Webbapplikationer är avgörande inslag i tillhandahållandet av tjänster på internet.

Det är inte längre en nyhet att många har drabbats av säkerhetsbrister. En webbplats kan utsätta individer för betydande risker om den inte är ordentligt skyddad.

Angripare kan komma åt begränsade sidor och konfidentiell användardata med hjälp av flera tekniker, inklusive tvångssurfning.

I den här artikeln ska vi diskutera konceptet med påtvingad surfning och hur det fungerar.

Vad är forcerad surfning?

Påtvingad surfning är en teknik som används av angripare för att få tillgång till begränsade webbsidor, eller andra resurser, genom att manipulera URL: en. Det kallas också kraftfull surfning. Precis som namnet antyder bläddrar en angripare våldsamt igenom en resurs som de inte har behörighet för.

En sådan attack riktar sig mot filer i webbserverkatalogen, eller begränsade URL: er, som inte söker efter auktorisering.

Dessa resurser är lönsamma för angripare om de innehåller känslig information. Det kan handla om själva hemsidan eller sajtens kunder. Känsliga data kan inkludera:

instagram viewer
  • Referenser
  • Källkod
  • Backup filer
  • Loggar
  • Konfiguration
  • Interna nätverksdetaljer

Om en webbplats kan falla offer för en påtvingad surfattack är den inte riktigt säker.

Auktorisering bör säkerställa att användare har lämplig behörighet för att komma åt begränsade sidor. Användare anger sina inloggningsuppgifter, som ett användarnamn och lösenord, innan de tillåts åtkomst. Tvingad surfning försöker kringgå dessa säkerhetsinställningar genom att begära åtkomst till begränsade sökvägar. Den testar för att se om den kan komma åt en sida utan att tillhandahålla giltiga referenser.

Hur fungerar forcerad surfning?

Påtvingad surfning är ett vanligt problem med webbplatser som har olika användarroller som vanliga användare och adminanvändare. Varje användare loggar in från samma sida men har tillgång till olika menyer och alternativ. Men om sidorna som dessa menyer leder till inte är säkra, kan en användare gissa namnet på en giltig sida och försöka komma åt dess URL direkt.

Flera scenarier visar hur forcerad surfning fungerar, oavsett om det görs manuellt eller med hjälp av ett automatiserat verktyg. Låt oss ta en titt på några fall.

1. En osäker kontosida

En användare loggar in på en webbplats och webbadressen till deras kontosida är www.example.com/account.php? användare=4. Användaren kan fortsätta att göra en nummerrotation och ändra webbadressen till www.example.com/account.php? användare=6. Om sidan öppnas kommer de att kunna komma åt den andra användarens information utan att behöva känna till deras inloggningsuppgifter.

2. En osäker beställningssida

En användare med ett konto på en e-handelswebbplats ser en av sina beställningar på www.example.com/orders/4544. De ändrar nu beställnings-ID slumpmässigt till www.example.com/orders/4546. Om beställningssidan har en svaghet i påtvingad surfning, kan angriparen upptäcka detaljer om användaren med den beställningen. Åtminstone kommer de att hämta information om en beställning som inte är deras.

3. URL-skanning

En angripare använder ett skanningsverktyg för att söka efter kataloger och filer i webbserverns filsystem. Den kan söka efter vanliga namn på admin, lösenord och loggfiler. Om verktyget får ett framgångsrikt HTTP-svar, innebär det att det finns en matchande resurs. Sedan kommer angriparen att gå vidare och komma åt filerna.

Påtvingade surfmetoder

En angripare kan utföra en påtvingad surfattack manuellt eller med automatiserade verktyg.

Vid manuell kraftfull surfning använder angriparen tekniken för nummerrotation eller gissar namnet på en katalog eller fil korrekt och skriver in det i adressfältet. Denna metod är svårare än att använda automatiserade verktyg eftersom angriparen inte kan skicka förfrågningar manuellt med samma frekvens.

Påtvingad surfning med hjälp av automatiserade verktyg innebär att man använder ett verktyg för att skanna efter befintliga kataloger och filer på webbplatsen. Många begränsade filer är vanligtvis dolda men skanningsverktyg kan fiska upp dem.

Automatiserade verktyg skannar igenom många potentiella sidnamn och registrerar resultaten från servern. De lagrar också webbadresserna som motsvarar varje sidförfrågan. Angriparen kommer att fortsätta med en manuell undersökning för att upptäcka vilka sidor de kan komma åt.

Med båda metoderna är påtvingad surfning som en brute force attack, där angriparen gissar ditt lösenord.

Hur man förhindrar påtvingad surfning

Här är något att tänka på: att dölja filer gör dem inte otillgängliga. Se till att du inte utgår från att en angripare inte kan komma åt den om du inte länkar till en sida. Påtvingad surfning avfärdar detta antagande. Och vanliga namn som tilldelas sidor och kataloger kan lätt gissas, vilket gör resurser tillgängliga för angripare.

Här är några tips som hjälper dig att förhindra påtvingad surfning.

1. Undvik att använda vanliga namn för filer

Utvecklare tilldelar vanligtvis vanliga namn till filer och webbkataloger. Dessa vanliga namn kan vara "admin", "loggar", "administratör" eller "backup". När man tittar på dem är de ganska lätta att gissa.

Ett sätt att hålla påtvingad surfning borta är att namnge filer med konstiga eller komplexa namn som är svåra att lista ut. Med det på plats kommer angripare att ha en svår nöt att knäcka. Samma teknik hjälper till skapa starka och effektiva lösenord.

2. Håll din kataloglista avstängd på webbservern

En standardkonfiguration utgör en säkerhetsrisk eftersom den kan hjälpa hackare att få obehörig åtkomst till din server.

Om du aktiverar kataloglistning på din webbserver kan du läcka information som kommer att bjuda in angripare. Du bör stänga av din kataloglista och hålla filsystemdetaljer borta från allmän syn.

3. Verifiera användarautentisering före varje säker operation

Det är lätt att bortse från behovet av att autentisera webbplatsanvändare på en specifik webbsida. Om du inte är försiktig kan du glömma att göra det.

Se till att dina webbsidor endast är tillgängliga för autentiserade användare. Implementera en auktoriseringskontroll vid varje steg för att upprätthålla säkerheten.

4. Använd korrekt åtkomstkontroll

Att använda korrekta åtkomstkontroller innebär att ge användare explicit åtkomst till resurser och sidor som motsvarar deras rättigheter och inget mer.

Se till att du definierar vilka typer av filer som användare har behörighet att komma åt. Du kan till exempel hindra användare från att komma åt säkerhetskopior eller databasfiler.

Gå head to head med angripare

Om du är värd för en webbapplikation på det offentliga internet, bjuder du in angripare att göra sitt bästa för att tvinga sig in. Med detta i åtanke kommer påtvingade surfattacker säkert att hända. Frågan är: kommer du att tillåta angripare att få tillgång när de försöker?

Du behöver inte. Gör ett starkt motstånd genom att distribuera olika lager av cybersäkerhet på ditt system. Det är ditt ansvar att säkra dina digitala tillgångar. Gör vad du än måste göra för att säkra det som tillhör dig.

5 gånger brute force-attacker leder till enorma säkerhetsintrång

Onlineanvändare är ständigt hotade av säkerhetsintrång, och brute force-attacker är en särskild anledning till oro. Här är några av de värsta.

Läs Nästa

Dela med sigTweetE-post
Relaterade ämnen
  • säkerhet
  • säkerhet
  • Webbutveckling
  • Online säkerhet
Om författaren
Chris Odogwu (34 artiklar publicerade)

Chris Odogwu är en passionerad författare som är engagerad i att förmedla kunskap genom sitt skrivande. Han är utbildad journalist och har en kandidatexamen i masskommunikation och en magisterexamen i PR och reklam. Hans favorithobby är dans.

Mer från Chris Odogwu

Prenumerera på vårt nyhetsbrev

Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e-böcker och exklusiva erbjudanden!

Klicka här för att prenumerera