Forced Browsing’in anlamı Zorlu Taramadır. Kaliteli bir açıktır, OWASP’da ilk 10’da yer aldı. Amacı uygulama tarafından başvurulan ama erişilemeyen kaynaklara erişmek için yapılan saldırı türüdür. Saldırgan geçici dizin ve dosyalarını Brute Force teknikleri ile bulabilir. Bu kaynaklar böylece üye olmayanların kaynağın görmesini sağlıyor. Forced Browsing açıklı siteler de kaynak kodları, kimlik bilgileri telefon numaraları gibi hassas bilgiler yer alabilir. Arkadaşlar bu saldırı yapmak için tahmin yeteneğimizin iyi olması gerekmektedir. Ama hiç araştırmadım araştırırsanız Tool bulabilirsiniz. Bu saldırı aynı zamanda tahmin edilebilir kaynak konumu olarak bilinir. Örnek 1:
Bu örnek URL’deki parametreleri değiştirerek Forced Browsing yapacağız. CW1 adlı kullanıcı alttaki URL üzerinden kendini takip etmek istiyor.
www.hedef-site.com/kullanicilar/takvim.php/cw1/20130818
URL olarak kullanıcı ismi (CW1) ve tarihi (20/08/2013) gibi tanımlamak mümkündür. Saldırgan forced browsing saldırısı yapmak için, başka bir kullanıcı’ya tahmin edebileceği tarihi bulursa saldırı gerçekleşmiş olur.
www.hedef-site.com/kullanicilar/calendar.php/systoxic/20130820
Saldırgan SysToxic adlı kullanıcıyı böylece bilgilerini bulabilir.
Özetleyecek olursak Forced Browsing üzerinden bilgilere ulaşabiliriz. Config okuyabiliriz. Sanırsam bu açık fazla yok hatta hiç yok. Makale çevirilmiştir. İngilizcem bu kadar kusura bakmayın, eğer hatalarım olduysa. Affola. Örnek Resim;
Hiç yorum yok: