- Forceful Browsing
-
Forceful Browsing bezeichnet die Manipulation der URL im Browser, um Zugriff auf Dateien zu erlangen, die der Autor nicht veröffentlichen möchte. Mögliche Ziele sind Dateien mit Adressdaten, Kreditkartennummern oder auch Passwörtern.
Inhaltsverzeichnis
Durchführung des Angriffes
Durch Analyse der Webanwendung versucht der Angreifer Informationen zu gewinnen, wie Parameter und aufgerufene URLs ausgewertet werden. Dies können sowohl dynamische Formulardaten, die ungenügend geprüft werden, wie auch statische Dokumente sein. Im Falle von Dokumenten ist die Vorgehensweise recht einfach. Befindet sich z.B. ein Dokument mit dem Namen "Jahresbericht_2008.pdf" auf dem Server, und wird dieses durch den URL http://firma/berichte/Jahresbericht_2008.pdf referenziert, so könnte der Angreifer daraus schließen, dass auch Dokumente für andere Jahre existieren und dies durch Abfrage des entsprechend abgewandelten URLs überprüfen. Ziel können auch Backups oder alte Versionen von Skripten sein, die möglicherweise sensible Daten enthalten. Ein PHP-Skript "database.php" kann z.B. die Zugangsdaten zu einem Datenbank Management System enthalten. Diese Daten werden aber nicht an den Benutzer geschickt, sondern nur intern durch den Interpreter zur Verbindung zur Datenbank verwendet. Existiert nun aber ein Backup dieser Datei unter dem Namen "database.php.bak", so wird der Inhalt der Datei möglicherweise als reiner Text erkannt und direkt an den Benutzer gesendet, der auf diesem Wege die Zugangsdaten im Klartext zu Gesicht bekommt.
Die Manipulation von Parametern funktioniert auf gleiche Weise. Bekommt ein Anwender beispielsweise unter einem URL http://bank/kontostand?nr=12345 seine eigenen Kontodaten angezeigt, könnte er versuchen, durch Veränderung der Kontonummer im URL die Daten zu fremden Konten zu erlangen. Damit dieser Angriff funktioniert muss allerdings vorausgesetzt werden, dass die Anwendung den Parameter nicht in soweit überprüft, ob der Benutzer auch das Recht hat, diese Aktion durchzuführen.
Rechtslage
Deutschland
In Deutschland befindet sich diese Art von Angriff in einer rechtlichen Grauzone. Insbesondere dann, wenn der Angreifer sich einen Nutzen aus den Daten verschafft, liegt eine Straftat vor – auch wenn der Ersteller die Daten scheinbar öffentlich ins Netz gestellt hat.
Weblinks
Wikimedia Foundation.