יישומי אינטרנט הם מרכיבים מכריעים במתן שירותים באינטרנט.

זה כבר לא חדשות שרבים סבלו מפגיעות אבטחה. אתר אינטרנט יכול לחשוף אנשים לסיכון משמעותי אם הוא אינו מוגן כראוי.

תוקפים יכולים לגשת לדפים מוגבלים ולנתוני משתמש חסויים באמצעות מספר טכניקות, כולל גלישה כפויה.

במאמר זה, נדון במושג גלישה כפויה וכיצד היא פועלת.

מהי גלישה מאולצת?

גלישה מאולצת היא טכניקה המשמשת תוקפים כדי לקבל גישה לדפי אינטרנט מוגבלים, או למשאבים אחרים, על ידי מניפולציה של כתובת האתר. זה מכונה גם גלישה כוחנית. בדיוק כפי שהשם מרמז, תוקף גולש בכוח במשאב שאין לו הרשאה עבורו.

התקפה כזו מכוונת לקבצים בספריית שרת האינטרנט, או לכתובות URL מוגבלות, שאינן בודקות הרשאה.

משאבים אלו רווחיים לתוקפים אם הם מכילים נתונים רגישים. זה יכול להיות על האתר עצמו או על לקוחות האתר. נתונים רגישים עשויים לכלול:

  • אישורים
  • קוד מקור
  • קבצי גיבוי
  • יומנים
  • תְצוּרָה
  • פרטי רשת פנימיים

אם אתר אינטרנט יכול ליפול קורבן להתקפת גלישה מאולצת אז הוא אינו מאובטח כראוי.

ההרשאה צריכה להבטיח שלמשתמשים תהיה הרשאה מתאימה כדי לגשת לדפים מוגבלים. המשתמשים מספקים את פרטי ההתחברות שלהם, כמו שם משתמש וסיסמה, לפני שהם מתירים גישה. גלישה כפויה מנסה לעקוף את הגדרות האבטחה הללו על ידי בקשת גישה לנתיבים מוגבלים. הוא בודק אם הוא יכול לגשת לדף מבלי לספק אישורים חוקיים.

instagram viewer

איך עובדת גלישה מאולצת?

גלישה כפויה היא בעיה נפוצה באתרים שיש להם תפקידי משתמש שונים כגון משתמשים רגילים ומשתמשי אדמין. כל משתמש מתחבר מאותו עמוד אך יש לו גישה לתפריטים ואפשרויות שונות. עם זאת, אם הדפים שהתפריטים האלה מובילים אליהם אינם מאובטחים, משתמש עשוי לנחש את שמו של דף חוקי ולנסות לגשת ישירות לכתובת האתר שלו.

מספר תרחישים מראים כיצד פועלת גלישה מאולצת, בין אם היא נעשית באופן ידני או באמצעות כלי אוטומטי. בואו נסתכל על כמה מקרים.

1. דף חשבון לא מאובטח

משתמש נכנס לאתר וכתובת האתר של דף החשבון שלו היא www.example.com/account.php? משתמש=4. המשתמש יכול להמשיך לעשות סיבוב מספרים ולשנות את כתובת האתר ל-www.example.com/account.php? משתמש=6. אם הדף נפתח, הם יוכלו לגשת למידע של המשתמש האחר מבלי שיצטרך לדעת את פרטי הכניסה שלו.

2. דף הזמנות לא מאובטח

משתמש עם חשבון באתר מסחר אלקטרוני צופה באחת מההזמנות שלו בכתובת www.example.com/orders/4544. כעת הם משנים את מזהה ההזמנה באופן אקראי ל-www.example.com/orders/4546. אם לדף ההזמנות יש חולשת גלישה מאולצת, התוקף עלול לגלות פרטים של המשתמש עם ההזמנה הזו. לכל הפחות, הם יאחזרו מידע על הזמנה שאינה שלהם.

3. סריקת כתובת URL

תוקף עושה שימוש בכלי סריקה כדי לחפש ספריות וקבצים במערכת הקבצים של שרת האינטרנט. זה עשוי לסרוק שמות נפוצים של קבצי מנהל, סיסמה ויומן. אם הכלי מקבל תגובת HTTP מוצלחת, זה מרמז שקיים משאב תואם. אז התוקף ימשיך ויגש לקבצים.

שיטות גלישה מאולצות

תוקף יכול לבצע מתקפת גלישה מאולצת באופן ידני או עם כלים אוטומטיים.

בגלישה כוחנית ידנית, התוקף משתמש בטכניקת סיבוב מספרים, או מנחש נכון את השם של ספרייה או קובץ ומקליד אותו בשורת הכתובת. שיטה זו קשה יותר משימוש בכלים אוטומטיים מכיוון שהתוקף לא יכול לשלוח בקשות באופן ידני בכל דבר שדומה באותה תדירות.

גלישה כפויה בעזרת כלים אוטומטיים כרוכה בשימוש בכלי לסריקה אחר ספריות וקבצים קיימים באתר. קבצים מוגבלים רבים בדרך כלל מוסתרים אך כלי סריקה יכולים לדוג אותם.

כלים אוטומטיים סורקים שמות דפים פוטנציאליים רבים ומתעדים את התוצאות המתקבלות מהשרת. הם גם מאחסנים את כתובות האתרים המתאימות לכל בקשת עמוד. התוקף ימשיך לבצע חקירה ידנית כדי לגלות לאילו דפים הם יכולים לגשת.

בכל אחת מהשיטות, גלישה מאולצת היא כמו התקפת כוח גס, שבו התוקף מנחש את הסיסמה שלך.

כיצד למנוע גלישה כפויה

הנה משהו שכדאי לזכור: הסתרת קבצים לא הופכת אותם לבלתי נגישים. ודא שאתה לא מניח שאם אתה לא מקשר לדף, תוקף לא יכול לגשת אליו. גלישה מאולצת מפריכה את ההנחה הזו. וניתן לנחש בקלות שמות נפוצים המוקצים לדפים ולספריות, מה שהופך את המשאבים לנגישים לתוקפים.

הנה כמה טיפים שיעזרו לך למנוע גלישה כפויה.

1. הימנע משימוש בשמות נפוצים לקבצים

מפתחים בדרך כלל מקצים שמות נפוצים לקבצים ולספריות אינטרנט. השמות הנפוצים הללו עשויים להיות "אדמין", "יומנים", "מנהל" או "גיבוי". כשמסתכלים עליהם, די קל לנחש אותם.

אחת הדרכים להרחיק את הגלישה הכפויה היא לתת שמות לקבצים עם שמות מוזרים או מורכבים שקשה להבין. כשזה קיים, לתוקפים יהיה אגוז קשה לפצח. אותה טכניקה עוזרת יצירת סיסמאות חזקות ויעילות.

2. השאר את רשימת הספריות שלך כבויה בשרת האינטרנט

תצורת ברירת מחדל מהווה סיכון אבטחה מכיוון שהיא עלולה לסייע להאקרים לקבל גישה לא מורשית לשרת שלך.

אם תפעיל רישום ספריות בשרת האינטרנט שלך, תוכל להדליף מידע שיזמין תוקפים. עליך לכבות את רשימת הספריות שלך ולהרחיק את פרטי מערכת הקבצים מעיני הציבור.

3. אמת את אימות המשתמש לפני כל פעולה מאובטחת

קל להתעלם מהצורך באימות משתמשי אתר בדף אינטרנט ספציפי. אם לא תיזהר, אתה עלול לשכוח לעשות זאת.

ודא שדפי האינטרנט שלך נגישים רק למשתמשים מאומתים. פרוס בדיקת הרשאות בכל שלב כדי לשמור על האבטחה.

4. השתמש בבקרות גישה נאותות

שימוש בבקרות גישה נאותות כרוך בהענקת גישה מפורשת למשתמשים למשאבים ולדפים שמתכתבים עם זכויותיהם ותו לא.

ודא שאתה מגדיר את סוגי הקבצים שאליהם יש למשתמשים הרשאת גישה. לדוגמה, אתה יכול למנוע ממשתמשים לגשת לקבצי גיבוי או מסד נתונים.

לך ראש בראש עם תוקפים

אם אתה מארח יישום אינטרנט באינטרנט הציבורי, אתה מזמין תוקפים לנסות כמיטב יכולתם כדי להיכנס בכוח. עם זאת בחשבון, התקפות גלישה מאולצות צפויות להתרחש. השאלה היא: האם תאפשר לתוקפים לקבל גישה כשהם מנסים?

אתה לא חייב. הצב התנגדות חזקה על ידי פריסת שכבות שונות של אבטחת סייבר במערכת שלך. באחריותך לאבטח את הנכסים הדיגיטליים שלך. עשה כל מה שאתה צריך לעשות כדי להבטיח את מה ששייך לך.

5 פעמים התקפות כוח גסות מובילות לפרצות אבטחה ענקיות

משתמשים מקוונים נמצאים תחת איום מתמיד מהפרות אבטחה, והתקפות כוח גסות הן סיבה מיוחדת לדאגה. הנה כמה מהגרועות ביותר.

קרא הבא

לַחֲלוֹקצִיוּץאימייל
נושאים קשורים
  • בִּטָחוֹן
  • בִּטָחוֹן
  • בניית אתרים
  • אבטחה מקוונת
על הסופר
כריס אודוגוו (34 מאמרים שפורסמו)

כריס אודוגוו הוא סופר נלהב המחויב להקניית ידע באמצעות כתיבתו. עיתונאי מיומן, בעל תואר ראשון בתקשורת המונים ותואר שני ביחסי ציבור ופרסום. התחביב האהוב עליו הוא ריקוד.

עוד מאת Chris Odogwu

הירשם לניוזלטר שלנו

הצטרף לניוזלטר שלנו לקבלת טיפים טכניים, ביקורות, ספרים אלקטרוניים בחינם ומבצעים בלעדיים!

לחץ כאן כדי להירשם