Vulnerability
Failure to restrict URL Access
تعتبر أحدى الثغرات الشائعة في قائمة
OWASP Top 10
- تعريفها :-
عندما يفشل تطبيق الويب في تقييد الوصول للمسارات أو الصفحات التي لايحق للمتصفحين الوصول لها
يحاول المهاجم جمع بيانات حساسة من خلال متصفح الويب
عن طريق طلب وتخمين صفحات معينة أو مسارات أو ملفات بيانات ،يمكن للمهاجم تجاوز أمان موقع الويب عن طريق الوصول إلى الملفات مباشرة بدلاً من المسارات المعروفه والموجودة في الموقع.
ماهي مخاطر الثغرة ؟
تكمن خطورة الثغره في أن المهاجم يستطيع الوصول إلى ملفات مصدر البيانات مباشرةً
ويمكن للمهاجم بعد ذلك تخمين أسماء ملفات النسخ الاحتياطي التي تحتوي على معلومات حساسة ،وتحديد موقع وقراءة التعليمات البرمجية المصدر ، أو المعلومات الأخرى المتبقية على الخادم
كيف تحدث هذه الثغرة ؟
تحدث عندما يكون هناك خطأ في إعدادات التحكم في الوصول بحيث يستطيع متصفحي الموقع الوصول إلى الصفحات التي من المفترض أن تكون مقيدة أو مخفية.
يمثل هذا مصدر قلق أمني لأن هذه الصفحات غالبًا ما تكون أقل حماية من الصفحات المخصصة للوصول العام.
Example:
Attacker notices the URL indicates the role as "/user/getaccounts."
He modifies as "/admin/getaccounts"
http://vulnxx.com
can be modified as
http://vulnxx.com/admin
: توجد العديد من المسارات التي غالباً مايبحث عنها المهاجم مثل
- robots.txt
- config.