Vidéo: The Dawn of Killer Robots (Full Length) 2024
Certains sites Web et applications intègrent des champs cachés dans les pages Web. informations d'état entre le serveur Web et le navigateur. Les champs masqués sont représentés dans un formulaire Web en tant que.
En raison des mauvaises pratiques de codage, les champs cachés contiennent souvent des informations confidentielles (telles que les prix des produits sur un site de commerce électronique) qui ne devraient être stockées que dans une base de données principale. Les utilisateurs ne devraient pas voir les champs cachés - d'où le nom - mais l'attaquant curieux peut les découvrir et les exploiter avec ces étapes:
-
Pour voir le code source dans Internet Explorer, choisissez Page → Afficher la source. Dans Firefox, choisissez Affichage → Source de la page.
-
Modifiez les informations stockées dans ces champs.
Par exemple, un utilisateur malveillant peut changer le prix de 100 $ à 10 $.
-
Reportez la page au serveur.
Cette étape permet à l'attaquant d'obtenir des gains mal acquis, tels qu'un prix inférieur sur un achat en ligne.
L'utilisation de champs cachés pour les mécanismes d'authentification (login) peut être particulièrement dangereuse. Vous pourriez rencontrer un processus de verrouillage d'intrus d'authentification multifacteur qui repose sur un champ caché pour suivre le nombre de tentatives de connexion de l'utilisateur. Cette variable peut être remise à zéro pour chaque tentative de connexion et faciliter ainsi un dictionnaire ou une force brute scriptée. attaque de connexion.
Plusieurs outils, tels que Web Proxy (fourni avec webInspect) ou Paros Proxy, peuvent facilement manipuler les champs cachés.
Si vous trouvez des champs cachés, vous pouvez essayer de les manipuler pour voir ce qui peut être fait. C'est aussi simple que ça.
