Wat is geforceerd browsen en hoe werkt het?

Webapplicaties zijn cruciale elementen in de dienstverlening op internet.

Het is geen nieuws meer dat velen hebben geleden onder beveiligingsproblemen. Een website kan personen blootstellen aan aanzienlijke risico's als deze niet goed wordt beschermd.

Aanvallers kunnen toegang krijgen tot beperkte pagina's en vertrouwelijke gebruikersgegevens met behulp van verschillende technieken, waaronder gedwongen browsen.

In dit artikel bespreken we het concept van gedwongen browsen en hoe het werkt.

Wat is geforceerd browsen?

Geforceerd browsen is een techniek die door aanvallers wordt gebruikt om toegang te krijgen tot beperkte webpagina's of andere bronnen door de URL te manipuleren. Het wordt ook wel krachtig browsen genoemd. Zoals de naam al aangeeft, bladert een aanvaller met geweld door een bron waarvoor hij geen autorisatie heeft.

Een dergelijke aanval is gericht op bestanden in de webserver-directory, of beperkte URL's, die niet op autorisatie controleren.

Deze bronnen zijn winstgevend voor aanvallers als ze gevoelige gegevens bevatten. Het kan gaan over de website zelf of over de klanten van de site. Gevoelige gegevens kunnen zijn:

• Referenties
• Broncode
• Backup bestanden
• Logboeken
• Configuratie
• Interne netwerkdetails

Als een website het slachtoffer kan worden van een geforceerde browseraanval, is deze niet goed beveiligd.

Autorisatie moet ervoor zorgen dat gebruikers de juiste toestemming hebben om toegang te krijgen tot beperkte pagina's. Gebruikers verstrekken hun inloggegevens, zoals een gebruikersnaam en wachtwoord, voordat ze toegang krijgen. Geforceerd browsen probeert deze beveiligingsinstellingen te omzeilen door toegang te vragen tot beperkte paden. Het test om te zien of het toegang heeft tot een pagina zonder geldige inloggegevens te verstrekken.

Hoe werkt geforceerd browsen?

Geforceerd browsen is een veelvoorkomend probleem bij websites met verschillende gebruikersrollen, zoals normale gebruikers en beheerders. Elke gebruiker logt in vanaf dezelfde pagina, maar heeft toegang tot verschillende menu's en opties. Als de pagina's waar deze menu's naar leiden echter niet veilig zijn, kan een gebruiker de naam van een geldige pagina raden en rechtstreeks toegang proberen te krijgen tot de URL.

Verschillende scenario's laten zien hoe geforceerd browsen werkt, of het nu handmatig wordt gedaan of met behulp van een geautomatiseerd hulpmiddel. Laten we een paar voorbeelden bekijken.

1. Een onveilige accountpagina

Een gebruiker logt in op een website en de URL voor hun accountpagina is www.example.com/account.php? gebruiker=4. De gebruiker kan een nummerrotatie uitvoeren en de URL wijzigen in www.example.com/account.php? gebruiker=6. Als de pagina wordt geopend, hebben ze toegang tot de informatie van de andere gebruiker zonder dat ze hun inloggegevens hoeven te weten.

2. Een onveilige bestelpagina

Een gebruiker met een account op een e-commercewebsite bekijkt een van zijn bestellingen op www.example.com/orders/4544. Ze veranderen nu willekeurig de order-ID in www.example.com/orders/4546. Als de bestelpagina een geforceerde browse-zwakte heeft, kan de aanvaller details van de gebruiker met die bestelling ontdekken. Ze halen op zijn minst informatie op over een bestelling die niet van hen is.

3. URL-scannen

Een aanvaller gebruikt een scantool om te zoeken naar mappen en bestanden in het bestandssysteem van de webserver. Het kan scannen op algemene namen van beheerders-, wachtwoord- en logbestanden. Als het hulpprogramma een succesvolle HTTP-reactie krijgt, betekent dit dat er een overeenkomende bron bestaat. Dan zal de aanvaller doorgaan en toegang krijgen tot de bestanden.

Geforceerde browsemethoden

Een aanvaller kan een geforceerde browseraanval handmatig of met geautomatiseerde tools uitvoeren.

Bij handmatig krachtig browsen gebruikt de aanvaller de nummerrotatietechniek of raadt de naam van een map of bestand correct en typt deze in de adresbalk. Deze methode is moeilijker dan het gebruik van geautomatiseerde tools, omdat de aanvaller niet handmatig verzoeken kan verzenden met dezelfde frequentie.

Geforceerd browsen met behulp van geautomatiseerde tools omvat het gebruik van een tool om te scannen op bestaande mappen en bestanden op de website. Veel beperkte bestanden zijn meestal verborgen, maar scantools kunnen ze eruit vissen.

Geautomatiseerde tools scannen door vele mogelijke paginanamen en registreren de resultaten die van de server zijn verkregen. Ze slaan ook de URL's op die overeenkomen met elk paginaverzoek. De aanvaller zal een handmatig onderzoek uitvoeren om te ontdekken tot welke pagina's hij toegang heeft.

Met beide methoden is geforceerd browsen als een brute force-aanval, waarbij de aanvaller raadt je wachtwoord.

Geforceerd browsen voorkomen?

Hier is iets om in gedachten te houden: het verbergen van bestanden maakt ze niet ontoegankelijk. Zorg ervoor dat u er niet vanuit gaat dat een aanvaller er geen toegang toe heeft als u niet naar een pagina linkt. Geforceerd browsen ontkracht deze veronderstelling. En algemene namen die aan pagina's en mappen zijn toegewezen, kunnen gemakkelijk worden geraden, waardoor bronnen toegankelijk worden voor aanvallers.

Hier zijn enkele tips om gedwongen browsen te voorkomen.

1. Vermijd het gebruik van algemene namen voor bestanden

Ontwikkelaars wijzen doorgaans algemene namen toe aan bestanden en webdirectory's. Deze algemene namen kunnen "admin", "logs", "administrator" of "back-up" zijn. Als je ernaar kijkt, zijn ze vrij gemakkelijk te raden.

Een manier om gedwongen browsen op afstand te houden, is door bestanden een naam te geven met vreemde of complexe namen die moeilijk te achterhalen zijn. Als dat op zijn plaats is, zullen aanvallers een harde noot te kraken hebben. Dezelfde techniek helpt bij: sterke en effectieve wachtwoorden maken.

2. Houd uw directoryvermelding uitgeschakeld op de webserver

Een standaardconfiguratie vormt een veiligheidsrisico omdat het hackers kan helpen om ongeautoriseerde toegang tot uw server te krijgen.

Als u directoryvermelding op uw webserver inschakelt, kunt u informatie lekken die aanvallers zal uitnodigen. U moet uw directorylijst uitschakelen en bestandssysteemgegevens buiten het publieke zicht houden.

3. Controleer de gebruikersauthenticatie vóór elke beveiligde bewerking

Het is gemakkelijk om de noodzaak van authenticatie van sitegebruikers op een specifieke webpagina te negeren. Als u niet voorzichtig bent, kunt u dit misschien vergeten.

Zorg ervoor dat uw webpagina's alleen toegankelijk zijn voor geverifieerde gebruikers. Implementeer bij elke stap een autorisatiecontrole om de veiligheid te behouden.

4. Gebruik de juiste toegangscontroles

Het gebruik van de juiste toegangscontrole houdt in dat gebruikers expliciete toegang krijgen tot bronnen en pagina's die overeenkomen met hun rechten en niets meer.

Zorg ervoor dat u de typen bestanden definieert waartoe gebruikers toegang hebben. U kunt bijvoorbeeld voorkomen dat gebruikers toegang krijgen tot back-up- of databasebestanden.

Ga de strijd aan met aanvallers

Als u een webtoepassing host op het openbare internet, nodigt u aanvallers uit om hun best te doen om binnen te dringen. Met dit in gedachten zullen er zeker geforceerde browseraanvallen plaatsvinden. De vraag is: sta je toe dat aanvallers toegang krijgen als ze dat proberen?

Dat hoeft niet. Zorg voor een sterke weerstand door verschillende lagen cybersecurity op uw systeem in te zetten. Het is uw verantwoordelijkheid om uw digitale activa te beveiligen. Doe wat je moet doen om dat wat van jou is veilig te stellen.

5 keer brute force-aanvallen leiden tot enorme beveiligingsinbreuken

Online gebruikers worden voortdurend bedreigd door beveiligingsinbreuken, en brute force-aanvallen zijn een bijzondere reden tot bezorgdheid. Hier zijn enkele van de ergste.

Lees volgende

Over de auteur