Was ist erzwungenes Surfen und wie funktioniert es?

Webanwendungen sind entscheidende Elemente bei der Bereitstellung von Diensten im Internet.

Es ist keine Neuigkeit mehr, dass viele unter Sicherheitslücken gelitten haben. Eine Website kann Personen einem erheblichen Risiko aussetzen, wenn sie nicht ordnungsgemäß geschützt ist.

Angreifer können mit verschiedenen Techniken auf eingeschränkte Seiten und vertrauliche Benutzerdaten zugreifen, darunter auch erzwungenes Surfen.

In diesem Artikel werden wir das Konzept des erzwungenen Surfens und seine Funktionsweise diskutieren.

Was ist erzwungenes Surfen?

Erzwungenes Surfen ist eine Technik, die von Angreifern verwendet wird, um durch Manipulation der URL Zugriff auf eingeschränkte Webseiten oder andere Ressourcen zu erhalten. Es wird auch als erzwungenes Surfen bezeichnet. Wie der Name schon sagt, durchsucht ein Angreifer gewaltsam eine Ressource, für die er keine Berechtigung hat.

Ein solcher Angriff zielt auf Dateien im Webserver-Verzeichnis oder eingeschränkte URLs ab, die nicht auf Autorisierung prüfen.

Diese Ressourcen sind für Angreifer profitabel, wenn sie sensible Daten enthalten. Es kann sich um die Website selbst oder die Kunden der Website handeln. Sensible Daten können sein:

• Referenzen
• Quellcode
• Sicherungs-Dateien
• Protokolle
• Aufbau
• Details zum internen Netzwerk

Wenn eine Website einem erzwungenen Browserangriff zum Opfer fallen kann, ist sie nicht richtig sicher.

Die Autorisierung sollte sicherstellen, dass die Benutzer über die entsprechenden Berechtigungen verfügen um auf eingeschränkte Seiten zuzugreifen. Benutzer geben ihre Anmeldedaten wie Benutzername und Kennwort ein, bevor ihnen der Zugriff gewährt wird. Beim erzwungenen Surfen wird versucht, diese Sicherheitseinstellungen zu umgehen, indem der Zugriff auf eingeschränkte Pfade angefordert wird. Es testet, ob es auf eine Seite zugreifen kann, ohne gültige Anmeldeinformationen anzugeben.

Wie funktioniert erzwungenes Surfen?

Erzwungenes Surfen ist ein häufiges Problem bei Websites, die verschiedene Benutzerrollen haben, z. B. normale Benutzer und Admin-Benutzer. Jeder Benutzer meldet sich von derselben Seite an, hat aber Zugriff auf verschiedene Menüs und Optionen. Wenn die Seiten, zu denen diese Menüs führen, jedoch nicht sicher sind, kann ein Benutzer den Namen einer gültigen Seite erraten und versuchen, direkt auf deren URL zuzugreifen.

Mehrere Szenarien zeigen, wie erzwungenes Browsing funktioniert, sei es manuell oder mithilfe eines automatisierten Tools. Schauen wir uns einige Beispiele an.

1. Eine unsichere Kontoseite

Ein Benutzer meldet sich bei einer Website an und die URL für seine Kontoseite lautet www.example.com/account.php? Benutzer=4. Der Benutzer kann mit einer Nummernrotation fortfahren und die URL in www.example.com/account.php? Benutzer=6. Wenn die Seite geöffnet wird, können sie auf die Informationen des anderen Benutzers zugreifen, ohne deren Anmeldedaten kennen zu müssen.

2. Eine unsichere Bestellseite

Ein Benutzer mit einem Konto auf einer E-Commerce-Website zeigt eine seiner Bestellungen unter www.example.com/orders/4544 an. Sie ändern nun die Bestell-ID zufällig in www.example.com/orders/4546. Wenn die Bestellseite eine erzwungene Browsing-Schwäche aufweist, kann der Angreifer Details des Benutzers mit dieser Bestellung entdecken. Zumindest werden sie Informationen über eine Bestellung abrufen, die nicht ihre ist.

3. URL-Scanning

Ein Angreifer verwendet ein Scan-Tool, um im Dateisystem des Webservers nach Verzeichnissen und Dateien zu suchen. Es kann nach allgemeinen Namen von Administrator-, Kennwort- und Protokolldateien suchen. Wenn das Tool eine erfolgreiche HTTP-Antwort erhält, bedeutet dies, dass eine übereinstimmende Ressource vorhanden ist. Dann geht der Angreifer weiter und greift auf die Dateien zu.

Erzwungene Browsing-Methoden

Ein Angreifer kann einen Forced-Browsing-Angriff manuell oder mit automatisierten Tools durchführen.

Beim manuellen Forced Browsing verwendet der Angreifer die Nummernrotationstechnik oder errät den Namen eines Verzeichnisses oder einer Datei richtig und gibt ihn in die Adressleiste ein. Diese Methode ist schwieriger als die Verwendung automatisierter Tools, da der Angreifer nicht annähernd gleich häufig Anfragen manuell senden kann.

Beim erzwungenen Browsen mit Hilfe automatisierter Tools wird ein Tool verwendet, um nach vorhandenen Verzeichnissen und Dateien auf der Website zu suchen. Viele eingeschränkte Dateien sind normalerweise versteckt, aber Scan-Tools können sie herausfischen.

Automatisierte Tools durchsuchen viele potenzielle Seitennamen und zeichnen die vom Server erhaltenen Ergebnisse auf. Sie speichern auch die URLs, die jeder Seitenanfrage entsprechen. Der Angreifer führt dann eine manuelle Untersuchung durch, um herauszufinden, auf welche Seiten er zugreifen kann.

Bei beiden Methoden ist erzwungenes Surfen wie ein Brute-Force-Angriff, bei dem der Angreifer errät dein Passwort.

So verhindern Sie erzwungenes Surfen

Beachten Sie Folgendes: Das Verstecken von Dateien macht sie nicht unzugänglich. Stellen Sie sicher, dass Sie nicht davon ausgehen, dass ein Angreifer nicht auf eine Seite zugreifen kann, wenn Sie nicht auf eine Seite verlinken. Forced Browsing widerlegt diese Annahme. Und allgemeine Namen, die Seiten und Verzeichnissen zugewiesen sind, können leicht erraten werden, sodass Angreifer Zugriff auf Ressourcen haben.

Hier sind einige Tipps, die Ihnen helfen, erzwungenes Surfen zu verhindern.

1. Vermeiden Sie die Verwendung allgemeiner Namen für Dateien

Entwickler weisen Dateien und Webverzeichnissen in der Regel gebräuchliche Namen zu. Diese allgemeinen Namen können "admin", "logs", "administrator" oder "backup" lauten. Wenn man sie betrachtet, sind sie ziemlich leicht zu erraten.

Eine Möglichkeit, das erzwungene Surfen in Schach zu halten, besteht darin, Dateien mit seltsamen oder komplexen Namen zu benennen, die schwer zu ermitteln sind. Damit haben Angreifer eine harte Nuss zu knacken. Die gleiche Technik hilft bei Erstellen starker und effektiver Passwörter.

2. Halten Sie Ihre Verzeichnisliste auf dem Webserver aus

Eine Standardkonfiguration stellt ein Sicherheitsrisiko dar, da sie Hackern helfen könnte, sich unbefugten Zugriff auf Ihren Server zu verschaffen.

Wenn Sie die Verzeichnisauflistung auf Ihrem Webserver aktivieren, können Sie Informationen verlieren, die Angreifer einladen. Sie sollten Ihre Verzeichnisliste deaktivieren und Dateisystemdetails von der öffentlichen Ansicht fernhalten.

3. Überprüfen Sie die Benutzerauthentifizierung vor jedem gesicherten Vorgang

Es ist leicht, die Notwendigkeit der Authentifizierung von Site-Benutzern auf einer bestimmten Webseite zu ignorieren. Wenn Sie nicht aufpassen, können Sie dies vergessen.

Stellen Sie sicher, dass Ihre Webseiten nur für authentifizierte Benutzer zugänglich sind. Stellen Sie bei jedem Schritt eine Berechtigungsprüfung bereit, um die Sicherheit zu gewährleisten.

4. Verwenden Sie die richtigen Zugriffskontrollen

Die Verwendung geeigneter Zugriffskontrollen beinhaltet, Benutzern expliziten Zugriff auf Ressourcen und Seiten zu gewähren, die ihren Rechten entsprechen, und nicht mehr.

Stellen Sie sicher, dass Sie die Dateitypen definieren, auf die Benutzer zugreifen dürfen. Sie können beispielsweise Benutzern den Zugriff auf Sicherungs- oder Datenbankdateien untersagen.

Konfrontation mit Angreifern

Wenn Sie eine Webanwendung im öffentlichen Internet hosten, laden Sie Angreifer ein, ihr Bestes zu geben, um sich einzudringen. Vor diesem Hintergrund wird es zwangsläufig zu erzwungenen Browsing-Angriffen kommen. Die Frage ist: Gestatten Sie Angreifern, sich Zugang zu verschaffen, wenn sie es versuchen?

Sie müssen nicht. Setzen Sie starken Widerstand auf, indem Sie verschiedene Ebenen der Cybersicherheit auf Ihrem System bereitstellen. Es liegt in Ihrer Verantwortung, Ihre digitalen Assets zu schützen. Tun Sie alles, was Sie tun müssen, um das zu sichern, was Ihnen gehört.

5 Mal Brute-Force-Angriffe führen zu massiven Sicherheitsverletzungen

Online-Benutzer sind ständigen Bedrohungen durch Sicherheitsverletzungen ausgesetzt, und Brute-Force-Angriffe sind ein besonderer Grund zur Besorgnis. Hier sind einige der schlimmsten.

Weiter lesen

Über den Autor