УБИ.016: Угроза доступа к локальным файлам сервера при помощи URL

Описание угрозы Угроза заключается в возможности передачи нарушителем дискредитируемому браузеру запроса на доступ к файловой системе пользователя вместо URL-запроса. При этом браузер выполнит этот запрос с правами, которыми он был наделён при запуске, и передаст данные, полученные в результате выполнения этой операции, нарушителю.
Данная угроза обусловлена слабостями механизма проверки вводимых пользователем запросов, который не делает различий между запросами на доступ к файловой системе и URL-запросами.
Реализация данной угрозы возможна в случае наличия у нарушителя привилегий на отправку запросов браузеру, функционирующему в дискредитируемой системе
Источники угрозы
  • Внешний нарушитель со средним потенциалом
Объект воздействия Сетевое программное обеспечение
Последствия реализации угрозы
  • Нарушение конфиденциальности
Последние изменения