Video: Cara Hack Facebook Di Android !! Inspect Element 2024
Rak input input automatik memanipulasi URL dan menghantarnya kembali ke pelayan, memberitahu aplikasi web untuk melakukan pelbagai perkara, seperti redirect ke laman web pihak ketiga, memuat fail sensitif dari pelayan, dan sebagainya. Kemasukan fail tempatan adalah salah satu kelemahan seperti itu.
Ini adalah apabila aplikasi web menerima input berasaskan URL dan mengembalikan kandungan fail yang ditentukan kepada pengguna. Sebagai contoh, dalam satu situasi, webInspect menghantar sesuatu yang serupa dengan permintaan berikut dan mengembalikan fail passwd server Linux:
// www. your_web_app. com / onlineserv / Checkout. cgi? state = detail & language = english & imageSet = / … / … // … / … // … / … // … / … /// etc / passwd
Pautan berikut menunjukkan satu lagi contoh penipuan URL yang disebut redirection URL:
// www. your_web_app. com / error. aspx? PURL = // www. laman web yang buruk. com & ERROR = Path + 'OPTIONS' + adalah dilarang. // www. your_web_app. com / keluar. asp? URL = // www. laman web yang buruk. com
Dalam kedua-dua situasi, penyerang boleh mengeksploitasi kelemahan ini dengan menghantar pautan kepada pengguna yang tidak curiga melalui e-mel atau dengan menyiarkannya di laman web. Apabila pengguna mengklik pautan, mereka boleh dialihkan semula ke tapak pihak ketiga yang berniat jahat yang mengandungi perisian berniat jahat atau bahan yang tidak sesuai.
Jika anda mempunyai apa-apa tetapi masa di tangan anda, anda mungkin mendedahkan jenis kelemahan ini secara manual. Walau bagaimanapun, demi kepentingan kewarasan (dan ketepatan), serangan ini lebih baik dilakukan dengan menjalankan pengimbas kelemahan web kerana mereka dapat mengesan kelemahan dengan menghantar beratus-ratus dan beratus-ratus lelaran URL ke sistem web dengan cepat.
