اليوم بإذن الله بتكلم عن
FAILURE TO RESTRICT URL ACCESS
وهي من اشهر نقاط الضعف بمواقع الويب 🛠
FAILURE TO RESTRICT URL ACCESS
وهي من اشهر نقاط الضعف بمواقع الويب 🛠
Failure to Restrict URL Access :
حسب تقرير OWASP انها هي من احد اشهر 10 نقاط الضعف المنتشرة جداً بمواقع الويب.
والهدف من تقرير OWASP هو لرفع مستوى الوعي لدى المبرمجين بخصوص الثغرات المنتشرة ومحاولة تفاديها
حسب تقرير OWASP انها هي من احد اشهر 10 نقاط الضعف المنتشرة جداً بمواقع الويب.
والهدف من تقرير OWASP هو لرفع مستوى الوعي لدى المبرمجين بخصوص الثغرات المنتشرة ومحاولة تفاديها
ماهو Failure to Restrict URL Access ؟
هو فشل مبرمج الموقع بمنع وصول الزوار لصفحات قد تحتوي على بيانات حساسة ، وغالباً تحتوي على يوزرات وتفاصيل اخرى لكتّاب المحتوى وعندها يمكن استخدام تقنية "forced browsing" التصفح الإجباري.
هو فشل مبرمج الموقع بمنع وصول الزوار لصفحات قد تحتوي على بيانات حساسة ، وغالباً تحتوي على يوزرات وتفاصيل اخرى لكتّاب المحتوى وعندها يمكن استخدام تقنية "forced browsing" التصفح الإجباري.
تقنية forced browsing :
بهذة التقنية يمكن للمُخترق تجاوز امان الموقع عن طريق الوصول للملفات مباشرةً بدلاً من اتباع الروابط ويمكن من خلالها جمع بيانات حساسة عن الموقع او الوصول الى تفاصيل النسخ الاحتياطي للموقع او طلب ملفات من المفترض ان لا يصل لها المُخترق.
بهذة التقنية يمكن للمُخترق تجاوز امان الموقع عن طريق الوصول للملفات مباشرةً بدلاً من اتباع الروابط ويمكن من خلالها جمع بيانات حساسة عن الموقع او الوصول الى تفاصيل النسخ الاحتياطي للموقع او طلب ملفات من المفترض ان لا يصل لها المُخترق.
كيف يمكن للمُخترق الوصول او معرفة هذة الصفحات 🛠:
يمكنه معرفتها بطرق بسيطة جداً مثل:
- من خلال تخمين الرابط بمعرفة طريقة كتابة الروابط بموقع محدد.
- من خلال برامج الفحص فهي تظهر لك اغلب الصفحات التي قد يكون انك من المفترض لاتصل لها.
يمكنه معرفتها بطرق بسيطة جداً مثل:
- من خلال تخمين الرابط بمعرفة طريقة كتابة الروابط بموقع محدد.
- من خلال برامج الفحص فهي تظهر لك اغلب الصفحات التي قد يكون انك من المفترض لاتصل لها.
كيف تحمي موقعك من الـFailure to Restrict URL Access 🛠؟
- فحص موقعك ومعرفة الصفحات الممكن الوصول لها من الزوار.
- استخدام الاذونات المناسبه او قوائم التحكم بالوصول لمنع الزوار المجهولين من الوصول لصفحات محدده.
- اذا كانت الملفات غير ضرورية فمن الافضل ازالتها.
- فحص موقعك ومعرفة الصفحات الممكن الوصول لها من الزوار.
- استخدام الاذونات المناسبه او قوائم التحكم بالوصول لمنع الزوار المجهولين من الوصول لصفحات محدده.
- اذا كانت الملفات غير ضرورية فمن الافضل ازالتها.
امثلة :
هذا مثال لموقع للتدريب على اختبار الاختراق
testphp.vulnweb.com
نلاحظ اننا قدرنا نوصل لملف قاعدة البيانات من عام 2011 وهنا تكمن خطورة الثغرة.
هذا مثال لموقع للتدريب على اختبار الاختراق
testphp.vulnweb.com
نلاحظ اننا قدرنا نوصل لملف قاعدة البيانات من عام 2011 وهنا تكمن خطورة الثغرة.
وتوجد هذه الثغرة غالباً بالمواقع المبنية على انظمة CMS مثل Wordpress وغيره وهذا لا ينفي وجودها بالمواقع الاخرى.
وبكذا انتهى الشرح واتمنى ان الشرح بسيط وسهل ومفهوم 💛
وبكذا انتهى الشرح واتمنى ان الشرح بسيط وسهل ومفهوم 💛
جاري تحميل الاقتراحات...