Doğrulanmamış Yönlendirmeler ve Yönlendirmeler

İnternetteki çoğu web uygulaması sık sık kullanıcıları başka sayfalara veya diğer harici web sitelerine yönlendirir ve yönlendirir. Bununla birlikte, bu sayfaların güvenilirliğini doğrulamadan bilgisayar korsanları, kurbanları kimlik avı veya kötü amaçlı yazılım sitelerine yönlendirebilir veya yetkisiz sayfalara erişmek için yönlendirmeleri kullanabilir.

Bu kusurun Tehdit Ajanlarını, Saldırı Vektörlerini, Güvenlik Zafiyetini, Teknik Etkisini ve İş Etkilerini basit bir şema yardımıyla anlayalım.

Misal

Doğrulanmamış Yönlendirmelerin ve Yönlendirmelerin bazı klasik örnekleri verildiği gibidir -

  • Diyelim ki uygulamada bir parametre redirectrul alan redirect.jsp sayfası var . Bilgisayar korsanı, kimlik avı yapan / kötü amaçlı yazılım yükleyen kullanıcıları yeniden yönlendiren kötü amaçlı bir URL ekler.

http://www.mywebapp.com/redirect.jsp?redirectrul=hacker.com

  • Kullanıcıları sitenin farklı bölümlerine yönlendirmek için kullanılan tüm web uygulamaları. Aynısını elde etmek için bazı sayfalar, bir işlem başarılı olursa kullanıcının nereye yönlendirilmesi gerektiğini belirten bir parametre kullanır. Saldırgan, uygulamanın erişim kontrol denetiminden geçen bir URL oluşturur ve ardından saldırganı, saldırganın erişiminin olmadığı yönetim işlevine yönlendirir.

http://www.mywebapp.com/checkstatus.jsp?fwd=appadmin.jsp

Önleyici Mekanizmalar

  • Yönlendirmeleri ve yönlendirmeleri kullanmaktan kaçınmak daha iyidir.

  • Eğer kaçınılmazsa, hedefin yeniden yönlendirilmesinde kullanıcı parametreleri dahil edilmeden yapılmalıdır.

ja/tutorial
es/tutorial
de/tutorial
fr/tutorial
th/tutorial
pt/tutorial
ru/tutorial
vi/tutorial
it/tutorial
ko/tutorial
tr/tutorial
id/tutorial
pl/tutorial
hi/tutorial
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2024 | All Rights Reserved