इंटरनेट पर सेवाओं के प्रावधान में वेब एप्लिकेशन महत्वपूर्ण तत्व हैं।
यह अब खबर नहीं है कि कई सुरक्षा कमजोरियों से पीड़ित हैं। एक वेबसाइट व्यक्तियों को महत्वपूर्ण जोखिम में डाल सकती है यदि यह ठीक से संरक्षित नहीं है।
जबरन ब्राउज़िंग सहित कई तकनीकों का उपयोग करके हमलावर प्रतिबंधित पृष्ठों और गोपनीय उपयोगकर्ता डेटा तक पहुंच सकते हैं।
इस लेख में, हम जबरन ब्राउज़िंग की अवधारणा पर चर्चा करेंगे और यह कैसे काम करता है।
जबरन ब्राउज़िंग क्या है?
जबरन ब्राउज़िंग एक ऐसी तकनीक है जिसका उपयोग हमलावर URL में हेरफेर करके प्रतिबंधित वेब पेजों, या अन्य संसाधनों तक पहुंच प्राप्त करने के लिए करते हैं। इसे बलपूर्वक ब्राउज़िंग भी कहा जाता है। जैसा कि नाम से ही स्पष्ट है, एक हमलावर एक ऐसे संसाधन को जबरदस्ती ब्राउज़ कर रहा है जिसके लिए उसके पास प्राधिकरण नहीं है।
ऐसा हमला वेबसर्वर निर्देशिका या प्रतिबंधित यूआरएल में फाइलों को लक्षित करता है, जो प्राधिकरण की जांच नहीं करते हैं।
ये संसाधन हमलावरों के लिए लाभदायक होते हैं यदि उनमें संवेदनशील डेटा होता है। यह स्वयं वेबसाइट या साइट के ग्राहकों के बारे में हो सकता है। संवेदनशील डेटा में शामिल हो सकते हैं:
- साख
- सोर्स कोड
- बैकअप फ़ाइलें
- लॉग्स
- विन्यास
- आंतरिक नेटवर्क विवरण
यदि कोई वेबसाइट ज़बरदस्ती ब्राउज़िंग हमले का शिकार हो सकती है तो यह ठीक से सुरक्षित नहीं है।
प्राधिकरण को यह सुनिश्चित करना चाहिए कि उपयोगकर्ताओं के पास उचित अनुमति हो प्रतिबंधित पृष्ठों तक पहुँचने के लिए. उपयोगकर्ता अपने लॉगिन विवरण प्रदान करते हैं, जैसे उपयोगकर्ता नाम और पासवर्ड, उन्हें एक्सेस की अनुमति देने से पहले। ज़बरदस्ती ब्राउज़िंग प्रतिबंधित पथों तक पहुँच का अनुरोध करके इन सुरक्षा सेटिंग्स को बायपास करने का प्रयास करती है। यह यह देखने के लिए परीक्षण करता है कि क्या यह वैध प्रमाण-पत्र प्रदान किए बिना किसी पृष्ठ तक पहुंच सकता है।
जबरन ब्राउज़िंग कैसे काम करती है?
जबरन ब्राउज़िंग वेबसाइटों के साथ एक आम समस्या है जिसमें सामान्य उपयोगकर्ता और व्यवस्थापक उपयोगकर्ता जैसी विभिन्न उपयोगकर्ता भूमिकाएं होती हैं। प्रत्येक उपयोगकर्ता एक ही पृष्ठ से लॉग इन करता है लेकिन विभिन्न मेनू और विकल्पों तक उसकी पहुंच होती है। हालांकि, यदि वे मेनू जिन पृष्ठों पर ले जाते हैं वे सुरक्षित नहीं हैं, तो उपयोगकर्ता एक मान्य पृष्ठ के नाम का अनुमान लगा सकता है और सीधे उसके URL तक पहुंचने का प्रयास कर सकता है।
कई परिदृश्य दिखाते हैं कि ज़बरदस्ती ब्राउज़िंग कैसे काम करती है, चाहे वह मैन्युअल रूप से की गई हो या किसी स्वचालित टूल के उपयोग से। आइए कुछ उदाहरणों पर एक नजर डालते हैं।
1. एक असुरक्षित खाता पृष्ठ
कोई उपयोगकर्ता किसी वेबसाइट में लॉग इन करता है और उनके खाता पृष्ठ का URL www.example.com/account.php? उपयोगकर्ता = 4। उपयोगकर्ता एक नंबर रोटेशन करने के लिए आगे बढ़ सकता है और यूआरएल को www.example.com/account.php? उपयोगकर्ता = 6. यदि पृष्ठ खुलता है, तो वे अपने लॉगिन विवरण जानने की आवश्यकता के बिना अन्य उपयोगकर्ता की जानकारी तक पहुँचने में सक्षम होंगे।
2. एक असुरक्षित आदेश पृष्ठ
ई-कॉमर्स वेबसाइट पर खाता रखने वाला उपयोगकर्ता www.example.com/orders/4544 पर अपना एक ऑर्डर देखता है। वे अब ऑर्डर आईडी को बेतरतीब ढंग से www.example.com/orders/4546 में बदल देते हैं। यदि आदेश पृष्ठ में ज़बरदस्ती ब्राउज़िंग कमज़ोरी है, तो हमलावर उस आदेश वाले उपयोगकर्ता का विवरण खोज सकता है। कम से कम, वे उस आदेश के बारे में जानकारी प्राप्त करेंगे जो उनका नहीं है।
3. यूआरएल स्कैनिंग
एक हमलावर वेब सर्वर के फाइल सिस्टम में निर्देशिकाओं और फाइलों को खोजने के लिए एक स्कैनिंग टूल का उपयोग करता है। यह व्यवस्थापक, पासवर्ड और लॉग फ़ाइलों के सामान्य नामों के लिए स्कैन कर सकता है। यदि उपकरण को एक सफल HTTP प्रतिक्रिया मिलती है, तो इसका मतलब है कि एक मेल खाने वाला संसाधन मौजूद है। फिर हमलावर आगे बढ़कर फाइलों तक पहुंच जाएगा।
जबरन ब्राउज़िंग के तरीके
एक हमलावर मैन्युअल रूप से या स्वचालित उपकरणों के साथ एक मजबूर ब्राउज़िंग हमले को अंजाम दे सकता है।
मैन्युअल ज़बरदस्त ब्राउज़िंग में, हमलावर नंबर रोटेशन तकनीक का उपयोग करता है, या किसी निर्देशिका या फ़ाइल के नाम का सही अनुमान लगाता है और उसे पता बार में टाइप करता है। यह विधि स्वचालित उपकरणों के उपयोग की तुलना में कठिन है क्योंकि हमलावर मैन्युअल रूप से समान आवृत्ति जैसी किसी भी चीज़ पर अनुरोध नहीं भेज सकता है।
स्वचालित उपकरणों की मदद से जबरन ब्राउज़िंग में वेबसाइट पर मौजूदा निर्देशिकाओं और फ़ाइलों को स्कैन करने के लिए एक उपकरण का उपयोग करना शामिल है। कई प्रतिबंधित फ़ाइलें आमतौर पर छिपी होती हैं लेकिन स्कैनिंग टूल उन्हें पकड़ सकते हैं।
स्वचालित उपकरण कई संभावित पृष्ठ नामों के माध्यम से स्कैन करते हैं और सर्वर से प्राप्त परिणामों को रिकॉर्ड करते हैं। वे प्रत्येक पृष्ठ अनुरोध के अनुरूप URL भी संग्रहीत करते हैं। हमलावर यह पता लगाने के लिए मैन्युअल जांच करेगा कि वे किन पृष्ठों तक पहुंच सकते हैं।
किसी भी विधि के साथ, जबरन ब्राउज़िंग एक क्रूर बल हमले की तरह है, जहां हमलावर आपके पासवर्ड का अनुमान लगाता है.
जबरन ब्राउज़िंग को कैसे रोकें
यहाँ कुछ ध्यान में रखना है: फ़ाइलों को छिपाने से वे दुर्गम नहीं हो जाते हैं। सुनिश्चित करें कि आप यह नहीं मानते हैं, यदि आप किसी पृष्ठ से लिंक नहीं करते हैं, तो कोई हमलावर उस तक नहीं पहुंच सकता है। जबरन ब्राउज़िंग इस धारणा को खारिज करती है। और पृष्ठों और निर्देशिकाओं को सौंपे गए सामान्य नामों का आसानी से अनुमान लगाया जा सकता है, जिससे हमलावरों के लिए संसाधन सुलभ हो जाते हैं।
ज़बरदस्ती ब्राउज़िंग को रोकने में आपकी मदद करने के लिए यहां कुछ युक्तियां दी गई हैं।
1. फाइलों के लिए सामान्य नामों के प्रयोग से बचें
डेवलपर्स आमतौर पर फाइलों और वेब निर्देशिकाओं के लिए सामान्य नाम आवंटित करते हैं। ये सामान्य नाम "व्यवस्थापक", "लॉग", "व्यवस्थापक", या "बैकअप" हो सकते हैं। इन्हें देखकर अंदाजा लगाना काफी आसान है।
ज़बरदस्ती ब्राउज़िंग को रोकने का एक तरीका अजीब या जटिल नामों वाली फ़ाइलों को नाम देना है जिनका पता लगाना मुश्किल है। इसके साथ, हमलावरों के पास क्रैक करने के लिए एक कठिन अखरोट होगा। वही तकनीक मदद करती है मजबूत और प्रभावी पासवर्ड बनाना.
2. वेबसर्वर पर अपनी निर्देशिका सूची को बंद रखें
एक डिफ़ॉल्ट कॉन्फ़िगरेशन एक सुरक्षा जोखिम पैदा करता है क्योंकि यह हैकर्स को आपके सर्वर तक अनधिकृत पहुंच प्राप्त करने में सहायता कर सकता है।
यदि आप अपने वेब सर्वर पर निर्देशिका सूची को सक्षम करते हैं, तो आप ऐसी जानकारी लीक कर सकते हैं जो हमलावरों को आमंत्रित करेगी। आपको अपनी निर्देशिका सूची को बंद कर देना चाहिए और फाइल सिस्टम विवरण को सार्वजनिक दृश्य से दूर रखना चाहिए।
3. प्रत्येक सुरक्षित संचालन से पहले उपयोगकर्ता प्रमाणीकरण सत्यापित करें
किसी विशिष्ट वेब पेज पर साइट उपयोगकर्ताओं को प्रमाणित करने की आवश्यकता को नज़रअंदाज़ करना आसान है। यदि आप सावधान नहीं हैं, तो आप ऐसा करना भूल सकते हैं।
सुनिश्चित करें कि आपके वेब पेज केवल प्रमाणित उपयोगकर्ताओं के लिए ही सुलभ हैं। सुरक्षा बनाए रखने के लिए हर कदम पर एक प्राधिकरण जांच तैनात करें।
4. उचित पहुँच नियंत्रण का प्रयोग करें
उचित पहुंच नियंत्रणों का उपयोग करने में उपयोगकर्ताओं को उनके अधिकारों के अनुरूप संसाधनों और पृष्ठों तक स्पष्ट पहुंच प्रदान करना शामिल है और इससे अधिक कुछ नहीं।
सुनिश्चित करें कि आप उन फ़ाइलों के प्रकारों को परिभाषित करते हैं जिन्हें उपयोगकर्ताओं के पास एक्सेस करने की अनुमति है। उदाहरण के लिए, आप उपयोगकर्ताओं को बैकअप या डेटाबेस फ़ाइलों तक पहुँचने से रोक सकते हैं।
हमलावरों से आमने-सामने जाएं
यदि आप सार्वजनिक इंटरनेट पर किसी वेब एप्लिकेशन को होस्ट करते हैं, तो आप हमलावरों को अपनी ओर से जबरदस्ती प्रवेश करने के लिए हर संभव प्रयास करने के लिए आमंत्रित कर रहे हैं। इसे ध्यान में रखते हुए, जबरन ब्राउज़िंग हमले होना तय है। सवाल यह है कि क्या आप हमलावरों द्वारा प्रयास करने पर उन तक पहुंच प्राप्त करने की अनुमति देंगे?
आपको नहीं करना है। अपने सिस्टम पर साइबर सुरक्षा की विभिन्न परतों को तैनात करके एक मजबूत प्रतिरोध करें। अपनी डिजिटल संपत्तियों को सुरक्षित रखना आपकी जिम्मेदारी है। जो आपका है उसे सुरक्षित करने के लिए आपको जो कुछ भी करना है वह करें।
ऑनलाइन उपयोगकर्ता सुरक्षा उल्लंघनों से लगातार खतरे में हैं, और क्रूर बल के हमले चिंता का एक विशेष कारण हैं। यहाँ कुछ सबसे खराब हैं।
आगे पढ़िए
- सुरक्षा
- सुरक्षा
- वेब विकास
- ऑनलाइन सुरक्षा
क्रिस ओडोग्वु एक भावुक लेखक हैं जो अपने लेखन के माध्यम से ज्ञान प्रदान करने के लिए प्रतिबद्ध हैं। एक प्रशिक्षित पत्रकार, उनके पास जनसंचार में स्नातक की डिग्री और जनसंपर्क और विज्ञापन में मास्टर डिग्री है। उनका पसंदीदा शौक नृत्य है।
हमारे न्यूज़लेटर की सदस्यता लें
तकनीकी युक्तियों, समीक्षाओं, निःशुल्क ई-पुस्तकों और अनन्य सौदों के लिए हमारे न्यूज़लेटर से जुड़ें!
सब्सक्राइब करने के लिए यहां क्लिक करें