Video: Bir Programın İnternet İle Bağlantısını Kesme 2024
Bazı web siteleri ve uygulamalar gizli alanları web sayfalarına katıştırıp geçirmek için katıştırır web sunucusu ile tarayıcı arasındaki durum bilgileri. Gizli alanlar bir web formunda olduğu gibi temsil edilir.
Kötü kodlama uygulamaları nedeniyle, gizli alanlar genellikle yalnızca bir arka uç veritabanında depolanması gereken gizli bilgileri (bir e-ticaret sitesinde ürün fiyatları gibi) içerir. Kullanıcılar gizli alanları görmemeli - dolayısıyla adı - ancak meraklı saldırgan bunları keşfedebilir ve bunlardan yararlanabilir:
-
Kaynak kodunu Internet Explorer'da görmek için Sayfa → Kaynağı Göster'i seçin. Firefox'ta, Görünüm → Sayfa Kaynağı'nı seçin.
-
Bu alanlarda saklanan bilgileri değiştirin.
Örneğin, kötü amaçlı bir kullanıcı fiyatı 100 $ 'dan 10 $' a değiştirebilir.
-
Sayfayı tekrar sunucuya yeniden gönderin.
Bu adım, saldırganın web satın alımında daha düşük bir fiyat gibi kötü kazanılmış kazançlar elde etmesini sağlar.
Kimlik doğrulama (oturum açma) mekanizmaları için gizli alanların kullanılması özellikle tehlikeli olabilir. Kullanıcıların oturum açmaya çalıştıklarını izlemek için gizli bir alana dayanan çok faktörlü bir kimlik doğrulama saldırganının kilitleme sürecine rastlanabilirsin. Bu değişken, her bir giriş denemesi için sıfıra sıfırlanabilir ve böylece bir betikli sözlük veya kaba kuvvet uygulamasını kolaylaştırabilir giriş saldırısı.
Web Proxy (webInspect ile birlikte gönderilir) veya Paros Proxy gibi çeşitli araçlar gizli alanları kolaylıkla değiştirebilir.
Gizli alanları görürseniz, yapılabilecekleri görmek için onları manipüle etmeyi deneyebilirsiniz. Bu kadar basit.
