Was ist Forced Browsing?
Der Begriff Forced Browsing steht für eine Sicherheitslücke in Webservern oder Webanwendungen, die den Zugriff auf eigentlich nicht zugängliche Dateien und Verzeichnisse durch Eingabe von URLs ermöglicht. Diese Dateien können Anmeldeinformationen oder persönliche Daten wie Kreditkartennummern enthalten. Die Angriffsform ist ebenfalls als File Enumeration, Predictable Resource Location, Resource Enumeration und Directory Enumeration bekannt.
Wie funktioniert Forced Browsing?
Ein Angreifer kann mit Brute-Force-Techniken nach unverlinkten Dateien suchen, die im Domain-Verzeichnis liegen. Unter Umständen enthalten diese Dateien sensible Informationen. Mit der Eingabe von „../“ gelangt er in der Verzeichnisstruktur eine Ebene höher, so ist das Navigieren in den Verzeichnissen möglich. Der Angreifer kann es zum Beispiel auf Back-ups abgesehen haben. Angenommen, es gibt ein PHP-Skript mit dem Namen „database.php“, das Anmeldedaten zur Datenbank enthält. Auf das Skript ist jedoch kein direkter Zugriff möglich. Jetzt kann der Cyberkriminelle nach einem Back-up der Datei suchen, „database.php.bak“ ist in diesem Beispiel eine typische Dateibezeichnung. Findet er in diesem Back-up die gültigen Zugangsdaten zur Datenbank, ist der volle Zugriff möglich.
Wie sieht die Rechtslage aus?
Forced Browsing liegt in Deutschland in einer rechtlichen Grauzone. Eine Straftat liegt dann vor, wenn der Kriminelle einen Nutzen aus den Daten zieht und diese beispielsweise verkauft. Das gilt auch, wenn der Betreiber der Website die gefundenen Daten scheinbar öffentlich ins Internet gestellt hat.