Video: Buffer Overflow Attack - Computerphile 2024
Een van de meest serieuze hack-invoer is een buffer-overloop die specifiek gericht is op invoervelden in webtoepassingen. Een kredietbeoordelingsapplicatie kan bijvoorbeeld gebruikers verifiëren voordat ze gegevens mogen verzenden of rapporten kunnen ophalen. Het inlogformulier gebruikt de volgende code om gebruikers-ID's te bemachtigen met een maximale invoer van 12 tekens, zoals aangegeven door de variabele maxsize:
… …
Een typische inlogsessie zou een geldige inlognaam van 12 tekens of minder inhouden. De variabele maxsize kan echter worden gewijzigd in iets groots, zoals 100 of zelfs 1, 000. Vervolgens kan een aanvaller valse gegevens invoeren in het aanmeldingsveld. Wat er vervolgens gebeurt, is de oproep van iemand: de toepassing kan vastlopen, andere gegevens in het geheugen overschrijven of de server laten crashen.
Een eenvoudige manier om een dergelijke variabele te manipuleren is om de pagina-inzending te doorlopen door een webproxy te gebruiken, zoals die is ingebouwd in de commerciële kwetsbaarheidscanners voor het web of de gratis Paros Proxy.
Webproxy's zitten tussen uw webbrowser en de server die u test en staan u toe informatie te manipuleren die naar de server is verzonden. Om te beginnen moet u uw webbrowser configureren om de lokale proxy van 127. 0. 0. 1 op poort 8080 te gebruiken.
In Firefox is dit toegankelijk door te kiezen voor Hulpmiddelen → Opties; klik op Geavanceerd, klik op het tabblad Netwerk, klik op de knop Verbindingsinstellingen en selecteer vervolgens het keuzerondje Handmatige proxyconfiguratie. Kies in Internet Explorer Extra → Internetopties; Klik op het tabblad Verbindingen, klik op de knop LAN-instellingen en schakel vervolgens het selectievakje Een proxyserver voor uw LAN gebruiken in.
Het enige dat u hoeft te doen, is de veldlengte van de variabele wijzigen voordat uw browser de pagina verzendt, en deze wordt verzonden met de door u opgegeven lengte. U kunt ook de Firefox-webontwikkelaar gebruiken om maximale formulierlengten te verwijderen die zijn gedefinieerd in webformulieren.