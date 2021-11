Ce n’est plus une nouvelle qu’une page Web est attaquée en raison de failles de sécurité et que des milliers de données sont exposées par des attaquants. Eh bien, lorsque l’on accède à ces parties confidentielles, plusieurs techniques peuvent être utilisées et l’une d’entre elles est la navigation forcée, dont nous allons parler tout de suite.

Le fait qu’un site web soit attaqué n’est plus une actualité que l’on voit mise en avant dans tous les médias, à moins qu’il ne s’agisse de l’un des grands, que nous utilisons quotidiennement.

Mais cela ne veut pas dire que cela n’arrive pas et sûrement plus souvent qu’on ne peut même l’imaginer, car de nombreux sites Web contiennent des vulnérabilités qui compromettent leur sécurité.

Eh bien, les attaquants de n’importe quel site Web utilisent toutes sortes de stratagèmes pour entrer et extraire des données qui pourraient être utiles.

L’un de ces systèmes est ce qu’on appelle navigation forcée et aujourd’hui nous allons parler de ce concept.

Qu’est-ce que la navigation forcée ?

Lorsque nous l’appelons navigation forcée, nous parlons d’une technique utilisée par des personnes qui attaquent une page Web pour accéder à des sites Web. zones restreintes, en manipulant l’URL.

Le nom est assez explicite et nous donne un aperçu de ce qu’est cette forme d’attaque, puisqu’elle naviguer de force pour une ressource dans laquelle vous n’avez aucun type d’autorisation.

Ces types d’attaques sont généralement effectués pour obtenir toutes sortes de données sensibles telles que des enregistrements, des fichiers de sauvegarde, une configuration Web, un code source, etc.

Lorsque nous entrons dans une page Web et que nous voulons entrer dans des zones restreintes, on nous demande le nom d’utilisateur et le mot de passe, eh bien, la navigation forcée est destinée à contourner les paramètres de sécurité lors de l’accès à ce type de zones protégées.

Voici comment fonctionne la navigation forcée

Certains sites Web où il existe plusieurs types d’utilisateurs sont généralement vulnérables à ce type d’attaque, c’est-à-dire ceux qui ont des utilisateurs et des administrateurs normaux, par exemple.

Si le Web ne dispose pas de menus sécurisés, l’attaquant pourrait en profiter pour accéder à une URL qui n’est pas suffisamment sécurisée, forçant ainsi l’entrée.

Quelques exemples de navigation forcée peuvent être :

Compte non sécurisé: si nous avons un compte sur un site Web et que nous le modifions en faisant pivoter les chiffres qui peuvent apparaître dans l’URL, cela devrait nous donner une erreur, mais il peut arriver que ce ne soit pas un site Web sécurisé et que de cette façon nous sommes entrés le profil d’un autre utilisateur. Ordres: il se peut que lors de la commande ils nous donnent une URL et qu’en variant l’ordre des chiffres ou des lettres nous puissions accéder à une commande différente qui n’est pas la nôtre. Cela ne devrait pas arriver sur un site Web entièrement sécurisé. URL de numérisation: Il se peut que l’attaquant utilise un outil d’analyse de répertoires et de fichiers sur un serveur, à la recherche de noms, de mots de passe ou d’enregistrements. Dans le cas où il trouverait quelque chose, cette personne pourrait saisir toutes les données qu’il y a d’un ou plusieurs utilisateurs.

Les attaques de navigation forcée peuvent se produire dans un Manuel ou par outils automatisés.

Lors de l’utilisation du navigation forcée manuelle, la personne qui essaie d’attaquer un site joue avec les chiffres ou les lettres des répertoires ou des fichiers, variant également les URL pour essayer que certains d’entre eux présentent une sorte d’irrégularité qui lui permet d’entrer.

Comment auriez-vous imaginé utiliser ce le système est assez compliqué et surtout lourd et inconfortable.

Quand ils sont utilisés outils automatisés Ceux-ci sont dédiés à la même chose, mais ils le font au hasard, en laissant en mémoire les options qu’ils ont déjà essayées pour ne pas les répéter et ils marquent en interne celles qui ne fonctionnent pas. C’est beaucoup plus efficace, facile et confortable.

Ce logiciel peut analyser les noms, mots de passe et autres données potentiels qui sont nécessaires, jusqu’à trouver celui précis d’un serviteur. Cela ne veut pas dire qu’il fonctionne normalement, cependant, si le Web n’est pas sécurisé ou si sa programmation n’est pas bien structurée, il se peut que vous finissiez par succomber.

Comment s’occuper de la navigation forcée

Ce qui est clair, c’est que si nous avons des noms communs pour accéder à un répertoire ou des mots de passe extrêmement simples ou associés à nous-mêmes, comme notre nom, notre année de naissance, nos noms de famille ou des choses comme ça, nous allons être extrêmement vulnérables .

Les attaquants chercheront toujours en premier lieu, soit manuellement, soit par une sorte d’outil, ce type d’accès, pages ou répertoires, c’est-à-dire ceux qui sont les plus simples.

Nous allons vous donner plusieurs astuces pour éviter ce type d’attaque :

Noms généraux: Comme nous l’avons déjà mentionné, le mieux que nous puissions faire est d’éviter les noms ou mots de passe fréquents tels que Administrateur, 1234, notre nom, nos prénoms, etc. Nous devons toujours mettre quelque chose qui est facile à mémoriser pour nous, mais qui est exclusif, c’est-à-dire que personne d’autre ne le reconnaît. Liste du répertoire: Si nous activons une liste de répertoires sur notre serveur Web, il se peut que nous filtrons par inadvertance des informations pour ceux qui veulent nous attaquer. Il est donc préférable de désactiver la liste des répertoires et de garder les détails du système de fichiers hors de la vue des autres. Vérifier les utilisateurs: le mieux c’est que si on a un site internet, on met en place un système de vérification de chaque utilisateur au-delà d’un simple mot de passe et nom. Pour cela, une vérification par SMS ou par un système qui n’atteint que l’utilisateur enregistré est le meilleur moyen de protéger les données. Contrôles d’accès: lorsque vous avez un site internet dont chaque utilisateur a accès à une partie en fonction des autorisations accordées, il faut être très précis dans la définition de tous les paramètres de ces accès de manière sécurisée. À la moindre faille, l’agresseur peut être en mesure de pénétrer à l’intérieur.

Ce qui est clair, c’est que la navigation forcée est une technique qui peut être payante sur ces sites Web ou à cause des utilisateurs qui ne prennent pas la sécurité assez au sérieux.

Nous devons tous être très attentifs à ce système que, d’autre part, n’importe qui pourrait essayer de le faire en raison de la simplicité de la méthode et de la facilité de trouver des outils de ce type.