Video: Is Mexico City Safe To Travel ? ?? 2024
Heel vaak als onderdeel van beveiligingstests, u gebruikt een hex-editor om te zien hoe een toepassing gevoelige informatie, zoals wachtwoorden, in het geheugen opslaat. Wanneer u Firefox en Internet Explorer gebruikt, kunt u een hex-editor, zoals WinHex, gebruiken om het actieve geheugen in deze programma's te doorzoeken en vaak combinaties van gebruikers-ID's en wachtwoorden te vinden.
Met Internet Explorer wordt deze informatie in het geheugen bewaard, zelfs na het bladeren op verschillende andere websites of het afmelden bij de toepassing. Deze geheugengebruiksfunctie vormt een beveiligingsrisico voor het lokale systeem als een andere gebruiker de computer gebruikt of als het systeem is geïnfecteerd met malware die in het systeemgeheugen naar gevoelige informatie kan zoeken.
De manier waarop browsers gevoelige informatie in het geheugen opslaan, is ook slecht nieuws als een toepassingsfout of systeemgeheugendump plaatsvindt en de gebruiker de informatie uiteindelijk naar QA verzendt voor Microsoft (of een andere browserverkoper). Het is ook slecht nieuws als de informatie wordt weggeschreven naar een dumpbestand op de lokale harde schijf en daar zit om iemand te vinden.
Probeer te zoeken naar gevoelige informatie die is opgeslagen in het geheugen met betrekking tot uw webapplicatie (s) of op zelfstandige programma's die verificatie vereisen. Je zult gewoon verrast zijn door de uitkomst. Buiten het versluieren of coderen van de inloggegevens, is er helaas geen goede oplossing omdat deze "functie" deel uitmaakt van de webbrowser die ontwikkelaars niet echt kunnen beheren.
Een soortgelijke beveiligingsfunctie vindt plaats aan de clientzijde wanneer HTTP GET verzoekt in plaats van HTTP POST-verzoeken worden gebruikt om gevoelige informatie te verwerken. Het volgende is een voorbeeld van een kwetsbaar GET-verzoek:
// www. your_web_app. com / access. php? gebruikersnaam = kbeaver & password = WhAteVur! & login = SoOn
GET-verzoeken worden vaak opgeslagen in het geschiedenisbestand van de webbrowser van de gebruiker, logbestanden van de webserver en proxy-logbestanden. GET-verzoeken kunnen worden verzonden naar sites van derden via het HTTP Referer-veld wanneer de gebruiker naar een site van derden surft. Al het bovenstaande kan leiden tot blootstelling van aanmeldingsreferenties en ongeoorloofde toegang tot webtoepassingen.
De les: gebruik geen HTTP GET-verzoeken voor aanmeldingen. Gebruik in plaats daarvan HTTP POST-aanvragen. Beschouw deze kwetsbaarheden als een goede reden om de harde schijven van uw laptops en andere computers te coderen die niet fysiek beveiligd zijn!