დაუცველი ობიექტის პირდაპირ მითითება

ობიექტის პირდაპირ მითითება ხდება როდესაც პროგრამერის დაუფიქრობის გამო ხელმისაწვდომი არის ობიექტის შიდა სტრუქტურები, მაგალითად ფაილი, პაპკა ან მონაცემის ბაზის გასაღები. აუთინთირების ან სხვა დაცვის მექანიზმის გარეშე, ჰაკერს შეუძლია ამ მითითებების მანიპულირება ისე რომ მიაღწიოს მონაცემებს აუთინთერობის გარეშე.

Directory traversal

ამ კატეგორიის ერთერთი სისუსტის მაგალითია “directory traversal”, რაც საშუალებას იძლევა რომ პაროლები მოიპოვოს, იუნიქსში ეს არის /etc/passwd ფაილი.

Burp

Burp-ი არის ვებ პროგრამების ანალიზის ხელსაწყო Java-სი დაწერილი. Burp-ს არგრეთვე შეუძლია პროქსის როლი შეასრულოს, ამისთვის დააკონფიგურე FoxyProxy-ითი, გაუშვი Burp-ი, ვებ ბრაუზერით გადი მსხვერპლის ვებ საიტზე.

WebGoat-ში, შეარჩი მარცხენა მენიუში Access Control Flaws და როცა ჩამოიშლება მენიუ შეარჩიე Bypass a Path Based Access Control Scheme.

Burp-ის მარცხენა მხარეს URL-ს (http://localhost/WebGoat/attack?Screen=17&menu=200) დაუწკაპუნე მაუსით მარჯვენა ნაწილით და სეარჩიე “send to repeater”. “repeater”-ის tab-ში შეცვალე აღმოჩენილი პარამეტრის მონაცემი როგორც გსურს.

ქსელი/http/პირდაპირ_მითითება.txt · Last modified: 2012/06/27 18:04 by dzvelivereli
Back to top
Public Domain
chimeric.de = chi`s home Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0