Video: Making Raspberry Pi Web Controls 2025
Ein automatisierter Eingabehack manipuliert eine URL und sendet sie an den Server zurück und teilt der Webanwendung mit, dass sie verschiedene Dinge tun kann, z. auf Websites von Drittanbietern, laden Sie sensible Dateien vom Server und so weiter. Die lokale Dateieinbindung ist eine solche Sicherheitsanfälligkeit.
Dies ist, wenn die Webanwendung URL-basierte Eingaben akzeptiert und den Inhalt der angegebenen Datei an den Benutzer zurückgibt. Zum Beispiel hat webInspect in einer Situation etwas Ähnliches wie die folgende Anfrage gesendet und die passwd-Datei des Linux-Servers zurückgegeben:
// www. dein_web_app. com / onlineserv / Zur Kasse. CGI? state = detail & language = english & imageSet = / … / … // … / … // … / … // … / … /// etc / passwd
Die folgenden Links veranschaulichen ein weiteres Beispiel für URL-Betrug, die URL-Umleitung:
// www. dein_web_app. com / Fehler. Aspx? PURL = // www. schlechte ~ Website. com & ERROR = Pfad + 'OPTIONS' + ist + verboten. // www. dein_web_app. com / Ausgang. Asp? URL = // www. schlechte ~ Website. com
In beiden Fällen kann ein Angreifer diese Sicherheitsanfälligkeit ausnutzen, indem er den Link per E-Mail an ahnungslose Benutzer sendet oder ihn auf einer Website veröffentlicht. Wenn Benutzer auf den Link klicken, können sie auf eine schädliche Website eines Drittanbieters mit Malware oder ungeeignetem Material umgeleitet werden.
Wenn Sie nur Zeit zur Hand haben, können Sie diese Arten von Schwachstellen möglicherweise manuell aufdecken. Im Interesse der Vernunft (und Genauigkeit) werden diese Angriffe jedoch am besten mit einem Web-Schwachstellen-Scanner ausgeführt, da sie die Schwachstelle erkennen können, indem sie sehr schnell Hunderte von URL-Iterationen an das Websystem senden.
