Video: Die versteckte Kamera 2018 - Prominent reingelegt! ZDF 16.09.2018 2024
Einige Websites und Anwendungen betteten ausgeblendete Felder in Webseiten ein, um sie zu hacken und zu übergeben. Statusinformationen zwischen dem Webserver und dem Browser. Versteckte Felder werden in einem Webformular als dargestellt.
Aufgrund schlechter Codierungspraktiken enthalten verborgene Felder häufig vertrauliche Informationen (z. B. Produktpreise auf einer E-Commerce-Website), die nur in einer Back-End-Datenbank gespeichert werden sollten. Benutzer sollten keine versteckten Felder sehen - daher der Name - aber der neugierige Angreifer kann sie mit diesen Schritten entdecken und ausnutzen:
-
Um den Quellcode im Internet Explorer anzuzeigen, wählen Sie Seite → Quelltext anzeigen. Wählen Sie in Firefox Ansicht → Seitenquelle.
-
Ändern Sie die in diesen Feldern gespeicherten Informationen.
Beispielsweise könnte ein böswilliger Benutzer den Preis von 100 auf 10 Euro ändern.
-
Stellen Sie die Seite wieder auf den Server.
Dieser Schritt ermöglicht es dem Angreifer, unrechtmäßig erworbene Gewinne zu erhalten, wie z. B. einen niedrigeren Preis bei einem Webkauf.
Die Verwendung versteckter Felder für Authentifizierungsmechanismen (Login) kann besonders gefährlich sein. Sie könnten auf einen mehrstufigen Authentifizierungs-Eindringling-Prozess stoßen, der sich auf ein verstecktes Feld stützt, um die Anzahl der Anmeldeversuche des Benutzers nachzuverfolgen. Diese Variable könnte für jeden Anmeldeversuch auf Null zurückgesetzt werden und somit ein Skript-Wörterbuch oder Brute-Force erleichtern. Login-Angriff.
Verschiedene Tools wie der Web Proxy (der mit webInspect mitgeliefert wird) oder Paros Proxy können versteckte Felder leicht manipulieren.
Wenn Sie auf versteckte Felder stoßen, können Sie versuchen, sie zu manipulieren, um zu sehen, was getan werden kann. So einfach ist das.
