УБИ.016: Угроза доступа к локальным файлам сервера при помощи URL

Описание угрозы

Угроза заключается в возможности передачи нарушителем дискредитируемому браузеру запроса на доступ к файловой системе пользователя вместо URL-запроса. При этом браузер выполнит этот запрос с правами, которыми он был наделён при запуске, и передаст данные, полученные в результате выполнения этой операции, нарушителю.
Данная угроза обусловлена слабостями механизма проверки вводимых пользователем запросов, который не делает различий между запросами на доступ к файловой системе и URL-запросами.
Реализация данной угрозы возможна в случае наличия у нарушителя привилегий на отправку запросов браузеру, функционирующему в дискредитируемой системе

Источники угрозы

  • Внешний нарушитель со средним потенциалом

Объект воздействия

Сетевое программное обеспечение

Последствия реализации угрозы

  • Нарушение конфиденциальности
Последние изменения