Buffer Web Uygulamaları'ndaki Overflow Hacks - mankenler

En ciddi saldırılardan biri, özellikle web uygulamalarında girdi alanlarını hedef alan bir arabellek taşmasıdır. Örneğin, bir kredi raporlama uygulaması, kullanıcılara veri göndermelerine veya raporları çekmesine izin verilmeden önce kimlik doğrulaması yapabilir. Oturum açma formu, maxsize değişkeninin belirttiği gibi, kullanıcı kimliklerini maksimum 12 karakterle kapatabilmek için şu kodu kullanır:

… …

Tipik bir oturum açma oturumu, 12 karakterden daha az geçerli bir oturum açma adı içerir. Bununla birlikte, maxsize değişkeni 100 veya hatta 1 000 gibi çok büyük bir değere dönüştürebilir. Daha sonra bir saldırgan oturum açma alanına sahte veri girebilir. Ardından olanlar, kişinin aramasıdır - uygulama askıda kalabilir, hafızadaki diğer verilerin üzerine yazılabilir veya sunucuyu çökebilir.

Böyle bir değişkeni değiştirmek için basit bir yol, ticari web güvenlik açığı tarayıcılarında veya ücretsiz Paros Proxy'de yerleşik olanlar gibi bir web proxy kullanarak sayfa göndermeyi gerçekleştirmektir.

Web vekilleri, web tarayıcınız ile test ettiğiniz sunucu arasında oturur ve sunucuya gönderilen bilgileri değiştirmenize izin verir. Başlamak için, web tarayıcınızı, 8080 portundaki 127. 0. 0. 1 yerel proxy'sini kullanacak şekilde yapılandırmanız gerekir.

Firefox'ta, Araçlar → Seçenekler'i seçerek erişebilirsiniz; Gelişmiş'i tıklatın, Ağ sekmesini tıklatın, Bağlantı Ayarları düğmesini tıklatın ve sonra El ile Proxy Yapılandırması radyo düğmesini seçin. Internet Explorer'da, Araçlar → İnternet Seçenekleri'ni seçin; Bağlantılar sekmesini tıklatın, LAN Ayarları düğmesini tıklatın ve ardından Yerel Ağınız için Proxy Sunucusu Kullan onay kutusunu seçin.

Yapmanız gereken tarayıcının sayfayı göndermeden önce değişkenin alan uzunluğunu değiştirmek ve verdiğiniz uzunluğu kullanarak gönderilecek. Web formlarında tanımlanan maksimum form uzunluklarını kaldırmak için Firefox web Developer'yı da kullanabilirsiniz.