкритим вихідним кодом, який включає в себе виявлення і використання вразливостей для прихованих маніпуляцій з полем.

  15. IronWASP – Інструмент тестування безпеки веб-додатків, який включає в себе виявлення і використання прихованих вразливостей для маніпулювання полями.

Плагіни для браузера:

  1. Web Developer – Розширення для браузера, який дозволяє переглядати і змінювати елементи веб-сторінки, включаючи приховані поля.

  2. HackBar – Розширення Firefox, яке надає різні інструменти тестування безпеки, включаючи можливість вручну маніпулювати прихованими полями.

  3. Edit This Cookie – Розширення для браузера, що дозволяє вручну змінювати файли cookie, які можуть містити приховані значення полів.

  4. XSS Me – Розширення Firefox, яке дозволяє виявляти і використовувати уразливості міжсайтового скриптинга (XSS), які можуть бути пов'язані з прихованими маніпуляціями з полями.

  5. HTTP Header Live – Розширення для браузера, яке дозволяє перевіряти і змінювати HTTP-заголовки, в тому числі ті, які пов'язані з прихованими полями.

Середній бал CVSS маніпулювання прихованим полем стека

Загальна система оцінки вразливостей (CVSS) - це платформа, яка використовується для оцінки серйозності і впливу вразливостей. Оцінка CVSS - це числове значення від 0 до 10, де більш високий бал вказує на більш серйозну уразливість.

Оцінка CVSS конкретної проблеми, пов'язаної з прихованими маніпуляціями з полем, може змінюватись в залежності від контексту, серйозності та наслідків уразливості. Однак, в цілому, маніпулювання прихованими полями вважається вразливістю середньої або високої ступеня серйозності з діапазоном оцінок CVSS від 4,0 до 8,0.

На фактичну оцінку CVSS вразливості для прихованих маніпуляцій з полем можуть впливати такі фактори, як складність атаки, вплив на додаток, простота експлуатації і пом'якшувальні фактори, які можуть зменшити вплив уразливості.

Тому важливо виконати ретельну оцінку вразливості і аналіз конкретного контексту і впливу уразливості Прихованого маніпулювання полем, щоб точно визначити її оцінку CVSS.

Загальна перерахування слабких місць (CWE)

• CWE-532: Вставка конфіденційної інформації в текстовий код – Приховані поля можуть містити конфіденційну інформацію, яка може бути відкрита за допомогою налагоджувального коду.

• CWE-352: Підробка міжсайтових запитів (CSRF) – Прихованими полями можна маніпулювати для проведення CSRF-атак, які дозволяють зловмиснику виконувати несанкціоновані дії від імені користувача.

• CWE-200: Розкриття інформації – Приховані поля можуть містити конфіденційну інформацію, яка може бути відкрита неавторизованим користувачам або зловмисникам.

• CWE-287: Неправильна аутентифікація – Приховані поля можуть використовуватися в механізмах аутентифікації, і ними можна маніпулювати, щоб обійти автентифікації.

• CWE-434: Необмежена завантаження файлу з небезпечним типом Прихованими полями можна маніпулювати для завантаження файлів з небезпечними типами файлів, такими як виконувані файли або скрипти, які можуть поставити під загрозу програму або сервер.

• CWE-330: Використання недостатньо випадкових значень – Приховані поля можуть містити значення, які є передбачуваними або недостатньо випадковими, що робить їх уразливими для атак методом перебору або інших типів атак.

• CWE-434: Необмежена завантаження файлу з небезпечним типом Прихованими полями можна маніпулювати для завантаження файлів з небезпечними типами файлів, такими як виконувані файли або скрипти, які можуть поставити під загрозу програму або сервер.

• CWE-613: Недостатній термін дії сеансу – Приховані поля можуть використовуватися для зберігання інформації про сеанс і можуть бути уразливі для атак з фіксацією сеансу, дозволяючи перехопити зловмиснику сеанс користувача.

• CWE-352: Підробка міжсайтових запитів (CSRF) – Прихованими полями можна маніпулювати для проведення CSRF-атак, які дозволяють зловмиснику виконувати несанкціоновані дії від імені користувача.

• CWE-749: Відкритий небезпечний метод або функція – Приховані поля можуть використовуватися для запуску небезпечних методів або функцій, таких як впровадження SQL або команд, які можуть поставити під загрозу програму або сервер.

CVE, пов'язані з Прихованими маніпуляціями з полем

• CVE-2002-2302 – 3D3.Com ShopFactory з 5.5-5.8 дозволяє віддаленим зловмисникам змінювати ціни в своїх кошиках покупок, змінюючи ціну в прихованому поле форми.

 Маніпулювання прихованим полем подвиги

  • Підробка міжсайтових запитів (CSRF) – зловмисники можуть маніпулювати прихованими полями для відправки несанкціонованих запитів від імені пройшов перевірку користувача для виконання таких дій, як переказ коштів, зміна паролів або видалення даних.

  • Перехоплення сеансу – зловмисники можуть маніпулювати прихованими полями, щоб отримати доступ до аутентифікованим сеансу шляхом крадіжки ідентифікатора сеансу.

  • SQL-ін'єкція – зловмисники можуть маніпулювати прихованими полями, щоб впровадити шкідливі інструкції SQL для доступу, зміни або видалення даних з бази даних програми.

  • Введення команди – зловмисники можуть маніпулювати прихованими полями, щоб вводити шкідливі команди для виконання довільного коду на сервері.

  • Уразливості при завантаженні файлів – зловмисники можуть маніпулювати прихованими полями для завантаження шкідливих файлів на сервер, таких як веб-оболонки або шкідливі програми.

  • Розкриття інформації – зловмисники можуть маніпулювати прихованими полями для доступу до конфіденційної інформації, такої як паролі, номери кредитних карт або особисті дані.

  • Захоплення облікового запису – зловмисники можуть маніпулювати прихованими полями, щоб заволодіти обліковим записом аутентифицированного користувача, змінивши пароль користувача або адресу електронної пошти.

  • Обхід аутентифікації – зловмисники можуть маніпулювати прихованими полями, щоб обійти автентифікації та отримати доступ до додатка або певних функцій без надання дійсних облікових даних.

  • Міжсайтовий скриптінг (XSS) – зловмисники можуть маніпулювати прихованими полями для впровадження шкідливих сценаріїв, які можуть виконуватися в контексті браузера користувача і красти конфіденційну інформацію або виконувати дії від імені користувача.

  • Підвищення привілеїв – зловмисники можуть маніпулювати прихованими полями, щоб підвищити свої привілеї в додатку або на сервері, що дозволяє їм отримувати доступ до конфіденційних даних або виконувати несанкціоновані дії.

Практикуючись в тестуванні на Маніпулювання прихованим полем

Розуміти функціональність і дизайн програми – Перед тестуванням на наявність прихованих маніпуляцій з полями важливо мати чітке уявлення про призначення, функції та архітектури програми. Це допоможе вам виявити потенційні уразливості і протестувати їх більш ефективно.

Визначте поля введення і параметри – Приховані поля - це всього лише один тип поля вводу, який може бути уразливий для маніпуляцій. Визначте всі поля введення і параметри, які використовуються додатком, і зосередьтеся на їх ретельному тестуванні.

Використовуйте інструменти тестування – Існує безліч інструментів автоматизованого тестування, які можуть допомогти вам виявити потенційні проблеми, пов'язані з прихованими маніпуляціями з полем. Ці інструменти допоможуть вам швидко і ефективно сканувати додаток на наявність вразливостей.

Перевірка на наявність конкретних вразливостей – Після того як ви визначили поля введення і параметри, зосередьтеся на тестуванні конкретних вразливостей, пов'язаних з прихованими маніпуляціями з полями, такими як CSRF, перехоплення сеансу або впровадження SQL.

Спробуйте різні значення і вхідні дані – При тестуванні на приховані маніпуляції з полями спробуйте використовувати різні значення і вхідні дані для полів вводу і параметрів, включаючи неприпустимі або несподівані значення. Це може допомогти вам виявити уразливості, які можуть бути непомітні при звичайних умовах.

Перевірка на наявність крайніх випадків і граничних значень – На додаток до тестування для різних значень вхідних даних, перевірте наявність крайніх випадків і граничних значень, таких як максимальна або мінімальна довжина вхідних даних, щоб переконатися, що додаток може правильно обробляти ці вхідні дані.

Стежте за трафіком і поведінкою – Використовуйте інструменти для моніторингу трафіку і розширення браузера для відстеження трафіку і поведінки програми під час тестування. Це може допомогти вам виявити підозріле або несподіване поведінку, яка може вказувати на вразливість.

Тестування в різних середовищах – Протестуйте програму в різних середовищах, таких як різні браузери, операційні системи і пристрої, щоб переконатися, що воно працює злагоджено і безпечно на всіх платформах.

Для вивчення Маніпуляцій З Прихованим Полем

OWASP Топ-10 – Маніпулювання прихованими полями є однією з вразливостей, перелічених у OWASP Top 10, який є широко визнаним документом, що описує найбільш поширені загрози безпеки веб-додатків. Веб-сайт OWASP надає докладну інформацію про цю уразливість і про те, як її запобігти.

Керівництво хакера веб-додатків – Ця книга являє собою всеосяжне керівництво по тестуванню безпеки веб-додатків і включає розділ про роботу з прихованими полями. У ньому міститься докладна інформація про те, як можна використовувати цю вразливість і як її протестувати.

Онлайн-курси та навчальні посібники – Доступно безліч онлайн-курсів, посібників, присвячених тестування безпеки веб-додатків, включаючи приховані маніпуляції з полями. Деякі популярні платформи для онлайн-навчання включають Udemy, Coursera і Pluralsight.

Інструменти тестування – Доступно безліч інструментів тестування, які можуть допомогти вам перевірити наявність прихованих маніпуляцій з полем, включаючи як відкритий вихідний код, так і комерційні варіанти. Деякі популярні інструменти тестування включають OWASP ZAP, Burp Suite і Acunetix.

Практичні веб-сайти та завдання – Існує безліч веб-сайтів і завдань, які дозволяють вам практикувати тестування на Приховані маніпуляції з полем в безпечній і контрольованому середовищі. Деякі популярні приклади включають OWASP Juice Shop і WebGoat.

Книги з оглядом Прихованих маніпуляцій з полем

Керівництво хакера веб-додатків від Дэффида Штуттарда і Маркуса Пінто – Ця книга являє собою всеосяжне керівництво по тестуванню безпеки веб-додатків і включає розділ про роботу з прихованими полями.

Заплутана павутина: Керівництво по забезпеченню безпеки сучасних веб-додатків Міхала Залевського – У цій книзі розглядаються різні питання безпеки веб-додатків, включаючи приховані маніпуляції з полями.

Зламані веб-додатки, 3-е видання Джоела Скамбрея, Вінсента Ллю і Калеба Сіма – Ця книга містить докладне керівництво з безпеки веб-додатків, включаючи приховані маніпуляції з полями.

Куховарська книга з тестування веб-безпеки: більше 100 практичних рецептів, які допоможуть вам освоїти тестування веб-безпеки з Kali Linux від Пако Хоупа і Бена Вальтера – Ця книга містить рецепти та методи тестування безпеки веб-додатків, включаючи приховані маніпуляції з полями.

Практичне тестування веб-додатків на проникнення від Пранава Хиварекара – У цій книзі представлений практичний підхід до тестування веб-додатків на проникнення, включаючи тестування на приховані маніпуляції з полем.

Black Hat Python: Програмування на Python для хакерів і пентестеров від Джастіна Сейтца – Ця книга являє собою введення в програмування на Python для фахівців з безпеки і включає розділ про безпеку веб-додатків, включаючи приховані маніпуляції з полями.

Розширене тестування на проникнення: Злом найбільш захищених мереж в світі від Уїлла Аллсоппа – Ця книга являє собою розширене керівництво з тестування на проникнення, включаючи безпеку веб-додатків і маніпулювання прихованими полями.

Злом сірої капелюхи: Керівництво етичного хакера Аллена Харпера, Даніеля Регаладо, Райана Лінна, Стівена Сімса і Бранко Спасоевича – У цій книзі розглядаються різні методи злому, включаючи захист веб-додатків і маніпулювання прихованими полями.

Безпека веб-додатків, керівництво для початківців Брайана Саллівана і Вінсента Ллю – Ця книга являє собою введення в безпеку веб-додатків і включає розділ про роботу з прихованими полями.

Атаки з використанням міжсайтових сценаріїв: експлойти XSS і захист від Сета Фоги, Джеремі Гроссмана і Роберта Хансена – У цій книзі розглядаються різні типи атак на веб-додатки, включаючи приховані маніпуляції з полями і атаки з використанням міжсайтового скриптинга (XSS).

Список корисних навантажень Приховані маніпуляції з полем

  • Зміна значення прихованого поля введення на більше або менше значення, ніж передбачалося. Приклад: Зміна значення прихованого поля, що вказує ціну товару на веб-сайті електронної комерції, на менше значення, що дозволяє зловмисникові купити товар за ціною нижче очікуваної.

  • Зміна значення прихованого поля введення на значення, відмінне від передбачуваного. Приклад: Зміна значення прихованого поля, яке вказує місце призначення відправки форми, на інший URL-адресу, у результаті чого дані будуть відправлені на інший веб-сайт, ніж передбачалося.

  • Додавання нових прихованих полів введення у форму. Приклад: Додавання нового прихованого поля, що містить значення, яке може бути використане для використання уразливості в коді на стороні сервера, обробному форму.

  • Видалення існуючих прихованих полів вводу з форми. Приклад: Видалення прихованого поля, що містить маркер безпеки, використовуваний для запобігання атак з підробкою міжсайтових запитів (CSRF), що дозволяє зловмисникові обійти цю міру безпеки.

  • Зміна прихованих значень полів вводу з допомогою інструментів браузера. Приклад: використання розширення браузера або консолі розробника для зміни прихованих значень полів у режимі реального часу, що дозволяє зловмисникові маніпулювати поведінкою веб-додатки.

Як бути захищеним від Прихованих маніпуляцій з полем

  1. Використовуйте безпечні методи кодування: Розробники повинні слідувати методам безпечного кодування, таким як перевірка вхідних даних і очищення, щоб запобігти обробку веб-додатком шкідливих вхідних даних.

  2. Використовуйте HTTPS: Використання HTTPS для шифрування переданих даних може допомогти запобігти перехоплення і зміна зловмисником даних, що передаються між клієнтом і сервером.

  3. Використовуйте токени, що захищають від CSRF: Впровадження токенів захисту від CSRF в веб-формах може допомогти запобігти надсиланню зловмисниками шкідливих даних на сервер, вимагаючи маркер, який доступний тільки клієнту.

  4. Уникайте покладатися виключно на приховані поля введення для забезпечення безпеки: Не слід покладатися на приховані поля вводу як на єдиний механізм реалізації заходів безпеки, оскільки зловмисники можуть маніпулювати ними.

  5. Реалізувати перевірку на стороні сервера: Вбудуйте перевірку на стороні сервера, щоб переконатися, що дані, надані клієнтом, є дійсними і знаходяться в межах очікуваних параметрів, незалежно від того, що представлено в прихованих полях.

  6. Регулярно оновлюйте і виправляйте програмне забезпечення: Оновлення програмного забезпечення веб-сервера з допомогою останніх виправлень безпеки може допомогти запобігти використання зловмисниками відомих вразливостей.

  7. Використовуйте брандмауери веб-додатків (WAF): Впровадження WAF може допомогти виявляти і блокувати атаки, включаючи атаки з прихованими маніпуляціями з полем.

Заходи щодо запобігання маніпуляцій з прихованими полями

  1. Використовуйте перевірку на стороні сервера: Вбудуйте перевірку на стороні сервера для перевірки значень, які відправлені клієнтом, незалежно від того, що надіслано до прихованих полях.

  2. Використовуйте токени, що захищають від CSRF: Вбудуйте токени захисту від CSRF в веб-формах, щоб зловмисники не відправляли шкідливі дані на сервер.

  3. Використовуйте HTTPS: Використовуйте HTTPS для шифрування переданих даних, щоб зловмисники не могли перехоплювати і змінювати дані, які передаються між клієнтом і сервером.

  4. Використовуйте політику безпеки вмісту (CSP): CSP може допомогти запобігти XSS атаки і може бути налаштований таким чином, щоб блокувати виконання шкідливих сценаріїв, які здійснюються за допомогою прихованих маніпуляцій з полем.

  5. Використовуйте брандмауер веб-додатків (WAF): Впровадження WAF може допомогти виявляти і блокувати атаки на приховані маніпуляції з полем, а також інші типи атак на веб-додатки.

  6. Не покладайтеся виключно на приховані поля введення для забезпечення безпеки: Не слід покладатися на приховані поля вводу як на єдиний механізм реалізації заходів безпеки, оскільки зловмисники можуть маніпулювати ними.

  7. Запровадити перевірку вхідних даних і санітарну обробку: Розробники повинні запровадити перевірку вхідних даних і очищення, щоб запобігти обробку веб-додатком шкідливих вхідних даних.

  8. Підтримуйте програмне забезпечення в актуальному стані: Оновлення програмного забезпечення веб-сервера з допомогою останніх виправлень безпеки може допомогти запобігти використання зловмисниками відомих вразливостей.

Висновок

Маніпулювання прихованим полем це тип атаки на веб-додаток, що включає в себе маніпулювання значеннями прихованих полів введення, щоб обійти перевірку на стороні клієнта і відправити шкідливі дані на сервер. Це може призвести до цілого ряду атак, включаючи CSRF і XSS-атаки.

Щоб пом'якшити атаки з прихованими маніпуляціями з полем, розробникам слід запровадити перевірку на стороні сервера, токени захисту від CSRF, HTTPS, політику безпеки контенту, брандмауер веб-додатків, перевірку вхідних даних і очищення, а також оновлювати своє програмне забезпечення за допомогою останніх виправлень безпеки.

Розробникам веб-додатків важливо знати про ризики, пов'язані з Прихованими маніпуляціями з полями, і приймати необхідні заходи для захисту від таких атак. Крім того, регулярне тестування та аудит безпеки можуть допомогти виявити і усунути будь-які проблеми, які можуть існувати у веб-додатку.

Інші Послуги

Готові до безпеки?

зв'язатися з нами