Video: ALGORITHM: The Hacker Movie 2024
Alcuni siti Web e applicazioni incorporano campi nascosti all'interno di pagine Web per hackerare e passare informazioni sullo stato tra il server Web e il browser. I campi nascosti sono rappresentati in un modulo web come.
A causa delle cattive pratiche di codifica, i campi nascosti spesso contengono informazioni riservate (come i prezzi dei prodotti su un sito di e-commerce) che dovrebbero essere archiviate solo in un database di back-end. Gli utenti non dovrebbero vedere i campi nascosti, da cui il nome, ma il curioso aggressore può scoprirli e sfruttarli con questi passaggi:
-
Per vedere il codice sorgente in Internet Explorer, selezionare Pagina → Visualizza sorgente. In Firefox, seleziona Visualizza → Sorgente pagina.
-
Modifica le informazioni memorizzate in questi campi.
Ad esempio, un utente malintenzionato potrebbe modificare il prezzo da $ 100 a $ 10.
-
Ripubblica la pagina sul server.
Questo passaggio consente all'aggressore di ottenere guadagni illeciti, ad esempio un prezzo inferiore su un acquisto web.
L'utilizzo di campi nascosti per i meccanismi di autenticazione (login) può essere particolarmente pericoloso. Si può incontrare un processo di blocco dell'intrusione di autenticazione multifattore che si basa su un campo nascosto per tracciare il numero di volte in cui l'utente ha tentato l'accesso. Questa variabile può essere azzerata per ogni tentativo di accesso e quindi facilitare un dizionario o una forza bruta attacco di accesso.
Diversi strumenti, come Proxy Web (fornito con webInspect) o Paros Proxy, possono facilmente manipolare i campi nascosti.
Se incontri campi nascosti, puoi provare a manipolarli per vedere cosa si può fare. E 'così semplice.
