Rate this post

Giao diện quản trị viên có thể hiện diện trong ứng dụng hoặc trên máy chủ ứng dụng để cho phép một số người dùng nhất định thực hiện các hoạt động đặc quyền trên trang web. Các thử nghiệm nên được thực hiện để tiết lộ liệu và cách thức chức năng đặc quyền này có thể được truy cập bởi người dùng trái phép hoặc tiêu chuẩn.

Các bài viết liên quan:

Một ứng dụng có thể yêu cầu giao diện quản trị viên để cho phép người dùng có đặc quyền truy cập vào chức năng có thể thực hiện các thay đổi đối với cách trang web hoạt động. Những thay đổi đó có thể bao gồm:

  • Cấp phép tài khoản người dùng
  • Thiết kế và bố trí trang web
  • Thao tác dữ liệu
  • Thay đổi cấu hình

Trong nhiều trường hợp, các giao diện như vậy không có đủ các biện pháp kiểm soát để bảo vệ chúng khỏi bị truy cập trái phép. Kiểm tra nhằm mục đích khám phá các giao diện quản trị viên này và truy cập chức năng dành cho người dùng đặc quyền.

Xem thêm Nguyên tắc của an ninh mạng

Mục tiêu kiểm tra Liệt kê resource và Admin Interfaces

Xác định các giao diện và chức năng quản trị viên ẩn.

Làm thế nào để kiểm tra Liệt kê resource và Admin Interfaces

Black-Box Testing

Phần sau đây mô tả các vectơ có thể được sử dụng để kiểm tra sự hiện diện của các giao diện quản trị. Các kỹ thuật này cũng có thể được sử dụng để kiểm tra các vấn đề liên quan bao gồm cả việc leo thang đặc quyền và được mô tả ở những nơi khác trong hướng dẫn này (ví dụ: Kiểm tra để bỏ qua lược đồ ủy quyền và Kiểm tra đối với các Tham chiếu Đối tượng Trực tiếp Không an toàn một cách chi tiết hơn.

Thư mục và liệt kê tệp. Có thể có giao diện quản trị nhưng không hiển thị cho người thử nghiệm. Cố gắng đoán đường dẫn của giao diện quản trị có thể đơn giản như yêu cầu: / admin hoặc / administrator, v.v. hoặc trong một số trường hợp có thể được tiết lộ trong vài giây bằng cách sử dụng Google dorks.

Có nhiều công cụ có sẵn để thực hiện cưỡng bức nội dung máy chủ, hãy xem phần công cụ bên dưới để biết thêm thông tin. Người kiểm tra cũng có thể phải xác định tên tệp của trang quản trị. Việc duyệt cưỡng bức đến trang đã xác định có thể cung cấp quyền truy cập vào giao diện.

Nhận xét và liên kết trong mã nguồn. Nhiều trang web sử dụng mã chung được tải cho tất cả người dùng trang web. Bằng cách kiểm tra tất cả các nguồn được gửi đến máy khách, các liên kết đến chức năng của quản trị viên có thể được phát hiện và cần được điều tra.

Xem xét tài liệu máy chủ và ứng dụng. Nếu máy chủ ứng dụng hoặc ứng dụng được triển khai ở cấu hình mặc định của nó, bạn có thể truy cập giao diện quản trị bằng cách sử dụng thông tin được mô tả trong tài liệu cấu hình hoặc trợ giúp. Danh sách mật khẩu mặc định nên được tham khảo nếu tìm thấy giao diện quản trị và thông tin đăng nhập được yêu cầu.

Thông tin công khai có sẵn. Nhiều ứng dụng như WordPress có giao diện quản trị mặc định.

Cổng máy chủ thay thế. Các giao diện quản trị có thể được nhìn thấy trên một cổng khác trên máy chủ với ứng dụng chính. Ví dụ: giao diện Apache Tomcat’s Administration thường có thể được nhìn thấy trên cổng 8080.

Xem thêm Classification trong Neural Network sử dụngTensorFlow

Giả mạo tham số. Tham số GET hoặc POST hoặc biến cookie có thể được yêu cầu để kích hoạt chức năng quản trị viên. Các manh mối cho điều này bao gồm sự hiện diện của các trường ẩn như:

<input type = "hidden" name = "admin" value = "no">

hoặc trong một cookie:

Cookie: session_cookie; useradmin = 0

Khi một giao diện quản trị đã được phát hiện, sự kết hợp của các kỹ thuật trên có thể được sử dụng để tìm cách bỏ qua xác thực. Nếu điều này không thành công, người thử nghiệm có thể muốn thử một cuộc tấn công vũ phu. Trong trường hợp như vậy, người thử nghiệm nên biết khả năng bị khóa tài khoản quản trị nếu chức năng đó có mặt.

Gray-Box Testing

Cần tiến hành kiểm tra chi tiết hơn về máy chủ và các thành phần ứng dụng để đảm bảo cứng (tức là mọi người không thể truy cập các trang của quản trị viên thông qua việc sử dụng lọc IP hoặc các điều khiển khác) và nếu có thể, xác minh rằng tất cả các thành phần không sử dụng thông tin đăng nhập mặc định hoặc cấu hình. Mã nguồn nên được xem xét lại để đảm bảo rằng mô hình ủy quyền và xác thực đảm bảo phân tách rõ ràng các nhiệm vụ giữa người dùng bình thường và quản trị viên trang web. Các chức năng giao diện người dùng được chia sẻ giữa người dùng bình thường và người dùng quản trị viên cần được xem xét để đảm bảo tách biệt rõ ràng giữa bản vẽ của các thành phần đó và sự rò rỉ thông tin từ chức năng được chia sẻ đó.

Mỗi Framework web có thể có các trang hoặc đường dẫn mặc định dành cho quản trị viên của riêng nó. Ví dụ

WebSphere:

/admin
/admin-authz.xml
/admin.conf
/admin.passwd
/admin/*
/admin/logon.jsp
/admin/secure/logon.jsp

PHP:

/phpinfo
/phpmyadmin/
/phpMyAdmin/
/mysqladmin/
/MySQLadmin
/MySQLAdmin
/login.php
/logon.php
/xmlrpc.php
/dbadmin

FrontPage:

/admin.dll
/admin.exe
/administrators.pwd
/author.dll
/author.exe
/author.log
/authors.pwd
/cgi-bin

WebLogic:

/AdminCaptureRootCA
/AdminClients
/AdminConnections
/AdminEvents
/AdminJDBC
/AdminLicense
/AdminMain
/AdminProps
/AdminRealm
/AdminThreads

WordPress:

wp-admin/
wp-admin/about.php
wp-admin/admin-ajax.php
wp-admin/admin-db.php
wp-admin/admin-footer.php
wp-admin/admin-functions.php
wp-admin/admin-header.php

Xem thêm Interface trong GO

Công cụ kiểm tra Liệt kê resource và Admin Interfaces

  • OWASP ZAP – Forced Browse 
  • THC-HYDRA là một công cụ brutal force, bao gồm xác thực HTTP dựa trên biểu mẫu.
  • Một brute forcer tốt hơn nhiều khi nó sử dụng một từ điển tốt, ví dụ như từ điển netsparker .

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Contact Me on Zalo
Call now