انواع حملات تغییر مسیرهای نامعتبر در برنامه‌های کاربردی وب

-

آشنایی با حملات تغییر مسیرهای نامعتبر


با توجه به اینکه حملات تغییر مسیرهای نامعتبر یا همان Invalidated Redirects And Forwards، ازنظر سازمان OWASP به‌عنوان یکی از خطرناک‌ترین حملات در امنیت سایت شناخته می‌شود. در این مقاله قصد داریم تا با موضوع این حملات و انواع گوناگون آن آشنا شویم.

در فضای کنونی اینترنت که غالباً کاربران عادی و غیرمتخصص، مخاطب آن هستند و کمتر به تغییر مسیرهای توجه می‌کنند و این امر باعث شده است تا هکرها با استفاده از این نقطه‌ضعف کاربران، مشکلات امنیتی جدی را به وجود آورند. درصورتی‌که کاربری وارد وب‌سایت شود که ازلحاظ امنیتی، نتواند اعتبارسنجی‌های لازم را برای تغییر مسیرهای مناسب انجام دهد، هکر می‌تواند قربانیان را به وب‌سایت‌های مخرب هدایت کرده و یا حتی آسیب‌های جدی را به کاربران وارد نماید.

در حالت کلی می‌توان بیان کرد که حملات تغییر مسیرهای نامعتبر، با اجازه دادن به داده‌های نامطمئن از یک URL، برای تصمیم‌گیری صفحه مقصد کاربر ایجاد می‌شوند. حملات تغییر مسیرهای نامعتبر در ترکیب با حملات مهندسی اجتماعی برای اهداف خطرناک و مخربی مانند فریب دادن کاربران برای دانلود نرم‌افزارهای مخرب، هدایت به سایت‌های فیشینگ و یا Forward کاربران برای دسترسی به صفحات غیرمجاز استفاده می‌گردد. ازآنجایی‌که URL های مخرب، نام سایت اصلی را در URL خود، دارند؛ می‌توانند اعتماد کاربران را به دست آورند و سپس عملیات مخرب خود را انجام دهند.

[caption id="attachment_697" align="aligncenter" width="300"]تغییر مسیرهای نامعتبر در سایت حملات تغییر مسیر های نامعتبر[/caption]

یک مثال آموزشی از حملات تغییر مسیرهای نامعتبر


در اینجا یک مثال آموزشی برای نشان دادن چگونگی استفاده از این حملات را بیان خواهیم نمود. فرض کنید یک وب‌سایت نیازمند کلیک و یا Login کردن کاربر، برای انتقال و هدایت کاربر به صفحه داخلی در همان وب‌سایت یا سایت‌های خارجی دیگر باشد. برای درک بهتر موضوع آدرس زیر را در نظر بگیرید.

http://www.Example.com/redirect?url=google.com


در آدرس بالا نگرانی اصلی با این تغییر مسیر این است که از یک پارامتر url برای تصمیم‌گیری مقصد استفاده‌شده است. در تغییر مسیر آدرس بالا ممکن است خطری وجود نداشته باشد، ولی هکر می‌تواند به‌راحتی با استفاده از ویژگی تغییر مسیر در صفحات وب، برای ارسال یک لینک دیگر استفاده نماید. برای مثال، هکر می‌تواند آدرس بالا را با ویژگی تغییر مسیر، به‌صورت زیر در جهت منافع خود Redirect نماید.

http://www/Example.com/redirect?url=hackweb.com


در چندین سال اخیر وب‌سایت‌های معروفی همچون AOL، Google و eBay مورد حملات تغییر مسیرهای نامعتبر شده‌اند؛ که باعث خسارات فراوانی به این شرکت‌ها گردیده است.

[caption id="attachment_698" align="aligncenter" width="256"]شناسایی حملات تغییر مسیرهای ناامن تشخیص حملات تغییر مسیر[/caption]

تشخیص و پیشگیری از حملات تغییر مسیرهای نامعتبر


با توجه به نوشتار و مقالاتی که سازمان OWASP منتشر نموده است، تشخیص این نوع حملات نسبتاً آسان خواهد بود. برای تشخیص این نوع حملات نیاز است تا هر کدی که از هدایت یا Forwarding استفاده می‌کند را بررسی کنیم. یک جست‌وجوی ساده از فایل‌های کلی دایرکتوری وب‌سایت، برای پیدا کردن کدهایی که کاربر را تغییر مسیر یا هدایت می‌کنند، می‌تواند تمام آسیب‌پذیری‌های احتمالی را نشان دهد. برایم مثال، یک وب‌سایت که از کد نویسی PHP برای طراحی وب‌سایت استفاده می‌کند، از تابع Header جهت هدایت استفاده می‌نماید.

یک روش آسان دیگر که توسط طراحان استقبالی بیشتر از آن می‌شود، این است که وبمستران با استفاده از خدمات آنلاین دیگر وب‌سایت‌ها که تشخیص مسیریابی و آنالیز سایت را انجام می‌دهند، می‌توانند تغییر مسیرهایی که مربوط به کدهای 300 و 307 پروتکل HTTP است را تشخیص دهند. برای مثال سایت gtmetrix.com آنالیز کاملی از وب‌سایت را برای وبمستران فراهم می‌آورد و یکی از خدمات این سایت، مشخص نمودن تغییر مسیرها در وب‌سایت است.

درهرصورت اگر یک پارامتر تغییر مسیری را ایجاد نماید، باید حتماً موردبررسی قرار گیرد. سازمان OWASP برای جلوگیری از تغییر مسیرها و هدایت‌ها، سه مرحله ساده را بیان نموده است که در زیر بیان‌شده‌اند.

  • از تغییر مسیرها (Redirect) و هدایت‌ها (Forwarding) اجتناب کنید.

  • از ورودی کاربر برای تعیین مقصد استفاده نکنید.

  • اگر از پارامترهای مقصد نمی‌توان اجتناب کرد، حتماً بررسی شود که مقادیر ارائه‌شده برای کاربر، مجاز و معتبر باشد.


گاهی ممکن است به‌طور کامل نتوان از تغییر مسیرها و هدایت‌ها اجتناب کرد، بنابراین باید توجه داشت که مقادیر ارائه‌شده حتماً مجاز و معتبر باشند. روش‌های گوناگونی برای جلوگیری استفاده از داده‌های نامعتبر وجود دارد که در زیر بیان‌شده‌اند.

  • ایجاد یک لیست سفید یا Whitelist از صفحات مجاز وب‌سایت یا سایت‌های خارجی (توجه داشته باشید که نباید از لیست‌های سیاه استفاده نمود.)

  • فقط اجازه تغییر مسیر یا هدایت در شرایط مناسب و خاص داده شود.

  • از فرهنگ لغت یا دیکشنری برای نشان دادن مقادیر به صفحات یا سایت‌های معتبر استفاده کنید (به‌عنوان‌مثال، بجای استفاده از عبارت Home از Home.php استفاده نمایید.)

  • تغییر مسیرهای که مورداستفاده قرار نمی‌گیرند را غیرفعال نمایید.

  • تمامی درخواست‌های HTTP برای تغییر مسیری که استفاده نمی‌شود را اسکن نموده و آن‌ها را نادیده گرفته یا Ignore نمایید.


[caption id="attachment_700" align="aligncenter" width="256"]تشخیص تغییر مسیرهای نامعتبر در امنیت سایت شناسایی تغییر مسیرها در سایت ها[/caption]

درحالی‌که سایر کلاه‌برداری‌های فیشینگ ممکن است وجود داشته باشد، باید به این موضوع توجه داشت که حملات تغییر مسیرهای نامعتبر بسیار خطرناک بوده و هکر می‌تواند پسوردهای کاربر را به سرقت برده و یا حتی فایل‌های مخربی را با ترغیب کاربر بر روی سیستم او بارگذاری نماید و حملات دیگری را به وجود آورد.

بنابراین کاربران استفاده‌کننده از وب‌سایت‌ها حتماً باید قبل از کلیک بر روی هر لینک یا عکس در وب‌سایت‌ها، در پائین مرورگر خود آدرسی را که لینک یا عکس به آن ارجاع داده می‌شود را بررسی نمایند تا لینک ارجاعی با محتوایی که موردنظر کاربر است همخوانی داشته باشد.

همچنین طراحان و برنامه نویسان باید حتماً وب‌سایت‌ها را با حداقل تغییر مسیرها طراحی نمایند و مسائلی که در بالا به آن اشاره شد را در اولویت کاری خود قرار دهند.

انواع حملات تغییر مسیرهای نامعتبر


ازآنجایی‌که تغییر مسیرهای نامعتبر دارای یک نوع و گونه است، بنابراین در بالا به این موضوع پرداخته‌شده است و در این مکان نیازی به توضیحات دیگری نیست.

Comments

Post a Comment

Popular posts from this blog

انواع حملات ارجاع مستقیم ناامن به اشیاء داخلی برنامه در برنامه‌های کاربردی وب

-
Image
آشنایی با حملات ارجاع مستقیم ناامن به اشیاء داخلی برنامه یا حملات IDOR عبارت یا اصطلاح ارجاع مستقیم به اشیاء داخلی برنامه یا Direct Object Reference، یک رویکرد در طراحی صفحات وب را توصیف و بیان می‌کند که در آن کلیدهای واقعی و نام‌های موجود، برای شناسایی منابع تحت کنترل برنامه، استفاده می‌شوند. اگر طراح یا برنامه‌نویس وب‌سایت، در برنامه خود یک مقدار متفاوت را به‌اشتباه، برای کلیدها و نام‌ها جایگزین نماید و از طریق آن، برنامه به منابع مختلفی که قصد و تصمیم طراح نیست و یا کاربر مجاز به دسترسی در آن منابع نبوده است، دسترسی پیدا نماید، یک آسیب‌پذیری ارجاع مستقیم ناامن به اشیاء دخلی برنامه صورت می‌پذیرد. به بیان ساده‌تر، این نوع از حملات زمانی رخ می‌دهد که طراح یا برنامه‌نویس، دسترسی ارجاع یک منبع، به Object های داخلی برنامه را باز بگذارد و یا سطح دسترسی‌ها را به‌درستی پیکربندی نکرده باشد. به‌عنوان‌مثال می‌توان به فایل‌ها، دایرکتوری‌ها و یا بانک‌های اطلاعاتی اشاره نمود. زمانی که کنترل دسترسی بر روی یک دایرکتوری یا فایل به‌صورت صحیح پیکربندی نشده باشد، هکر می‌تواند منابع را در جهت استفاده خ...
Read more

انواع حملات نقض احراز هویت و مدیریت نشست در برنامه های کاربردی وب

-
Image
آشنایی با مفاهیم هویتی، مجوزی و بازرسی در سیستم‌های کامپیوتری قبل از آشنایی با حملات نقض احراز هویت و مدیریت نشست نیاز است تا با چندین اصطلاح و مفهوم خاص آشنا شویم. زمانی که درباره‌ی ورود کاربر یا کامپیوتر به سیستم‌ها بحث می‌کنیم، باید با سه مفهوم حسابرسی یا Accounting، صدور مجوز یا Authorization و احراز هویت یا Authentication آشنایی داشته باشیم و تفاوت این سه اصطلاح را در مبانی و فرایند انجامشان، درک نماییم. [caption id="attachment_663" align="aligncenter" width="300"] نقض احراز هویت و مدیریت نشست[/caption] احراز هویت یا Authentication کاربر، کامپیوتر یا هر دستگاه دیگر، برای آنکه بتواند نقش خود را در یک سیستم شبکه یا وب اجرا نماید، باید ابتدا فرایند احراز هویت را برای تشخیص هویت خود انجام دهد. ازآنجایی‌که احراز هویت یکی از مهم‌ترین بخش‌های هر وب‌سایت است، باید به این مسئله اهمیت فراوانی در طراحی وب داده شود. برای درک بهتر مسئله احراز هویت یک مثال ساده و کاربردی را در ادامه بیان می‌نماییم. فرض کنید شما کارمند یک سازمان هستید، زمانی که شما می‌خواهید وارد س...
Read more

انواع حملات CSRF یا حملات جعل درخواست فرا وبگاهی در برنامه‌های کاربردی وب

-
Image
آشنایی با حملات CSRF یا حملات جعل درخواست فرا وبگاهی با توجه به اینکه، حملات CSRF به‌عنوان یکی از خطرناک‌ترین حملات در امنیت سایت شناخته می‌شود، در این مقاله قصد داریم تا با انواع گوناگون این حملات آشنا شویم. ازآنجایی‌که حملات CSRF مخفف عبارت Cross-Site Request Forgery است و به‌عنوان یکی از شناخته‌شده‌ترین نوع حملات سایت در بین هکرها محسوب می‌شود؛ منابع و مقالات بسیار زیادی در این زمینه ارائه‌شده است و هدف ما از ارائه‌ی این مقاله آشنایی اصولی و پایه‌ای با مفاهیم و انواع این نوع حملات در سطح وب‌سایت‌ها می‌باشد. [caption id="attachment_687" align="aligncenter" width="300"] انواع حملات CSRF[/caption] حملات جعل درخواست فرا وبگاهی یا همان حملات CSRF که گاهی Sea-Surf نیز تلفظ و بیان می‌گردد بانام‌هایی همچون One-Click Attack، Session Riding و یا XSRF نیز شناخته می‌شود. حملات CSRF از یک اعتماد اشتباه به وجود می‌آید. در این اعتماد اشتباه، یک وب‌سایت به کاربر خود و مرورگرش، اعتماد می‌نماید و کاربر، قربانی حملات CSRF می‌گردد. برای درک بهتر این نوع حملات به مثال زیر ...
Read more