Video: Skjult kamera: Prikking på skulder 2025
Nogle websteder og applikationer indlejrer skjulte felter inden for websider til hack og pass stat information mellem webserveren og browseren. Skjulte felter er repræsenteret i et webformular som.
På grund af dårlige kodepraksis indeholder skjulte felter ofte fortrolige oplysninger (f.eks. Produktpriser på et e-handelswebsted), der kun skal gemmes i en backend-database. Brugere bør ikke se skjulte felter - dermed navnet - men den nysgerrige angriber kan opdage og udnytte dem med disse trin:
-
For at se kildekoden i Internet Explorer, vælg Side → Vis kilde. I Firefox skal du vælge Vis → Sidekilde.
-
Skift de oplysninger, der er gemt i disse felter.
For eksempel kan en ondsindet bruger ændre prisen fra $ 100 til $ 10.
-
Gendan siden tilbage til serveren.
Dette trin gør det muligt for hackeren at opnå uønskede gevinster, som f.eks. En lavere pris på et webkøb.
Brug af skjulte felter til godkendelse (login) mekanismer kan være særligt farlige. Du kan komme på tværs af en multifactor-godkendelsesindtrækspærringsproces, der afhænger af et skjult felt for at spore det antal gange, brugeren forsøgte at logge på. Denne variabel kan nulstilles til hver enkelt loginforsøg og dermed lette en scripted ordbog eller brute-force login angreb.
Flere værktøjer, såsom Web Proxy (som følger med webInspect) eller Paros Proxy, kan nemt manipulere skjulte felter.
Hvis du støder på skjulte felter, kan du prøve at manipulere dem for at se, hvad der kan gøres. Det er så simpelt som det.
