. .

شما اینجا هستید

مطالب تصادفی در سایت علمی نخبگان جوان | com.نخبگان

حملات Web Parameter Tampering

PDF version
کل آرا: 1208
دسته بندی: 
حملات Web Parameter Tampering
حملات Web Parameter Tampering بر اساس دستکاری داده های مبادله شده بین سرویس دهنده (Server) و کاربر (Client) بمنظور اصلاح و تغییر داده های برنامه شکل می گیرند. داده های هدف می توانند اعتبار و سطح دسترسی کاربر ، قیمت و مفدار ( تعداد )‌ یک محصول و غیره باشد. معمولا این قبیل اطلاعات در کوکی ها ، فیلدهای پنهان (hidden) فرم ها و یا رشته درخواست های URL ها ذخیره می شوند .

حملات Web Parameter Tampering بر اساس دستکاری داده های مبادله شده بین سرویس دهنده (Server) و کاربر (Client) بمنظور اصلاح و تغییر داده های برنامه شکل می گیرند. داده های هدف می توانند اعتبار و سطح دسترسی کاربر ، قیمت و مفدار ( تعداد )‌ یک محصول و غیره باشد. معمولا این قبیل اطلاعات در کوکی ها ، فیلدهای پنهان (hidden) فرم ها و یا رشته درخواست های URL ها ذخیره می شوند .

این حملات می تواند توسط یک کاربر مخرب نرم افزار که سعی در سو استفاده از برنامه به نفع خود دارد انجام شود و یا یک کاربر سوم شخص با استفاده از حملات MITM) Man In The Middle) در حال پیاده سازی باشد ؛ در هر دو حالت معمولا از ابزار های Webscarab و Paros proxy استفاده می شود .

موفقیت حمله به درستی و منطق خطاهای مکانیسم اعتبارسنجی و نحوه ی بهره برداری از آن دارد .

مثال یک :

تغییر پارامتر فیلد های فرم را می توان به عنوان یک نمونه از حمله Web Parameter Tampering بحساب آورد.

به عنوان مثال ؛ یک کاربر که می تواند مقادیر فیلدهای یک فرم (شامل فیلد متنی ، چک باکس و غیره) بر روی یک صفحه برنامه را انتخاب کند در نظر بگیرید ؛ وقتی که مقادیر ثبت شده توسط کاریر برای شما قایل مشاهده باشد شما براحتی می توانید آنها را دستکاری کنید .

مثال دو :

هنگامی که برنامه از فیلد های پنهان ( hidden ) به عنوان محل نگهداری اطلاعات استفاده میکند ؛ مهاجم می تواند با تغییر اطلاعات اشاره شده در فیلدهای پنهان دستکاری مورد نظر خود را اعمال کند .

به عنوان نمونه ؛ یک سیستم فروشگاهی امکان دارد از فیلدی بصورت زیر بهره ببرد :

<input type=”hidden” id=”1008” name=”cost” value=”70.‎00”>

در این حالت نفوذگر می تواند با تغییر مقدار پارامتر “value” مقدار هزینه را کاهش دهد .

مثال سه :

 

در این حالت مهاجم می تواند با دستکاری مستقیم پارامترها از طریق URL اقدام کند به نمونه زیر توجه کنید :

http://www.attackbank.com/default.asp?profile=741&debit=1000

در این نمونه مهاجم به صورت زیر داده ها را دستکاری و به هدف خود میرسد :

http://www.attackbank.com/default.asp?profile=852&debit=2000

در برخی موارد مهاجم موفق به تغییر خواص پارامترها می شود به عنوان نمونه :

http://www.attackbank.com/savepage.asp?nr=147&status=read

در این حالت مهاجم با دستکاری URL میتواند وضعیت را در حالت delete قرار دهد :

http://www.attackbank.com/savepage.asp?nr=147&status=del
 
علی بزدانی
باز نشر سایت علمی نخبگان جوان

افزودن دیدگاه جدید

ویژه های سایت

دعوت از متخصصین حوزه نرم افزار ( جذب برنامه نویس )

شرکت تسهیلگران رشد نوابغ جوان از تمامی متخصصین حوزه نرم افزار که آشنایی با زبان های برنامه نویسی...

دعوت از متخصصین حوزه نرم افزار ( جذب برنامه نویس )

نظر سنجی

  • با چه روشی می توان سریعتر اقتصاد مقاومتی را محقق نمود و کشور را از وابستگی به دیگران رهانید ؟

  • تعداد مقالات: 3,060
  • بازدید امروز : 12577
  • بازدید دیروز: 28264

افراد آنلاین:

232

اکنون ساعت   11:50 am به وقت تهران میباشد.

امروز: سه شنبه 3 مهر 1397

بارکد نخبگان جوان کانال تلگرامی
 
 

استفاده از تمامی مطالب سایت تنها با ذکر منبع آن به نام سایت علمی نخبگان جوان و ذکر آدرس سایت com.نخبگان مجاز است
استفاده از نام و برند نخبگان جوان به هر نحو توسط سایر سایت ها ممنوع بوده و پیگرد قانونی دارد
مسئولیت مطالب ارسالی کاربران بر عهده سایت علمی نخبگان جوان نمی باشد

تهیه و تنظیم مطالب: com.نخبگان