Video: Ethical Hacking Full Course - Learn Ethical Hacking in 10 Hours | Ethical Hacking Tutorial | Edureka 2024
Einer der schwerwiegendsten Eingabehacks ist ein Pufferüberlauf, der speziell auf Eingabefelder in Webanwendungen abzielt. Beispielsweise kann eine Anwendung für die Kreditauskunft Benutzer authentifizieren, bevor sie Daten senden oder Berichte abrufen können. Das Anmeldeformular verwendet den folgenden Code zum Erfassen von Benutzer-IDs mit einer maximalen Eingabe von 12 Zeichen, wie durch die Variable maxsize angegeben:
… …
Eine typische Anmeldesitzung würde einen gültigen Anmeldenamen mit höchstens 12 Zeichen umfassen. Die Variable maxsize kann jedoch in etwas Großartiges geändert werden, z. B. 100 oder sogar 1 000. Dann kann ein Angreifer gefälschte Daten in das Anmeldefeld eingeben. Was als Nächstes passiert, ist jemandes Anruf - die Anwendung könnte hängen, andere Daten im Speicher überschreiben oder den Server zum Absturz bringen.
Eine einfache Möglichkeit, eine solche Variable zu manipulieren, besteht darin, die Seitenübergabe mithilfe eines Web-Proxys zu durchlaufen, wie sie beispielsweise in den kommerziellen Web-Schwachstellen-Scannern oder dem kostenlosen Paros-Proxy enthalten sind.
Web-Proxies befinden sich zwischen Ihrem Webbrowser und dem Server, den Sie testen, und ermöglichen es Ihnen, die an den Server gesendeten Informationen zu bearbeiten. Zu Beginn müssen Sie Ihren Webbrowser so konfigurieren, dass er den lokalen Proxy von 127 verwendet. 0. 0. 1 an Port 8080.
In Firefox ist dies über Tools → Optionen erreichbar. Klicken Sie auf Erweitert, klicken Sie auf die Registerkarte Netzwerk, klicken Sie auf die Schaltfläche Verbindungseinstellungen, und wählen Sie dann die Optionsschaltfläche Manuelle Proxykonfiguration aus. Wählen Sie in Internet Explorer Extras → Internetoptionen aus. Klicken Sie auf die Registerkarte Verbindungen, klicken Sie auf die Schaltfläche LAN-Einstellungen, und aktivieren Sie dann das Kontrollkästchen Proxy-Server für Ihr LAN verwenden.
Alles, was Sie tun müssen, ist, die Feldlänge der Variablen zu ändern, bevor Ihr Browser die Seite einreicht, und sie wird mit der von Ihnen angegebenen Länge gesendet. Sie können auch den Firefox-Webentwickler verwenden, um die in Webformularen definierten maximalen Formularlängen zu entfernen.
