Video: Verborgen camera | Undercover in Nederland 2024
Sommige websites en toepassingen sluiten verborgen velden in webpagina's in om te hacken en door te geven statusinformatie tussen de webserver en de browser. Verborgen velden worden weergegeven in een webformulier als.
Vanwege slechte coderingsmethoden bevatten verborgen velden vaak vertrouwelijke informatie (zoals productprijzen op een e-commercesite) die alleen in een back-enddatabase mogen worden opgeslagen. Gebruikers moeten geen verborgen velden zien - vandaar de naam - maar de nieuwsgierige aanvaller kan ze ontdekken en exploiteren met de volgende stappen:
-
Kies Pagina → Bron weergeven om de broncode in Internet Explorer te bekijken. Kies in Beeldscherm Beeld → Paginabron.
-
Wijzig de informatie die in deze velden is opgeslagen.
Een kwaadwillende gebruiker kan bijvoorbeeld de prijs wijzigen van $ 100 tot $ 10.
-
Plaats de pagina opnieuw op de server.
Met deze stap kan de aanvaller onterecht gewin behalen, zoals een lagere prijs bij een internetaankoop.
Het gebruik van verborgen velden voor authenticatie (login) mechanismen kan bijzonder gevaarlijk zijn. U kunt een lock-upproces tegenkomen dat de indringer van meerdere factoren controleert en dat vertrouwt op een verborgen veld om bij te houden hoe vaak de gebruiker heeft geprobeerd in te loggen. Deze variabele kan voor elke aanmeldingspoging op nul worden gezet en zo een woordenboek met een script of brute kracht mogelijk maken login aanval.
Verschillende hulpmiddelen, zoals webproxy (die wordt meegeleverd met webInspect) of Paros Proxy, kunnen verborgen velden gemakkelijk manipuleren.
Als je verborgen velden tegenkomt, kun je proberen ze te manipuleren om te zien wat er kan worden gedaan. Zo simpel is het.
