OWASP WebGoat:Forced Browsing

From aldeid
Jump to navigation Jump to search

Forced Browsing

Contexte et résolution de l'exercice

Ce n'est pas parce que tous les liens ne sont pas spécifiés dans une application Web qu'il est impossible d'y accéder. En effet, cet exercice montre combien il est aisé d'accéder à l'interface d'administration (néanmoins protégée par un formulaire d'authentification) en essayant plusieurs noms de répertoires dans l'URL.

La bonne réponse est : http://127.0.0.1/WebGoat/conf

Généralement, les interfaces d'administration sont accessibles à partir de répertoires prévisibles (admin, adm, conf, private, etc.).

Remarques

Certains points sont à connaître afin d'éviter de faire des erreurs :

  • Le fichier robot.txt : Les robots (bots en anglais) sont utilisés pour parcourir la toile. Ceux-ci ont pour but de parcourir les plus de pages possibles en suivant les liens qu'elles contiennent, afin de mettre à jour leur base de référencement. Il faut savoir que par défaut, la plupart des pages sont indexées par les moteurs. Pour éviter que certaines pages (ou répertoires) ne soient référencés, il est possible de spécifier des règles (gestion des répertoires à ne pas référencer, liste des robots autorisés à parcourir les répertoires, etc.) dans un fichier robots.txt. Lorsqu'un moteur de recherche référence les pages d'un répertoire, le fichier robots.txt est le premier fichier à être parcouru. Si des règles spécifiques sont précisées, le robot les appliquera. Néanmoins, en ce qui concerne les droits d'accès, il est plus approprié (car plus complet) et surtout plus prudent d'utiliser les fichiers .htaccess. En effet, si le fichier robot.txt est avant tout destiné aux robots, il est également utilisé par les crackers afin de découvrir plus facilement certaines parties d'un site ou d'une application.
  • Le fichier .htaccess : Ce fichier, placé à la racine du site ou de l'application, ou dans certains répertoires, permet de spécifier des règles des gestion très fines quant aux autorisations. Il est à privilégier au fichier robot.txt dans la mesure où il est aisé d'en interdire son accès via l'URL. Ce fichier est donc beaucoup plus approprié dans un contexte de "masquage" de certaines parties de l'arborescence.
  • DirBuster : Ce programme (ce n'est pas le seul) permet de parcourir un site Web ou une application afin d'en déterminer son arborescence. Sa force réside dans le fait qu'il ne se contente pas de découvrir la partie "visible" de l'iceberg. En effet, son mode de "force brute" lui permet de découvrir également des répertoires non indexés par les moteurs de recherche.