ビデオ: Hackers & Cyber Attacks: Crash Course Computer Science #32 2024
最も重要な入力ハックの1つは、Webアプリケーションの入力フィールドを特に対象とするバッファオーバーフローです。たとえば、クレジットレポートアプリケーションでは、データの送信やレポートの取得を許可される前に、ユーザーを認証することがあります。ログイン・フォームは、次のコードを使用して、maxsize変数で示される最大12文字のユーザーIDを取得します。
… …
一般的なログイン・セッションには、12文字以下の有効なログイン名が必要です。しかし、maxsize変数は100や1000などの大きな値に変更することができます。攻撃者はログインフィールドに偽のデータを入力することができます。次に起こるのは、誰かの呼び出しです。アプリケーションがハングしたり、メモリ内の他のデータを上書きしたり、サーバーをクラッシュさせたりする可能性があります。
<!このような変数を操作する簡単な方法は、商用ウェブ脆弱性スキャナまたは無料のParos Proxyに組み込まれているようなWebプロキシを使用してページの送信をステップ実行することです。Webプロキシは、Webブラウザとテストしているサーバーの間にあり、サーバーに送信された情報を操作できます。まず、ポート8080の127. 0. 0. 1のローカルプロキシを使用するようにWebブラウザを設定する必要があります。
<! - 2 - >
Firefoxでは、ツール→オプションを選択してアクセスできます。 [詳細設定]をクリックし、[ネットワーク]タブをクリックし、[接続設定]ボタンをクリックして、[手動プロキシ設定]ラジオボタンを選択します。 Internet Explorerで、[ツール]→[インターネットオプション]を選択します。 [接続]タブをクリックし、[LANの設定]ボタンをクリックし、[LANにプロキシサーバーを使用する]チェックボックスをオンにします。あなたがしなければならないのは、ブラウザがページを送信する前に変数のフィールドの長さを変更するだけです。あなたが与えた長さを使ってそれが送信されます。また、Firefox Web Developerを使用して、Webフォームで定義された最大フォーム長を削除することもできます。
<! - 3 - >
