Manipulação url corta em aplicações de web

Video: [Webinar] Aplicações Web com Java Hipster

Um corte de entrada automatizado manipula uma URL e envia de volta para o servidor, informando a aplicação web para fazer várias coisas, como o redirecionamento para sites de terceiros, carregar arquivos confidenciais fora do servidor, e assim por diante. inclusão de arquivos locais é um tal vulnerabilidade.

Video: Aplicações Web (Cliente e Servidor) - Parte 1

Isto é, quando a aplicação web aceita entrada à base de URL e retorna o conteúdo do arquivo especificado para o usuário. Por exemplo, em uma situação, WebInspect enviou algo semelhante ao seguinte pedido e devolveu o servidor do Linux passwd Arquivo:

https://your_web_app.com/onlineserv/Checkout.cgi?state=detail&language = Inglês&imageSet = / .. / .. // .. / .. // .. / .. // .. / .. /// etc / passwd


Os links a seguir demonstram outro exemplo de URL truques redirecionamento de chamada URL:

https://your_web_app.com/error.aspx?PURL=https://bad~site.com&ERROR = Path +’Opções’ + é + forbidden.http: //your_web_app.com/exit.asp URL = http:? //bad~site.com

Video: Servidores Web - Um pouco mais do back-end de uma aplicação web

Em ambas as situações, um invasor pode explorar essa vulnerabilidade, enviando o link para usuários desavisados ​​via e-mail ou por postar em um site. Quando os usuários clicam no link, eles podem ser redirecionados para um site de terceiros malicioso contendo material de malware ou impróprio.

Se você não tem nada, mas o tempo em suas mãos, você pode descobrir esses tipos de vulnerabilidades manualmente. No entanto, no interesse da sanidade (e precisão), estes ataques são melhor realizadas por executando um scanner de vulnerabilidade web, porque eles podem detectar a fraqueza enviando centenas e centenas de iterações de URL para o sistema web muito rapidamente.


Publicações relacionadas
Vulnerabilidades de segurança baseadas em cliente
Vulnerabilidades de segurança em sistemas baseados na web
Vulnerabilidades de segurança baseadas em servidor
Um estudo de caso na pirataria de aplicações web
Aplicações de dispositivos móveis básicos e de segurança
Contramedidas para evitar hacks em servidores de e-mail
Script padrão hacks em aplicações web
Como priorizar as vulnerabilidades de segurança do seu sistema
Como usar editores hexadecimais para identificar vulnerabilidades de hackers
Problemas de segurança causados ​​por informações confidenciais serem armazenadas localmente
Os hacks seus sistemas enfrentam
Ferramentas de teste de segurança de aplicativos web para identificar vulnerabilidades
Como usar o sql em um sistema cliente / servidor
Aplicações php seguras com suexec
Hacks de estouro de buffer em aplicações web
De injeção de código e de injeção de sql hacks em aplicações web
Hacks cross-site scripting em aplicações web
Eliminar serviços desnecessários e inseguros para evitar ser hackeado
Manipulação campo oculto hacks em aplicações web
Deve-sabe códigos de status de servidor para seo