Forced Browsing Attacks

Muitas vezes durante a implantação de sistemas, os desenvolvedores acabam utilizando scripts auxiliares para ajudar muitas vezes no debug, ou então gerenciar de forma mais simples algum processo junto a database, ou então simplesmente ao utilizar sistemas já prontos, como por exemplo, o Joomla, acabam ficando para traz arquivos que podem ser perigosamente utilizado por atacantes.

Entre esse tipo de “sucata” acabam ficando:

- infs,
- arquivos.inc
- pastas com arquivos de backup, e etc

Apesar de modificar a configuração do Webserver para evitar que o index da pasta seja visível e adicionando um index em todas as pastas, existem diversas possibilidades de detectar estes dados e na maioria das vezes eles contêm informações como senhas de base de dados, source code de aplicação ou então algum script privilegiado que foi negligenciado pelo desenvolvedor.

O ataque de Forced Browsing consiste no uso de diversas técnicas que visam enumerar entre as possibilidades disponiveis:

- Diretórios importantes e/ou que podem conter informações privilegiadas (/admin, /install, /setup, /includes, etc);
- Arquivos de backup com códigos-fonte de aplicações ( index.php.bak, login.bak, etc.);

Uma ferramenta automatizada pode varrer milhares de combinações em sua database de conhecimento de possíveis pastas. O nikto é uma delas. Ele atua como ferramenta opensource para teste de diversas vulnerabilidades em sistemas web, tais como:

- Má configuração no webserver
- Ataques de xss, sql injection, entre outros
- Ataques de Force Browsing.

A técnica utilizada para enumerar recursos escondidos no webserver é conhecida como fuzzing e é vastamente utilizada por analistas de segurança a fim de detectar vulnerabilidades até então desconhecidas.

Basicamente a tecnica consiste em enviar requisições para o servidor web e analisar a resposta.

Quando um recurso existente é acessado, o servidor responde com a mensagem HTTP 200 OK.

Da mesma forma existem diversas outras respostas que podem evidenciar a existência de informações interessantes tais como a mensagem HTTP 403 que se refere à necessidade de autenticação para acessar o conteúdo no webserver.

Eliminando as respostas 404 (not found), a ferramenta consegue minerar as respostas e separar somente as informações realmente interessantes.