Forceful Browsing

Forceful Browsing

Forceful Browsing bezeichnet die Manipulation der URL im Browser, um Zugriff auf Dateien zu erlangen, die der Autor nicht veröffentlichen möchte. Mögliche Ziele sind Dateien mit Adressdaten, Kreditkartennummern oder auch Passwörtern.

Inhaltsverzeichnis

Durchführung des Angriffes

Durch Analyse der Webanwendung versucht der Angreifer Informationen zu gewinnen, wie Parameter und aufgerufene URLs ausgewertet werden. Dies können sowohl dynamische Formulardaten, die ungenügend geprüft werden, wie auch statische Dokumente sein. Im Falle von Dokumenten ist die Vorgehensweise recht einfach. Befindet sich z.B. ein Dokument mit dem Namen "Jahresbericht_2008.pdf" auf dem Server, und wird dieses durch den URL http://firma/berichte/Jahresbericht_2008.pdf referenziert, so könnte der Angreifer daraus schließen, dass auch Dokumente für andere Jahre existieren und dies durch Abfrage des entsprechend abgewandelten URLs überprüfen. Ziel können auch Backups oder alte Versionen von Skripten sein, die möglicherweise sensible Daten enthalten. Ein PHP-Skript "database.php" kann z.B. die Zugangsdaten zu einem Datenbank Management System enthalten. Diese Daten werden aber nicht an den Benutzer geschickt, sondern nur intern durch den Interpreter zur Verbindung zur Datenbank verwendet. Existiert nun aber ein Backup dieser Datei unter dem Namen "database.php.bak", so wird der Inhalt der Datei möglicherweise als reiner Text erkannt und direkt an den Benutzer gesendet, der auf diesem Wege die Zugangsdaten im Klartext zu Gesicht bekommt.

Die Manipulation von Parametern funktioniert auf gleiche Weise. Bekommt ein Anwender beispielsweise unter einem URL http://bank/kontostand?nr=12345 seine eigenen Kontodaten angezeigt, könnte er versuchen, durch Veränderung der Kontonummer im URL die Daten zu fremden Konten zu erlangen. Damit dieser Angriff funktioniert muss allerdings vorausgesetzt werden, dass die Anwendung den Parameter nicht in soweit überprüft, ob der Benutzer auch das Recht hat, diese Aktion durchzuführen.

Rechtslage

Deutschland

In Deutschland befindet sich diese Art von Angriff in einer rechtlichen Grauzone. Insbesondere dann, wenn der Angreifer sich einen Nutzen aus den Daten verschafft, liegt eine Straftat vor – auch wenn der Ersteller die Daten scheinbar öffentlich ins Netz gestellt hat.

Weblinks


Wikimedia Foundation.

Игры ⚽ Поможем сделать НИР

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Application Level Firewall — Eine Web Application Firewall (WAF) ist eine Technologie, die Web Anwendungen vor Angriffen über das HTTP Protokoll schützen soll. Teilweise wird diese Technologie auch als Web Shield, Application Level Gateway (ALG) oder Application Level… …   Deutsch Wikipedia

  • Application Level Gateway — Eine Web Application Firewall (WAF) ist eine Technologie, die Web Anwendungen vor Angriffen über das HTTP Protokoll schützen soll. Teilweise wird diese Technologie auch als Web Shield, Application Level Gateway (ALG) oder Application Level… …   Deutsch Wikipedia

  • Web Shield — Eine Web Application Firewall (WAF) ist eine Technologie, die Web Anwendungen vor Angriffen über das HTTP Protokoll schützen soll. Teilweise wird diese Technologie auch als Web Shield, Application Level Gateway (ALG) oder Application Level… …   Deutsch Wikipedia

  • Web Application Firewall — Eine Web Application Firewall (WAF) oder Web Shield ist ein Verfahren, das Webanwendungen vor Angriffen über das Hypertext Transfer Protocol (HTTP) schützen soll. Es stellt damit einen Spezialfall einer Application Level Firewall (ALF) oder eines …   Deutsch Wikipedia

  • Office Assistant — Clippit asking if the user needs help The Office Assistant was a Microsoft Office feature to assist users by way of an interactive animated character, which interfaced with the Office help content. It used technology initially from Microsoft Bob… …   Wikipedia

  • eastern Africa — ▪ region, Africa Introduction       part of sub Saharan Africa comprising two traditionally recognized regions: East Africa, made up of Kenya, Tanzania, and Uganda; and the Horn of Africa, made up of Somalia, Djibouti, Eritrea, and Ethiopia.… …   Universalium

  • Horse breaking — Horse breaking, sometimes called starting or gentling, refers to the process used by humans to get horses to let themselves be ridden or harnessed. Before such a learning process is accomplished, a horse will normally reject attempts to ride it.… …   Wikipedia

  • evolution — evolutional, adj. evolutionally, adv. /ev euh looh sheuhn/ or, esp. Brit., /ee veuh /, n. 1. any process of formation or growth; development: the evolution of a language; the evolution of the airplane. 2. a product of such development; something… …   Universalium

  • Google's hoaxes — TISP redirects here. For the space program, see Teacher in Space Project. Google has a tradition of perpetrating April Fools Day hoaxes. Contents 1 April Fool s hoaxes 1.1 2000 1.2 2002 …   Wikipedia

  • education — /ej oo kay sheuhn/, n. 1. the act or process of imparting or acquiring general knowledge, developing the powers of reasoning and judgment, and generally of preparing oneself or others intellectually for mature life. 2. the act or process of… …   Universalium

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”