1. Trang chủ
  2. » Công Nghệ Thông Tin

Báo cáo tấn công mạng Failure to Restrict URL Access ppsx

12 353 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 12
Dung lượng 825,5 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Đây là một vấn đề thường gặp trong các ứng dụng web, không giới hạn truy cập URL thường xảy ra khi một trang không có các chính sách kiểm soát truy cập phù hợp.. Nếu người dùng có thể tr

Trang 1

Failure to Restrict URL Access

SVTH: Trần Anh Tiến

Huỳnh Bá Thành Hiếu Nguyễn Vương Nghị Phạm Trương Vy Ta Nguyễn Thị Bích Diệp Hầu Thanh Đại

ĐH Duy Tân – Khoa Công Nghệ Thông Tin

Trang 2

What's Failure to Restrict URL Access?

Đây là một vấn đề thường gặp trong các ứng dụng web, không giới hạn truy cập URL thường xảy ra khi một trang không có các chính sách kiểm soát truy cập phù hợp Trái phép người dùng có thể xem nội dung

mà họ không nên có khả năng để xem.

Trang 3

Có những lỗ hổng trong ứng dụng của bạn cho thấy nhiều chức năng đặc quyền đặc lợi cho người sử dụng trái phép Nó cũng có thể tạo ra một vấn đề với những bản ghi lưu trữ hồ sơ của bạn Nếu người dùng có thể truy cập các bản ghi mà không được chứng thực các chuỗi lưu ký là hoàn toàn bị phá vỡ, ngăn ngừa kiểm toán tốt từ đang diễn ra

Trang 4

 Các nhà phát triển cố gắng để ẩn chức năng từ người

dùng bằng cách tạo ra "ẩn" các trang có thể tạo ra một

sự lỗ hổng để hạn chế tình trạng truy cập URL

 Các trang ẩn được định nghĩa là trang không có một liên kết trỏ đến chúng, ngăn chặn trình thu thập thông web, chẳng hạn như Google, lập chỉ mục chúng Một số nhà phát triển tin rằng các trang này sẽ không bao giờ được tìm thấy bởi bất cứ ai không biết chính xác URL Tuy

nhiên, kẻ tấn công thường tìm thấy các trang này thông qua trình duyệt mạnh mẽ và kiểm soát truy cập vào các trang này có xu hướng không được hạn chế

4

Trang 5

 Một ví dụ khác của một trang mà có thể có loại dễ

bị tấn công là một trong những nơi mà tất cả các quyền được kiểm tra phía máy khách nhưng không phía máy chủ Những kẻ tấn công sử dụng proxy cá nhân có thể bỏ qua những quyền này phía máy khách và chức năng truy cập không dành cho họ để truy cập

 Ví dụ:

http://example.com/app/getappInfo

http://example.com/app/admin_getappInfo

Trang 7

 Bất cứ ai có truy cập mạng có thể gửi yêu cầu Có thể người dùng vô danh truy cập một trang tư nhân hoặc người sử dụng thường xuyên một trang có quyền đặc biệt (Dễ dàng khai thác)

 Kẻ tấn công, một người sử dụng hệ thống ủy quyền

là người, chỉ cần thay đổi các URL đến một trang đặc quyền Truy cập được cấp phép hay không? Chưa xác định người dùng có thể truy cập các trang tin không được bảo vệ

Trang 8

( Phát hiện Trung Bình)

 Các ứng dụng không phải luôn luôn bảo vệ yêu cầu trang đúng cách Đôi khi, bảo vệ URL là quản

lý thông qua cấu hình, và hệ thống này là sai Đôi khi, các nhà phát triển phải bao gồm kiểm tra mã thích hợp, và họ quên

 Phát hiện lỗ hổng như vậy là dễ dàng Phần khó nhất là xác định những trang (URL) tồn tại để tấn công

Trang 9

 Sai sót như vậy cho phép kẻ tấn công để truy cập các chức năng trái phép Chức năng Admin là mục tiêu chính cho kiểu tấn công này

 Hãy xem xét giá trị kinh doanh của các chức năng tiếp xúc và các dữ liệu mà họ xử lý Đồng thời xem xét các tác động đến danh tiếng của bạn nếu lỗ hổng này đã trở thành công cộng

Trang 10

Am I Vulnerable?

 Cách tốt nhất để tìm ra nếu một ứng dụng đã không đúng cách hạn chế truy cập URL là để xác minh tất

cả các trang Hãy xem xét cho mỗi trang, là trang phải được công khai hay riêng tư Nếu một trang tin:

1 Là xác thực cần thiết để truy cập vào trang đó?

2 Có nghĩa vụ phải được truy cập vào bất kỳ chứng thực người dùng? Nếu không, được ủy quyền một kiểm tra được thực hiện để đảm bảo người dùng có quyền truy cập trang web đó?

Trang 11

How Do You Restrict

URL Access

 Hạn chế truy cập vào địa chỉ URL chính xác có kế hoạch cẩn thận của nhà phát triển và tổ chức hỗ trợ Tổ chức có thể làm theo một

số quy tắc đơn giản mà sẽ giúp họ trong việc ngăn ngừa tấn công này.

 Các nhà phát triển không bao giờ nên cho người dùng sẽ có

không biết về chức năng ẩn.

 Quản trị viên nên chặn truy cập vào tất cả các loại tập tin mà ứng dụng không phục vụ.

 Người thiết kế nên phát triển một ma trận kiểm soát truy cập, giúp

họ để ngăn chặn người sử dụng trái phép truy cập vào nội dung

ủy quyền Điều này nên được thực hiện cho mỗi chức năng URL

và kinh doanh của các ứng dụng.

Trang 12

How Do You Restrict

URL Access

Ngăn chặn truy cập trái phép URL yêu cầu lựa chọn một cách tiếp cận cho phù hợp yêu cầu xác thực và ủy quyền thích hợp cho mỗi trang Thông thường, sự bảo vệ đó được cung cấp bởi một hay nhiều thành phần bên ngoài vào mã ứng dụng Bất kể cơ chế , tất cả những điều sau đây được

đề nghị:

1 Các chính sách và uỷ quyền chứng thực được dựa vào vai trò , để giảm thiểu các nỗ lực cần thiết để duy trì các chính sách này.

2 Các chính sách phải được cấu hình cao, để giảm thiểu bất kỳ mã hoá các vấn đề khó khăn của chính sách.

3 Các cơ chế thực thi nên từ chối tất cả các truy cập bằng cách mặc định, yêu cầu tài trợ rõ ràng cho người sử dụng cụ thể và vai trò của người truy cập mỗi trang.

4 Nếu trang đó là tham gia vào một công việc, kiểm tra để đảm bảo các điều kiện đang ở trạng thái thích hợp để cho phép truy cập.

Ngày đăng: 12/07/2014, 21:20

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

🧩 Sản phẩm bạn có thể quan tâm

w