Che cos'è la navigazione forzata e come funziona?

Le applicazioni web sono elementi cruciali nella fornitura di servizi su Internet.

Non è più una novità che molti abbiano sofferto di vulnerabilità di sicurezza. Un sito web può esporre le persone a rischi significativi se non è adeguatamente protetto.

Gli aggressori possono accedere a pagine riservate e dati utente riservati utilizzando diverse tecniche, inclusa la navigazione forzata.

In questo articolo discuteremo il concetto di navigazione forzata e come funziona.

Che cos'è la navigazione forzata?

La navigazione forzata è una tecnica utilizzata dagli aggressori per ottenere l'accesso a pagine Web riservate, o altre risorse, manipolando l'URL. Viene anche definita navigazione forzata. Proprio come suggerisce il nome, un utente malintenzionato sta esplorando con la forza una risorsa per la quale non ha l'autorizzazione.

Un tale attacco prende di mira i file nella directory del server web, o URL con restrizioni, che non controllano l'autorizzazione.

Queste risorse sono redditizie per gli aggressori se contengono dati sensibili. Potrebbe riguardare il sito Web stesso o i clienti del sito. I dati sensibili potrebbero includere:

• Credenziali
• Codice sorgente
• File di backup
• Registri
• Configurazione
• Dettagli della rete interna

Se un sito Web può essere vittima di un attacco di navigazione forzata, non è adeguatamente protetto.

L'autorizzazione dovrebbe garantire che gli utenti abbiano il permesso appropriato per accedere alle pagine riservate. Gli utenti forniscono i propri dettagli di accesso, come nome utente e password, prima di poter accedere. La navigazione forzata tenta di aggirare queste impostazioni di sicurezza richiedendo l'accesso a percorsi riservati. Verifica se può accedere a una pagina senza fornire credenziali valide.

Come funziona la navigazione forzata?

La navigazione forzata è un problema comune con i siti Web che hanno vari ruoli utente come utenti normali e utenti amministratori. Ogni utente accede dalla stessa pagina ma ha accesso a menu e opzioni differenti. Tuttavia, se le pagine a cui portano quei menu non sono sicure, un utente potrebbe indovinare il nome di una pagina valida e provare ad accedere direttamente al suo URL.

Diversi scenari mostrano come funziona la navigazione forzata, se eseguita manualmente o con l'uso di uno strumento automatizzato. Diamo un'occhiata ad alcuni casi.

1. Una pagina di account insicura

Un utente accede a un sito Web e l'URL per la pagina del proprio account è www.example.com/account.php? utente=4. L'utente può procedere a una rotazione del numero e modificare l'URL in www.example.com/account.php? utente=6. Se la pagina si apre, saranno in grado di accedere alle informazioni dell'altro utente senza dover conoscere i propri dettagli di accesso.

2. Una pagina di ordine insicura

Un utente con un account su un sito Web di e-commerce visualizza uno dei propri ordini su www.example.com/orders/4544. Ora cambiano casualmente l'ID dell'ordine in www.example.com/orders/4546. Se la pagina degli ordini presenta un punto debole della navigazione forzata, l'autore dell'attacco potrebbe scoprire i dettagli dell'utente con quell'ordine. Per lo meno, recupereranno informazioni su un ordine che non è il loro.

3. Scansione URL

Un utente malintenzionato utilizza uno strumento di scansione per cercare directory e file nel filesystem del server web. Potrebbe cercare nomi comuni di amministratore, password e file di registro. Se lo strumento ottiene una risposta HTTP corretta, implica che esiste una risorsa corrispondente. Quindi l'attaccante andrà avanti e accederà ai file.

Metodi di navigazione forzata

Un utente malintenzionato può eseguire un attacco di navigazione forzata manualmente o con strumenti automatizzati.

Nella navigazione forzata manuale, l'aggressore utilizza la tecnica della rotazione dei numeri, oppure indovina correttamente il nome di una directory o di un file e lo digita nella barra degli indirizzi. Questo metodo è più difficile dell'uso di strumenti automatizzati perché l'attaccante non può inviare manualmente richieste con la stessa frequenza.

La navigazione forzata con l'ausilio di strumenti automatizzati comporta l'utilizzo di uno strumento per la scansione di directory e file esistenti sul sito web. Molti file con restrizioni sono generalmente nascosti, ma gli strumenti di scansione possono recuperarli.

Strumenti automatizzati scansionano molti potenziali nomi di pagina e registrano i risultati ottenuti dal server. Memorizzano anche gli URL che corrispondono a ogni richiesta di pagina. L'aggressore procederà a un'indagine manuale per scoprire a quali pagine può accedere.

Con entrambi i metodi, la navigazione forzata è come un attacco di forza bruta, in cui l'attaccante indovina la tua password.

Come prevenire la navigazione forzata

C'è qualcosa da tenere a mente: nascondere i file non li rende inaccessibili. Assicurati di non dare per scontato che, se non ti colleghi a una pagina, un utente malintenzionato non possa accedervi. La navigazione forzata sfata questa ipotesi. E i nomi comuni assegnati a pagine e directory possono essere facilmente indovinati, rendendo le risorse accessibili agli aggressori.

Ecco alcuni suggerimenti per aiutarti a prevenire la navigazione forzata.

1. Evita l'uso di nomi comuni per i file

Gli sviluppatori in genere assegnano nomi comuni a file e directory web. Questi nomi comuni potrebbero essere "admin", "logs", "administrator" o "backup". Guardandoli, sono abbastanza facili da indovinare.

Un modo per tenere a bada la navigazione forzata è nominare i file con nomi strani o complessi che sono difficili da capire. Con quello in atto, gli aggressori avranno un osso duro. La stessa tecnica aiuta con creare password forti ed efficaci.

2. Mantieni l'elenco della tua directory disattivata sul server Web

Una configurazione predefinita rappresenta un rischio per la sicurezza in quanto potrebbe aiutare gli hacker a ottenere l'accesso non autorizzato al tuo server.

Se abiliti l'elenco delle directory sul tuo server web, puoi perdere informazioni che inviteranno gli aggressori. Dovresti disattivare l'elenco delle directory e tenere i dettagli del filesystem lontani dalla visualizzazione pubblica.

3. Verifica l'autenticazione dell'utente prima di ogni operazione protetta

È facile ignorare la necessità di autenticare gli utenti del sito su una pagina Web specifica. Se non stai attento, potresti dimenticarti di farlo.

Assicurati che le tue pagine web siano accessibili solo agli utenti autenticati. Distribuisci un controllo di autorizzazione ad ogni passaggio per mantenere la sicurezza.

4. Utilizzare i controlli di accesso adeguati

L'utilizzo di controlli di accesso adeguati implica la concessione agli utenti di un accesso esplicito a risorse e pagine che corrispondono ai loro diritti e niente di più.

Assicurati di definire i tipi di file a cui gli utenti hanno il permesso di accedere. Ad esempio, puoi impedire agli utenti di accedere ai file di backup o di database.

Testa a testa con gli aggressori

Se ospiti un'applicazione Web su Internet pubblico, stai invitando gli aggressori a fare del loro meglio per entrare con la forza. Con questo in mente, gli attacchi di navigazione forzata sono destinati a verificarsi. La domanda è: consentirete agli aggressori di ottenere l'accesso quando tentano di farlo?

Non devi. Fai una forte resistenza distribuendo diversi livelli di sicurezza informatica sul tuo sistema. È tua responsabilità proteggere le tue risorse digitali. Fai tutto ciò che devi fare per proteggere ciò che ti appartiene.

5 volte gli attacchi di forza bruta portano a enormi violazioni della sicurezza

Gli utenti online sono costantemente minacciati da violazioni della sicurezza e gli attacchi di forza bruta sono motivo di particolare preoccupazione. Ecco alcuni dei peggiori.

Leggi Avanti

Circa l'autore