Vídeo: Hackeando Dinosaurio de Google Chrome 2024
Alguns sites e aplicativos incorporam campos ocultos nas páginas da web para cortar e passar Indique informações entre o servidor web e o navegador. Os campos ocultos são representados em um formulário da Web como.
Devido às práticas de codificação precárias, os campos ocultos geralmente contêm informações confidenciais (como os preços dos produtos em um site de comércio eletrônico) que devem ser armazenadas apenas em um banco de dados back-end. Os usuários não devem ver campos ocultos - daí o nome -, mas o invasor curioso pode descobri-los e explorá-los com estas etapas:
-
Para ver o código-fonte no Internet Explorer, escolha Página → Ver fonte. No Firefox, escolha Exibir → Origem da página.
-
Muda as informações armazenadas nesses campos.
Por exemplo, um usuário mal-intencionado pode alterar o preço de US $ 100 a US $ 10.
-
Reposicione a página de volta para o servidor.
Esta etapa permite que o invasor obtenha ganhos mal adquiridos, como um preço mais baixo em uma compra na web.
O uso de campos ocultos para mecanismos de autenticação (login) pode ser especialmente perigoso. Você pode encontrar um processo de bloqueio de intrusão de autenticação multifatorial que se baseia em um campo oculto para rastrear o número de vezes que o usuário tentou fazer logon. Essa variável poderia ser redefinida para zero para cada tentativa de login e, assim, facilitar um dicionário com script ou força bruta ataque de login.
Várias ferramentas, como o Proxy da Web (que vem com o WebInspect) ou Paros Proxy, podem manipular facilmente campos ocultos.
Se você encontrar campos ocultos, você pode tentar manipulá-los para ver o que pode ser feito. É simples assim.
