Pufferüberlauf Hacks in Web-Anwendungen
Einer der schwerwiegendsten Eingang Hacks ist ein Pufferüberlauf, der Eingabefelder in Web-Anwendungen, die speziell zum Ziel hat. Zum Beispiel kann ein Kredit-Reporting-Anwendung können Benutzer authentifizieren, bevor sie zugelassen sind Daten vorzulegen oder Berichte zu ziehen. Das Login-Formular verwendet die folgende Code-Benutzer-IDs mit einer maximalen Eingangs von 12 Zeichen zu packen, wie sie durch die bezeichnet maxsize Variable:
Eine typische Login-Sitzung würde einen gültigen Anmeldenamen von 12 Zeichen beinhalten oder weniger. Jedoch die maxsize Variable kann groß, wie 100 oder sogar 1000 bis etwas geändert werden. Dann kann ein Angreifer falsche Daten im Login-Feld eingeben. Was dann geschieht, ist Ruf jedermann - die Anwendung möglicherweise hängen, überschreiben andere Daten im Speicher, oder den Server zum Absturz bringen.
Eine einfache Möglichkeit, eine solche Variable zu manipulieren, ist durch die Seite Vorlage zu Schritt durch einen Web-Proxy verwenden, wie sie in Scannern zu den kommerziellen Verwundbarkeit Web aufgebaut oder die freie Paros Proxy.
Web-Proxies sitzen zwischen Ihrem Web-Browser und dem Server Sie testen und ermöglicht es Ihnen, Informationen an den Server gesendet zu manipulieren. Um zu beginnen, müssen Sie Ihren Web-Browser verwenden, um den lokalen Proxy von 127.0.0.1 auf Port 8080 konfigurieren.
In Firefox, das ist zugänglich über Werkzeuge-Optionen- auf Erweitert, klicken Sie auf die Registerkarte Netzwerk, klicken Sie auf die Schaltfläche Verbindungseinstellungen und dann die Manuelle Proxy-Konfiguration Optionsfeld auswählen. Im Internet Explorer Tools Internet wählen Optionen- auf die Registerkarte Verbindungen, klicken Sie auf die Schaltfläche LAN-Einstellungen, und wählen Sie dann die Verwendung eines Proxy-Server für LAN verwenden Kontrollkästchen.
Alles, was Sie tun müssen, ist die Feldlänge der Variablen ändern, bevor Ihr Browser die Seite legt, und es wird geben, was Länge, die Sie eingereicht werden. Sie können auch die Firefox-Entwickler verwenden, um in Web-Formulare definierte maximale Formularlängen zu entfernen.
