| Угроза доступа к локальным файлам сервера при помощи URL |
Угроза заключается в возможности передачи нарушителем дискредитируемому браузеру запроса на доступ к файловой системе пользователя вместо URL-запроса. При этом браузер выполнит этот запрос с правами, которыми он был наделён при запуске, и передаст данные, полученные в результате выполнения этой операции, нарушителю.
Данная угроза обусловлена слабостями механизма проверки вводимых пользователем запросов, который не делает различий между запросами на доступ к файловой системе и URL-запросами.
Реализация данной угрозы возможна в случае наличия у нарушителя привилегий на отправку запросов браузеру, функционирующему в дискредитируемой системе |
16 |
Внешний нарушитель со средним потенциалом
|
Сетевое программное обеспечение
|
✔
|
✘
|
✘
|
УПД.3
УПД.5
УПД.13
АНЗ.1
АНЗ.2
АНЗ.3
ЗИС.23
|