Verstecktes Feld Manipulation Hacks in Web-Anwendungen
Einige Websites und Anwendungen einbetten versteckte Felder in Web-Seiten zu hacken und Statusinformationen zwischen dem Web-Server und dem Browser übergeben. Versteckte Felder werden in einem Web-Formular dargestellt als .
Wegen der schlechten Codierung Praktiken, versteckte Felder enthalten oft vertrauliche Informationen (wie zum Beispiel die Produktpreise auf einem E-Commerce-Site), die nur in einem Back-End-Datenbank gespeichert werden soll. sehen Benutzer sollten nicht ausgeblendeten Felder - daher der Name - aber der neugierige Angreifer kann entdecken und zu nutzen, sie mit diesen Schritten:
Sehen Sie den HTML-Quellcode.
Um den Quellcode im Internet Explorer angezeigt wird, wählen Seite-View Source. View-Seite Quelle in Firefox wählen.
Ändern Sie die Informationen in diesen Feldern gespeichert.
Zum Beispiel kann ein böswilliger Benutzer könnte den Preis von $ 100 bis $ 10 ändern.
Repost die Seite an den Server zurück.
Dieser Schritt ermöglicht es dem Angreifer auf einem Web-Kauf unrechtmäßig erworbenen Gewinne, wie zum Beispiel einem niedrigeren Preis zu erhalten.
Mit versteckten Felder für die Authentifizierung (Login) Mechanismen kann besonders gefährlich sein. Sie könnten über eine Multi-Faktor-Authentifizierung Eindringling Aussperrung Prozess kommen, die auf einem versteckten Feld verlässt sich eingeloggt versucht der Benutzer die Anzahl der Male zu verfolgen. Diese Variable könnte zurückgesetzt werden für jeden Login-Versuch auf Null und damit eine scripted Wörterbuch- oder Brute-force erleichtern Login Angriff.
Mehrere Werkzeuge, wie zB Web-Proxy (die mit WebInspect kommt) oder Paros Proxy können leicht versteckte Felder zu manipulieren.
Wenn Sie über versteckte Felder kommen, können Sie versuchen, sie zu manipulieren, um zu sehen, was getan werden kann. So einfach ist das.