Vidéo: Voici comment hacker bit.ly le célèbre raccourcisseur d'URL ! 2025
Un hack d'entrée automatisé manipule une URL et la renvoie au serveur, indiquant à l'application Web de faire diverses choses, telles que la redirection sur des sites tiers, chargez les fichiers sensibles sur le serveur, etc. L'inclusion de fichiers locaux est l'une de ces vulnérabilités.
C'est à ce moment-là que l'application Web accepte les entrées basées sur l'URL et renvoie le contenu du fichier spécifié à l'utilisateur. Par exemple, dans une situation, webInspect a envoyé quelque chose de similaire à la requête suivante et a renvoyé le fichier passwd du serveur Linux:
// www. your_web_app. com / onlineserv / Commander. CGI? state = detail & language = anglais & imageSet = / … / … // … / … // … / … // … / … /// etc / passwd
Les liens suivants montrent un autre exemple de tromperie URL appelée redirection d'URL:
// www. your_web_app. com / erreur. aspx? PURL = // www. Mauvais ~ site. com & ERROR = Le chemin + 'OPTIONS' + est + interdit. // www. your_web_app. com / sortie. aspic? URL = // www. Mauvais ~ site. com
Dans les deux cas, un attaquant peut exploiter cette vulnérabilité en envoyant le lien à des utilisateurs qui ne se doutent de rien par e-mail ou en le publiant sur un site Web. Lorsque les utilisateurs cliquent sur le lien, ils peuvent être redirigés vers un site tiers malveillant contenant des logiciels malveillants ou des contenus inappropriés.
Si vous n'avez que le temps, vous pourriez découvrir ces types de vulnérabilités manuellement. Cependant, dans l'intérêt de la santé mentale (et de la précision), ces attaques sont mieux exécutées en exécutant un scanner de vulnérabilité Web car elles peuvent détecter la faiblesse en envoyant des centaines et centaines d'itérations d'URL au système Web très rapidement.
