Βίντεο: CFS - Αδράνεια 2024
Ορισμένες ιστοσελίδες και εφαρμογές ενσωματώνουν κρυφά πεδία σε ιστοσελίδες πληροφορίες κατάστασης μεταξύ του διακομιστή ιστού και του προγράμματος περιήγησης. Τα κρυμμένα πεδία αναπαριστώνται σε μια φόρμα ιστού ως.
Λόγω των κακών πρακτικών κωδικοποίησης, τα κρυμμένα πεδία περιέχουν συχνά εμπιστευτικές πληροφορίες (όπως οι τιμές των προϊόντων σε έναν ιστότοπο ηλεκτρονικού εμπορίου) που πρέπει να αποθηκεύονται μόνο σε βάση δεδομένων back-end. Οι χρήστες δεν πρέπει να βλέπουν κρυφά πεδία - εξ ου και το όνομα - αλλά ο περίεργος εισβολέας μπορεί να τα ανακαλύψει και να τα εκμεταλλευτεί με τα εξής βήματα:
-
Για να δείτε τον πηγαίο κώδικα στον Internet Explorer, επιλέξτε Σελίδα → Προβολή προέλευσης. Στο Firefox, επιλέξτε Προβολή → Πηγή σελίδας.
-
Αλλάξτε τις πληροφορίες που είναι αποθηκευμένες σε αυτά τα πεδία.
Για παράδειγμα, ένας κακόβουλος χρήστης μπορεί να αλλάξει την τιμή από $ 100 σε $ 10.
-
Επαναφέρετε τη σελίδα πίσω στο διακομιστή.
Αυτό το βήμα επιτρέπει στον επιτιθέμενο να αποκτήσει ασυγχώρητα κέρδη, όπως μια χαμηλότερη τιμή σε μια αγορά στο διαδίκτυο.
Η χρήση κρυφών πεδίων για τους ελέγχους ταυτότητας (login) μπορεί να είναι ιδιαίτερα επικίνδυνος. Θα μπορούσατε να συναντήσετε μια διαδικασία κλειδώματος εισβολέα πολλαπλών παραμέτρων που βασίζεται σε ένα κρυφό πεδίο για να παρακολουθήσετε τον αριθμό των φορών που ο χρήστης προσπάθησε να συνδεθεί. Αυτή η μεταβλητή θα μπορούσε να μηδενιστεί για κάθε προσπάθεια σύνδεσης και έτσι να διευκολύνει ένα λεξικό γραμματοσειράς ή βίαιη δύναμη σύνδεση επίθεση.
Αρκετά εργαλεία, όπως ο διαδικτυακός μεσολάβος (που παρέχεται με το webInspect) ή ο Paros Proxy, μπορούν εύκολα να χειριστούν κρυφά πεδία.
Αν συναντήσετε κρυφά πεδία, μπορείτε να προσπαθήσετε να τα χειριστείτε για να δείτε τι μπορεί να γίνει. Είναι τόσο απλό.