Escolar Documentos
Profissional Documentos
Cultura Documentos
Descrição
Exemplos
Exemplo 1 ~
Este exemplo apresenta uma técnica de ataque previsível de localização de recursos,
que é baseado numa identificação manual e orientada de recursos, modificando os
parâmetros de URL. O user1 quer verificar sua agenda on-line através do seguinte
URL:
www.site-example.com/users/calendar.php/user1/20070715
www.site-example.com/users/calendar.php/user6/20070716
O ataque pode ser considerado bem sucedido ao acessar a agenda de outro usuário. A
má implementação do mecanismo de autorização contribuíram para o sucesso deste
ataque.
Exemplo 2 ~
Este exemplo apresenta um ataque de diretório estático e de enumeração de arquivo
utilizando uma ferramenta automatizada.
A ferramenta de verificação, como Nikto, tem a capacidade de procurar por arquivos
e diretórios existentes com base em um banco de dados bem sabem os recursos, tais
como (Que podem também ser flagradas com URLi (IOS)):
/system/
/password/
/logs/
/admin/
/test/
Quando a ferramenta recebe um âHTTP 200Â mensagem, significa que esse recurso foi
encontrado e devem ser inspecionados manualmente para obter informações valiosas.