Of u er nu op vertrouwt voor zakelijk of persoonlijk gebruik, het is veilig om te zeggen dat we dagelijks met URL’s omgaan. Ze zijn onze toegangspoort tot het verstrekken van en toegang krijgen tot informatie op internet, en vanwege hun universele karakter worden ze voortdurend door aanvallers onderzocht op kwetsbaarheden in de beveiliging. Een type risico dat moeilijk te identificeren kan zijn, is of uw URL een serverbeheerpad is; als dat het geval is, kan het een potentieel doelwit worden voor aanvallen op afstand. Ter verduidelijking: serverbeheerpaden zijn URL’s met een hoog risico die in webtoepassingen of databases kunnen worden gebruikt om de set met mappen te specificeren waartoe toegang wordt verkregen. Hoewel deze veel voorkomen en gemakkelijk te gebruiken zijn, kunnen ze een venster bieden voor kwaadwillende gebruikers om misbruik te maken van en toegang te krijgen tot mappen die verboden zouden moeten zijn.
Deze kwetsbaarheidsvensters treden meestal op wanneer een webontwikkelaar een fout heeft gemaakt bij het samenstellen van het toegangsmodel voor een applicatie of site. Stel dat een gebruiker bijvoorbeeld een verzoek indient om een openbaar bestand te bekijken in een webbrowser die een GET-verzoek-URL-methode gebruikt; wanneer het bestand wordt opgehaald, kan de gebruiker opgeleid giswerk toepassen om toegang te krijgen tot andere bestanden in de directory door zich voor te doen als een beheerder. Nu heeft deze aanvaller de mogelijkheid om opdrachten uit te voeren en vertrouwelijke informatie te misbruiken. In plaats van handmatige tests uit te voeren op uw URL’s of paden voor deze kwetsbaarheid, zullen we bespreken hoe u de volgende API in Java kunt gebruiken om uw paden automatisch op dit risico te controleren en de gevolgen van een aanval te vermijden.
Eerst moeten we de SDK-bibliotheek voor Maven installeren door een Jitpack-verwijzing toe te voegen aan de repository in pom.xml:
Voeg vervolgens een verwijzing naar de afhankelijkheid toe:
Als de installatie is voltooid, zijn we klaar om onze invoer aan de bovenkant van de controller toe te voegen en de validatiefunctie aan te roepen:
Om ervoor te zorgen dat de operatie soepel verloopt, moet u de volgende parameters invoeren:
- Waarde – de URL of het relatieve pad dat moet worden gecontroleerd, bijv. “/ Admin / login”. De invoer is een tekenreeks, dus zorg ervoor dat u deze tussen dubbele aanhalingstekens plaatst.
- API-sleutel – uw persoonlijke API-sleutel; dit is gratis op de Cloudmersive website en biedt toegang tot 800 maandelijkse oproepen in onze volledige bibliotheek met API’s.
Hiermee wordt een bevestiging geretourneerd of de aangegeven URL of het aangegeven pad een serverbeheerpad is. Met deze functie kunt u zich wapenen tegen de fouten waardoor dit type kwetsbaarheid kan optreden.
CreditSource link