ГрамотаИБ ГрамотаИБ
УБИ.016

Угроза доступа к локальным файлам сервера при помощи URL

Угроза заключается в возможности передачи нарушителем дискредитируемому браузеру запроса на доступ к файловой системе пользователя вместо URL-запроса. При этом браузер выполнит этот запрос с правами, которыми он был наделён при запуске, и передаст данные, полученные в результате выполнения этой операции, нарушителю. Данная угроза обусловлена слабостями механизма проверки вводимых пользователем запросов, который не делает различий между запросами на доступ к файловой системе и URL-запросами. Реализация данной угрозы возможна в случае наличия у нарушителя привилегий на отправку запросов браузеру, функционирующему в дискредитируемой системе

Источник угрозы
Внешний нарушитель со средним потенциалом
Потенциал нарушителя
средний (Н3)
Объект воздействия
Сетевое программное обеспечение
Категории объекта
Сетевое ПО, узлы и трафик
Нарушаемые свойства
Конфиденциальность
Изменена в БДУ
08.02.2019

Источник: УБИ.016 на bdu.fstec.ru. Актуальность и формулировку выверяйте по официальному БДУ.

Нужно определить актуальные угрозы для модели угроз? Воспользуйтесь калькулятором подбора угроз — он отберёт кандидатные УБИ по параметрам вашей системы.