Computer Security

Tìm hiểu tấn công Forced browsing

Posted on by Dục Đoàn Trình
Rate this post

Forced browsing là một cuộc tấn công mà mục đích là liệt kê và truy cập các tài nguyên không được ứng dụng tham chiếu đến, nhưng vẫn có thể truy cập được.

Kẻ tấn công có thể sử dụng các kỹ thuật Brute Force để tìm kiếm nội dung không được liên kết trong thư mục miền, chẳng hạn như các thư mục và tệp tạm thời cũng như các tệp cấu hình và sao lưu cũ. Các tài nguyên này có thể lưu trữ thông tin nhạy cảm về các ứng dụng web và hệ thống hoạt động, chẳng hạn như mã nguồn, thông tin đăng nhập, địa chỉ mạng nội bộ, v.v., do đó được coi là tài nguyên có giá trị cho những kẻ xâm nhập.

Các bài viết liên quan:

Cuộc tấn công này được thực hiện theo cách thủ công khi các thư mục và trang lập chỉ mục ứng dụng dựa trên việc tạo số hoặc các giá trị có thể dự đoán hoặc sử dụng các công cụ tự động cho các tệp và tên thư mục phổ biến.

Cuộc tấn công này còn được gọi là Vị trí tài nguyên có thể đoán trước, Liệt kê tệp, Liệt kê thư mục và Liệt kê tài nguyên.

Khái niệm về tấn công Forced browsing

Tấn công Forced browsing (hay còn được gọi là tấn công directory traversal) là một phương pháp tấn công trong lĩnh vực bảo mật web. Tấn công này nhằm mục đích truy cập và khai thác các tài nguyên trên máy chủ web mà không thông qua các kênh chính thức.

Trong tấn công Forced browsing, kẻ tấn công sử dụng các kỹ thuật để duyệt qua các tài nguyên, thư mục, hoặc các đường dẫn trên máy chủ web để truy cập vào các tài liệu, tệp tin hoặc thông tin quan trọng mà không được phép. Thông thường, kẻ tấn công sẽ tìm kiếm và khai thác những lỗi hoặc thiếu sót trong việc quản lý, kiểm soát truy cập và phân quyền trên máy chủ web.

Tấn công Forced browsing có thể dẫn đến nhiều hậu quả nghiêm trọng, bao gồm việc tiếp cận, ăn cắp hoặc sửa đổi thông tin nhạy cảm, tạo ra sự cố bảo mật, hoặc lộ thông tin quan trọng từ máy chủ web.

Để phòng ngừa tấn công Forced browsing, các biện pháp bảo mật cần được áp dụng, bao gồm:

  1. Kiểm tra và xác thực người dùng: Đảm bảo rằng người dùng chỉ có quyền truy cập vào các tài nguyên và chức năng mà họ được phép sử dụng.
  2. Xác định và giới hạn quyền truy cập: Đặt các chính sách quyền truy cập cẩn thận và hạn chế quyền truy cập vào các thư mục và tệp tin quan trọng.
  3. Kiểm tra và bảo vệ thông tin quan trọng: Đảm bảo rằng các tài liệu và thông tin quan trọng được bảo vệ an toàn và không thể truy cập trái phép.
  4. Cập nhật và áp dụng các bản vá bảo mật: Đảm bảo máy chủ web được cài đặt và cập nhật các bản vá bảo mật để khắc phục các lỗ hổng đã biết.
  5. Giám sát và kiểm tra bảo mật: Theo dõi và kiểm tra thường xuyên các hoạt động trên máy chủ web để phát hiện và ngăn chặn các hành vi tấn công.

Tổ chức và nhà phát triển web nên chú trọng đến việc nâng cao bảo mật và phòng ngừa tấn công Forced browsing để bảo vệ thông tin và tài nguyên quan trọng của họ trên môi trường web.

Xem thêm Lý thuyết số học trong mã hóa

Cách tấn công Forced browsing hoạt động

Tấn công Forced browsing hoạt động bằng cách kẻ tấn công sử dụng các kỹ thuật để duyệt qua các tài nguyên, thư mục hoặc đường dẫn trên máy chủ web mà không được phép. Dưới đây là một số cách thức thường được sử dụng trong tấn công Forced browsing:

  1. Duyệt qua các đường dẫn chuẩn: Kẻ tấn công thử các đường dẫn chuẩn hoặc các tên tệp tin thông thường như “index.html”, “admin.php” hoặc “login.aspx” để truy cập vào các trang hoặc chức năng quan trọng.
  2. Sử dụng các tham số và phần tử URL: Kẻ tấn công thêm các tham số hoặc phần tử URL như “..”, “/”, “”, “//” để thử điều hướng và truy cập vào các thư mục hoặc tệp tin khác.
  3. Sử dụng danh sách từ điển: Kẻ tấn công sử dụng danh sách từ điển chứa các từ khóa, tên thư mục hoặc tên tệp tin có thể tồn tại trên máy chủ web để thử duyệt qua các đường dẫn.
  4. Sử dụng công cụ tự động: Kẻ tấn công sử dụng các công cụ tự động để thực hiện việc duyệt qua các đường dẫn và tìm kiếm các tài nguyên quan trọng.

Khi kẻ tấn công thành công trong việc truy cập vào các tài nguyên không được phép, họ có thể tiến hành các hành động tiêu cực như xem, thay đổi, xóa hoặc ăn cắp thông tin quan trọng, thậm chí là thực hiện các tấn công khác như SQL Injection hoặc Cross-Site Scripting.

Để ngăn chặn tấn công Forced browsing, các biện pháp bảo mật sau có thể được áp dụng:

  • Xác thực và kiểm tra quyền truy cập của người dùng.
  • Thiết lập các chính sách phân quyền chặt chẽ để hạn chế quyền truy cập vào các thư mục và tệp tin quan trọng.
  • Kiểm tra và xử lý các tham số và đường dẫn nhập vào để đảm bảo tính hợp lệ và an toàn.
  • Sử dụng các công cụ và giải pháp bảo mật để giám sát và phát hiện các hoạt động tấn công.
  • Cập nhật và áp dụng các bản vá bảo mật để khắc phục các lỗ hổng bảo mật trên máy chủ web.
  • Đào tạo và nâng cao nhận thức bảo mật cho nhân viên về các nguy cơ và biện pháp bảo vệ khỏi tấn công Forced browsing.

Việc thực hiện các biện pháp bảo mật này sẽ giúp ngăn chặn kẻ tấn công truy cập vào các tài nguyên không được phép và bảo vệ thông tin quan trọng trên môi trường web.

Xem thêm Phát hiện và phục hồi Deadlock trong hệ điều hành

Tác hại của tấn công Forced browsing

Tấn công Forced browsing có thể gây ra nhiều hậu quả nghiêm trọng cho hệ thống và ứng dụng web, bao gồm:

  1. Tiết lộ thông tin nhạy cảm: Kẻ tấn công có thể truy cập vào các tài nguyên không được công khai, bao gồm các tệp tin, thư mục hoặc trang web bị ẩn, và thu thập thông tin nhạy cảm như tên người dùng, mật khẩu, thông tin tài khoản ngân hàng hoặc dữ liệu cá nhân của người dùng.
  2. Đánh cắp thông tin: Khi tấn công Forced browsing thành công, kẻ tấn công có thể tải xuống, sao chép hoặc lưu trữ các tệp tin quan trọng từ máy chủ web, bao gồm cả cơ sở dữ liệu hoặc các tệp tin chứa thông tin quan trọng.
  3. Đánh sập hệ thống: Kẻ tấn công có thể thực hiện các tấn công phức tạp hơn bằng cách thay đổi hoặc xóa các tệp tin hoặc thư mục quan trọng trên máy chủ web, gây ra sự mất cân bằng và làm cho hệ thống không hoạt động đúng cách.
  4. Tiến hành các cuộc tấn công khác: Tấn công Forced browsing có thể làm nền tảng cho các cuộc tấn công khác như SQL Injection, Cross-Site Scripting (XSS) hoặc tấn công phần mềm độc hại.

Tất cả những hậu quả trên đều có thể dẫn đến thiệt hại về an ninh thông tin, sự mất tin cậy của hệ thống, mất nguồn lực hoặc ảnh hưởng tiêu cực đến danh tiếng của tổ chức hoặc doanh nghiệp. Do đó, việc ngăn chặn và bảo vệ khỏi tấn công Forced browsing là rất quan trọng để đảm bảo an toàn và bảo mật cho môi trường web.

Xem thêm Truy vấn Plan Cache Commands trong MongoDB

Phương pháp phòng ngừa tấn công Forced browsing

Để phòng ngừa tấn công Forced browsing, bạn có thể thực hiện các biện pháp sau đây:

  1. Xác thực và ủy quyền: Xác thực và ủy quyền là một phần quan trọng trong việc bảo vệ chống lại tấn công Forced browsing. Hãy đảm bảo rằng chỉ người dùng có quyền truy cập được ủy quyền vào các tài nguyên và chức năng cần thiết.
  2. Kiểm tra và xử lý đầu vào: Đảm bảo rằng các tham số đầu vào từ người dùng được kiểm tra và xử lý đúng cách. Hạn chế hoặc xóa bỏ bất kỳ ký tự đặc biệt nào có thể gây ảnh hưởng đến các yêu cầu và URL.
  3. Xây dựng hệ thống phân quyền: Xác định và áp dụng các quyền truy cập cho người dùng dựa trên vai trò và truy cập vào các tài nguyên. Điều này giúp hạn chế khả năng truy cập trái phép vào các phần của ứng dụng hoặc dữ liệu nhạy cảm.
  4. Mã hóa dữ liệu: Sử dụng các phương thức mã hóa dữ liệu để bảo vệ thông tin nhạy cảm trong quá trình truyền và lưu trữ. Điều này giúp tránh việc kẻ tấn công có thể đọc hoặc sửa đổi dữ liệu quan trọng.
  5. Kiểm tra và cập nhật hệ thống: Thường xuyên kiểm tra và cập nhật hệ thống, bao gồm cả phần mềm và các thành phần phụ thuộc. Điều này đảm bảo rằng các lỗ hổng bảo mật mới không được khai thác để thực hiện tấn công Forced browsing.
  6. Sử dụng công cụ bảo mật: Sử dụng các công cụ bảo mật để giám sát và phát hiện các hoạt động không mong muốn trên ứng dụng web. Các công cụ này có thể giúp phát hiện và chặn các yêu cầu đáng ngờ hoặc không hợp lệ.
  7. Đào tạo nhân viên: Đào tạo nhân viên về các nguy cơ và biện pháp bảo mật là rất quan trọng. Nhân viên cần hiểu rõ về các tác động của tấn công Forced browsing và biết cách ứng phó và báo cáo khi phát hiện bất kỳ hoạt động đáng ngờ nào.

Bằng cách kết hợp các biện pháp phòng ngừa trên, bạn có thể gia tăng khả năng chống lại tấn công Forced browsing và đảm bảo an toàn cho ứng dụng web của mình.

Công cụ và kỹ thuật phát hiện tấn công Forced browsing

Để phát hiện tấn công Forced browsing, bạn có thể sử dụng các công cụ và kỹ thuật sau:

  1. Web Application Firewalls (WAF): WAF là một loại công cụ bảo mật mạng được sử dụng để giám sát và lọc các yêu cầu web đến ứng dụng. Nó có thể phát hiện và chặn các hoạt động không mong muốn, bao gồm cả tấn công Forced browsing. Một số ví dụ về WAF là ModSecurity và Cloudflare WAF.
  2. Log Analysis: Phân tích các bản ghi log của máy chủ web và ứng dụng có thể giúp xác định các yêu cầu không hợp lệ hoặc bất thường. Bạn có thể tìm kiếm các biểu hiện của tấn công Forced browsing trong log file như các yêu cầu không hợp lệ hoặc lạ, các URL không tồn tại, hoặc các yêu cầu không phù hợp với quy tắc truy cập.
  3. Penetration Testing: Sử dụng kỹ thuật kiểm thử xâm nhập, bạn có thể thử nghiệm tính bảo mật của ứng dụng web và phát hiện các lỗ hổng bảo mật có thể dẫn đến tấn công Forced browsing. Bằng cách xác định các kịch bản tấn công và kiểm tra sự phản ứng của ứng dụng, bạn có thể tìm ra các điểm yếu và khắc phục chúng.
  4. Honeypot: Sử dụng kỹ thuật honeypot, bạn có thể tạo ra các tài nguyên giả mạo trong ứng dụng để thu hút và ghi lại các hoạt động của kẻ tấn công. Bằng cách theo dõi và phân tích các hoạt động trong honeypot, bạn có thể phát hiện các cố gắng tấn công Forced browsing.
  5. Sử dụng các công cụ kiểm tra tự động: Có nhiều công cụ kiểm tra tự động có thể giúp bạn phát hiện các lỗ hổng bảo mật và tấn công Forced browsing trong ứng dụng web của mình. Một số công cụ phổ biến là OWASP ZAP, Burp Suite, và Nikto.

Tuy nhiên, lưu ý rằng không có công cụ nào có thể phát hiện tất cả các tấn công Forced browsing. Do đó, việc kết hợp nhiều phương pháp và công cụ là quan trọng để tăng khả năng phát hiện và ngăn chặn tấn công này.

Xem thêm 100+ bài tập Java

Các ví dụ về Forced browsing

ví dụ 1

Ví dụ này trình bày một kỹ thuật tấn công Vị trí Tài nguyên Có thể Dự đoán, dựa trên việc xác định tài nguyên theo hướng thủ công và có định hướng bằng cách sửa đổi các tham số URL. Người dùng1 muốn kiểm tra chương trình trực tuyến của họ thông qua URL sau:

www.site-example.com/users/calendar.php/user1/20070715

Trong URL, có thể xác định tên người dùng (â € œuser1â €) và ngày (mm / dd / yyyy). Nếu người dùng cố gắng thực hiện một cuộc tấn công duyệt web cưỡng bức, họ có thể đoán chương trình làm việc của người dùng khác bằng cách dự đoán ngày và nhận dạng người dùng, như sau:

 www.site-example.com/users/calendar.php/user6/20070716

Cuộc tấn công có thể được coi là thành công khi truy cập vào chương trình làm việc của người dùng khác. Việc triển khai không tốt cơ chế ủy quyền đã góp phần vào thành công của cuộc tấn công này.

Ví dụ 2

Ví dụ này trình bày một cuộc tấn công liệt kê tệp và thư mục tĩnh bằng cách sử dụng một công cụ tự động.

Một công cụ quét, như Nikto, có khả năng tìm kiếm các tệp và thư mục hiện có dựa trên cơ sở dữ liệu gồm các tài nguyên biết rõ, chẳng hạn như:

/ system / / password / / logs / / admin / / test /

Khi công cụ nhận được thông báo â € œHTTP 200â €, điều đó có nghĩa là tài nguyên đó đã được tìm thấy và cần được kiểm tra thủ công để tìm thông tin có giá trị.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Contact Me on Zalo
Call now