Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Navegação Forçada

    Enviado por

    Ricardo de Paula
    6 visualizações1 página
    nav.

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    TXT, PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    nav.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato TXT, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    6 visualizações1 página

    Navegação Forçada

    Enviado por

    Ricardo de Paula
    nav.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato TXT, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 1

    Navegação Forçada

    Descrição

    Navegação forçada é um ataque onde o objectivo é enumerar e acessar recursos que


    não são referenciados pela aplicação, mas ainda são acessíveis.
    Um atacante pode usar técnicas de força bruta para procurar conteúdos desvinculados
    do diretório de domínio, tais como diretórios e arquivos temporários e arquivos de
    backup e configurações antigas. Esses recursos podem armazenar informações
    confidenciais sobre as aplicações web e sistemas operacionais, tais como o código-
    fonte, credenciais, rede interna de endereçamento, e assim por diante, sendo assim
    considerado um recurso valioso para os intrusos.
    Este ataque é realizado manualmente, quando os diretórios de índice de aplicações e
    páginas são baseados em geração de números ou valores previsíveis, ou o uso de
    ferramentas automatizadas para arquivos comuns e nomes de diretório.
    Este ataque também é conhecido como previsível Resource Location, Enumeration File,
    enumeração Directory, e enumeração de recursos.

    Exemplos

    Exemplo 1 ~
    Este exemplo apresenta uma técnica de ataque previsível de localização de recursos,
    que é baseado numa identificação manual e orientada de recursos, modificando os
    parâmetros de URL. O user1 quer verificar sua agenda on-line através do seguinte
    URL:

    www.site-example.com/users/calendar.php/user1/20070715

    Na URL, é possível identificar o nome de usuário (“user1â) E a data (dd / mm /


    aaaa). Se o usuário tenta fazer um ataque de Navegação forçada, ele podia adivinhar
    outro userâ agenda s, prevendo a identificação do usuário e data, como a seguir:

    www.site-example.com/users/calendar.php/user6/20070716

    O ataque pode ser considerado bem sucedido ao acessar a agenda de outro usuário. A
    má implementação do mecanismo de autorização contribuíram para o sucesso deste
    ataque.

    Exemplo 2 ~
    Este exemplo apresenta um ataque de diretório estático e de enumeração de arquivo
    utilizando uma ferramenta automatizada.
    A ferramenta de verificação, como Nikto, tem a capacidade de procurar por arquivos
    e diretórios existentes com base em um banco de dados bem sabem os recursos, tais
    como (Que podem também ser flagradas com URLi (IOS)):

    /system/
    /password/
    /logs/
    /admin/
    /test/

    Quando a ferramenta recebe um âHTTP 200Â mensagem, significa que esse recurso foi
    encontrado e devem ser inspecionados manualmente para obter informações valiosas.

    Você também pode gostar