Video: T-TOP VS RUM NITTY RAP BATTLE | URLTV 2024
Een geautomatiseerde invoerhack manipuleert een URL en stuurt deze terug naar de server, zodat de webtoepassing verschillende dingen doet, zoals omleidingen naar sites van derden, laad gevoelige bestanden van de server, enzovoort. Lokale bestandsindeling is zo'n kwetsbaarheid.
Dit is wanneer de webtoepassing URL-invoer accepteert en de inhoud van het opgegeven bestand aan de gebruiker retourneert. Bijvoorbeeld, in één situatie stuurde webInspect iets vergelijkbaars als het volgende verzoek en retourneerde het passwd-bestand van de Linux-server:
// www. your_web_app. com / onlineserv / Checkout. cgi? state = detail & language = Engels & imageSet = / … / … // … / … // … / … // … / … /// etc / passwd
De volgende koppelingen laten een ander voorbeeld zien van URL-bedrog, URL-omleiding genoemd:
// www. your_web_app. com / fout. aspx? PURL = // www. slecht ~ website. com & ERROR = Pad + 'opties' + is + verboden. // www. your_web_app. com / exit. adder? URL = // www. slecht ~ website. com
In beide situaties kan een aanvaller dit beveiligingslek misbruiken door de link naar nietsvermoedende gebruikers te verzenden via e-mail of door deze op een website te plaatsen. Wanneer gebruikers op de koppeling klikken, kunnen ze worden omgeleid naar een kwaadwillende site van derden die malware of ongepast materiaal bevat.
Als u alleen maar tijd over hebt, kunt u dit soort kwetsbaarheden handmatig ontdekken. In het belang van gezond verstand (en nauwkeurigheid) kunnen deze aanvallen echter het best worden uitgevoerd door een scanner voor internetproblemen te gebruiken, omdat ze de zwakte kunnen detecteren door honderden en honderden URL-iteraties snel naar het websysteem te verzenden.