Oculto Manipulação Campo Hacks em Aplicações Web

Alguns sites e aplicações incorporar campos ocultos dentro de páginas da web para cortar e passar informações de estado entre o servidor web eo navegador. Campos ocultos são representados em um formulário web como .

Devido a práticas de codificação ruins, campos ocultos muitas vezes contêm informações confidenciais (como os preços dos produtos em um site de e-commerce), que devem ser armazenados apenas em um banco de dados back-end. Os usuários não devem ver os campos ocultos - daí o nome -, mas o atacante curioso pode descobrir e explorar-los com estes passos:

  1. Ver o código-fonte HTML.

    Para ver o código fonte no Internet Explorer, escolha Página-View Source. No Firefox, escolha View-Page Source.

  2. Alterar as informações armazenadas nestes domínios.

    Por exemplo, um usuário malicioso pode alterar o preço de $ 100 a $ 10.

  3. Repassar a página de volta para o servidor.

    Esta etapa permite que o invasor para obter ganhos ilícitos, tais como um preço mais baixo em uma compra web.

Usando campos ocultos por mecanismos (login) de autenticação pode ser especialmente perigoso. Você pode se deparar com um processo de bloqueio contra invasores autenticação multifatores que se baseia em um campo oculto para rastrear o número de vezes que o usuário tentou efetuar login. Essa variável pode ser regulado para zero para cada tentativa de login e assim facilitar um dicionário scripts ou brute-force ataque login.

Várias ferramentas, tais como web proxy (que vem com WebInspect) ou Paros Proxy, pode facilmente manipular campos ocultos.

image0.jpg

Se você se deparar com campos ocultos, você pode tentar manipulá-los para ver o que pode ser feito. É simples assim.

menu