¿Qué es la navegación forzada?
La navegación forzada es un tipo de ciberataque en el que un atacante intenta acceder a directorios, archivos u otros recursos que un sitio web no pretende poner a disposición del público. En lugar de navegar por páginas y enlaces públicos, el atacante ingresa directamente una URL en la barra de direcciones del navegador para buscar archivos o directorios ocultos en el servidor. Los métodos comunes para identificar rutas no públicas incluyen:
Listado de directorios
Si la función de índice de directorio del servidor web está habilitada, al especificar la URL de un directorio se puede mostrar una lista de archivos que contiene. Si hay archivos confidenciales en esos directorios, los atacantes pueden identificar fácilmente sus nombres.
Comentarios de archivos HTML
Los comentarios incrustados en el código HTML pueden revelar inadvertidamente rutas a recursos no públicos.
Adivinación de URL
Al examinar los listados de directorios o la información de los comentarios HTML, los atacantes pueden deducir las convenciones de nombres del sitio. Luego pueden usar estos patrones para especular sobre los nombres de archivos no públicos en otros directorios.
Para evitar ataques de navegación forzada:
Además, la implementación de un firewall de aplicação web (WAF) puede mitigar eficazmente dichos ataques. F5 ofrece F5 BIG-IP, que integra sólidas capacidades WAF para proteger contra la navegación forzada y otras amenazas cibernéticas.