Qu'est-ce que la navigation forcée et comment ça marche ?

Les applications Web sont des éléments cruciaux dans la fourniture de services sur Internet.

Ce n'est plus une nouvelle que beaucoup ont souffert de failles de sécurité. Un site Web peut exposer les individus à des risques importants s'il n'est pas correctement protégé.

Les attaquants peuvent accéder à des pages restreintes et à des données utilisateur confidentielles à l'aide de plusieurs techniques, notamment la navigation forcée.

Dans cet article, nous discuterons du concept de navigation forcée et de son fonctionnement.

Qu'est-ce que la navigation forcée ?

La navigation forcée est une technique utilisée par les attaquants pour accéder à des pages Web restreintes ou à d'autres ressources en manipulant l'URL. On parle aussi de navigation forcée. Comme son nom l'indique, un attaquant parcourt de force une ressource pour laquelle il n'a pas d'autorisation.

Une telle attaque cible des fichiers dans le répertoire du serveur Web, ou des URL restreintes, qui ne vérifient pas l'autorisation.

Ces ressources sont profitables aux attaquants si elles contiennent des données sensibles. Il peut s'agir du site Web lui-même ou des clients du site. Les données sensibles peuvent inclure:

• Crédits
• Code source
• Fichiers de sauvegarde
• Journaux
• Configuration
• Détails du réseau interne

Si un site Web peut être victime d'une attaque par navigation forcée, il n'est pas correctement sécurisé.

L'autorisation doit garantir que les utilisateurs disposent des autorisations appropriées pour accéder aux pages restreintes. Les utilisateurs fournissent leurs informations de connexion, comme un nom d'utilisateur et un mot de passe, avant d'être autorisés à y accéder. La navigation forcée essaie de contourner ces paramètres de sécurité en demandant l'accès à des chemins restreints. Il teste pour voir s'il peut accéder à une page sans fournir d'informations d'identification valides.

Comment fonctionne la navigation forcée ?

La navigation forcée est un problème courant avec les sites Web qui ont divers rôles d'utilisateur tels que les utilisateurs normaux et les utilisateurs administrateurs. Chaque utilisateur se connecte à partir de la même page mais a accès à différents menus et options. Cependant, si les pages vers lesquelles ces menus mènent ne sont pas sécurisées, un utilisateur peut deviner le nom d'une page valide et essayer d'accéder directement à son URL.

Plusieurs scénarios montrent comment fonctionne la navigation forcée, qu'elle soit effectuée manuellement ou à l'aide d'un outil automatisé. Jetons un coup d'oeil à quelques cas.

1. Une page de compte non sécurisée

Un utilisateur se connecte à un site Web et l'URL de la page de son compte est www.example.com/account.php? utilisateur=4. L'utilisateur peut procéder à une rotation des numéros et changer l'URL en www.example.com/account.php? utilisateur=6. Si la page s'ouvre, ils pourront accéder aux informations de l'autre utilisateur sans avoir besoin de connaître leurs informations de connexion.

2. Une page de commande non sécurisée

Un utilisateur disposant d'un compte sur un site Web de commerce électronique consulte l'une de ses commandes sur www.example.com/orders/4544. Ils changent maintenant l'ID de commande de manière aléatoire en www.example.com/orders/4546. Si la page des commandes présente une faiblesse de navigation forcée, l'attaquant peut découvrir les détails de l'utilisateur avec cette commande. À tout le moins, ils récupéreront des informations sur une commande qui n'est pas la leur.

3. Analyse d'URL

Un attaquant utilise un outil d'analyse pour rechercher des répertoires et des fichiers dans le système de fichiers du serveur Web. Il peut rechercher des noms communs d'administrateur, de mot de passe et de fichiers journaux. Si l'outil obtient une réponse HTTP réussie, cela implique qu'une ressource correspondante existe. Ensuite, l'attaquant ira de l'avant et accédera aux fichiers.

Méthodes de navigation forcée

Un attaquant peut mener une attaque par navigation forcée manuellement ou avec des outils automatisés.

Dans la navigation forcée manuelle, l'attaquant utilise la technique de rotation des nombres, ou devine correctement le nom d'un répertoire ou d'un fichier et le tape dans la barre d'adresse. Cette méthode est plus difficile que l'utilisation d'outils automatisés car l'attaquant ne peut pas envoyer manuellement des requêtes à quelque chose comme la même fréquence.

La navigation forcée à l'aide d'outils automatisés implique l'utilisation d'un outil pour rechercher les répertoires et fichiers existants sur le site Web. De nombreux fichiers restreints sont généralement cachés, mais les outils d'analyse peuvent les extraire.

Les outils automatisés parcourent de nombreux noms de pages potentiels et enregistrent les résultats obtenus à partir du serveur. Ils stockent également les URL qui correspondent à chaque demande de page. L'attaquant procédera ensuite à une enquête manuelle pour découvrir à quelles pages il peut accéder.

Quelle que soit la méthode, la navigation forcée s'apparente à une attaque par force brute, où l'attaquant devine votre mot de passe.

Comment empêcher la navigation forcée

Voici quelque chose à garder à l'esprit: cacher des fichiers ne les rend pas inaccessibles. Assurez-vous de ne pas supposer que, si vous ne créez pas de lien vers une page, un attaquant ne pourra pas y accéder. La navigation forcée démystifie cette hypothèse. Et les noms communs attribués aux pages et aux répertoires peuvent être facilement devinés, rendant les ressources accessibles aux attaquants.

Voici quelques conseils pour vous aider à éviter la navigation forcée.

1. Évitez l'utilisation de noms communs pour les fichiers

Les développeurs attribuent généralement des noms communs aux fichiers et aux répertoires Web. Ces noms communs peuvent être « admin », « logs », « administrator » ou « backup ». En les regardant, ils sont assez faciles à deviner.

Une façon de garder la navigation forcée à distance est de nommer des fichiers avec des noms étranges ou complexes qui sont difficiles à comprendre. Avec cela en place, les attaquants auront un problème difficile à résoudre. La même technique aide à créer des mots de passe forts et efficaces.

2. Gardez votre liste d'annuaire désactivée sur le serveur Web

Une configuration par défaut pose un risque de sécurité car elle pourrait aider les pirates à obtenir un accès non autorisé à votre serveur.

Si vous activez la liste des répertoires sur votre serveur Web, vous pouvez divulguer des informations qui inviteront des attaquants. Vous devez désactiver votre liste de répertoires et garder les détails du système de fichiers hors de vue du public.

3. Vérifier l'authentification de l'utilisateur avant chaque opération sécurisée

Il est facile de ne pas tenir compte de la nécessité d'authentifier les utilisateurs du site sur une page Web spécifique. Si vous ne faites pas attention, vous pourriez oublier de le faire.

Assurez-vous que vos pages Web ne sont accessibles qu'aux utilisateurs authentifiés. Déployez un contrôle d'autorisation à chaque étape pour maintenir la sécurité.

4. Utiliser des contrôles d'accès appropriés

L'utilisation de contrôles d'accès appropriés implique d'accorder aux utilisateurs un accès explicite aux ressources et aux pages qui correspondent à leurs droits et rien de plus.

Assurez-vous de définir les types de fichiers auxquels les utilisateurs sont autorisés à accéder. Par exemple, vous pouvez restreindre l'accès des utilisateurs aux fichiers de sauvegarde ou de base de données.

Affrontez les attaquants

Si vous hébergez une application Web sur l'Internet public, vous invitez les attaquants à faire de leur mieux pour s'introduire de force. Dans cet esprit, les attaques de navigation forcée sont inévitables. La question est la suivante: autoriserez-vous les attaquants à accéder lorsqu'ils tenteront de le faire?

Vous n'êtes pas obligé. Mettez en place une forte résistance en déployant différentes couches de cybersécurité sur votre système. Il est de votre responsabilité de sécuriser vos actifs numériques. Faites tout ce que vous avez à faire pour sécuriser ce qui vous appartient.

5 fois, les attaques par force brute entraînent d'énormes violations de la sécurité

Les utilisateurs en ligne sont constamment menacés par les failles de sécurité, et les attaques par force brute sont particulièrement préoccupantes. Voici quelques-uns des pires.

Lire la suite

A propos de l'auteur