Hur man utvärderar webbinnehåll och säkerhet

Hur man utvärderar webbinnehåll och säkerhet | Säkerhet 2024
Hur man utvärderar webbinnehåll och säkerhet | Säkerhet 2024
Innehållsförteckning
Test av sökord som genereras av användare eller innehåll
Många gånger tillåter vi vissa användare att lägga upp information och vi modererar eller granskar inte vad de lägger ut och sedan blir titeln eller innehållet ett sökord. Ett sätt att kontrollera detta är från en sökmotor som Google, sätta webbplats: mydomain.com "sökord", att vara i citattecken är ett exakt sökord.
Låt oss ta ett exempel sajt: apple.com "stjäla foton" som sökord

Vi hittade en titel, det är faktiskt ett program som heter Steal photos i iTunes-butiken, men om vi söker kan det vara ännu värre med andra sökord eller om vi drabbas av en attack av xss-typ.
Det fungerar också för att se om vi är placerade för ett visst sökord.
Filer med användarmetadata
Detta förekommer i pdf -dokument och Microsoft office, som redigeras från en Windows -server och publiceras direkt på webben.
För att göra detta i Google skriver vi site: "Dokument och inställningar"
I resultaten kommer du att kunna se sökvägen till katalogen, användarens namn och till och med den fysiska sökvägen till servern där dokumentet finns.

Åtkomst till robots.txt -filen
Filen robots.txt används för att blockera kataloger och filer som vi inte vill spåra, men eftersom de är textfiler kan de listas för att se om något känsligt område som en administrationspanel eller ett program inte publicerar hittas .

Filen robots.txt det är offentligt eftersom sökmotorer läser det vid genomsökning av information. Alla webbplatser använder den för att skydda innehåll och kataloger.
SQL -injektioner
Dessa uppträder särskilt när man tar emot parametrar som skickas via webbadress av typen www.mydomain.com/pagina?id=2
Därefter läses den parametern för att utföra någon sql -instruktion
VÄLJ namn. nyckel FRÅN användare VAR user_id = $ id;
Det bästa är att skicka frågan genom postmetoder istället för att komma in i html -formulär och istället kryptera koden och variabeln med någon metod som md5 eller sha.
Till exempel:
www.mydomain.com/comprar?idcompra=345&producto=12
Krypterar md5 och maskerar variablerna
www.midominio.com/comprar?detalle_compra=e3d4b8f9637ce41a577ac68449e7f6b5
Fördunkla javascript -skript
Många gånger lämnar webbutvecklare javascript -filer offentliga och kan läsas av vem som helst, om du har känslig kod eller systemfunktioner som ajax eller jquery -omdirigeringar kan det vara en sårbarhet för webben.
En intressant metod är att dölja koden eller kryptera den så att en funktion som utför en viktig uppgif.webpt inte är lätt att dechiffrera.
 funktionsberäkning (kvantitet, pris) {// Delsumma beräkning delsumma = pris * kvantitet; documnet.getbyID ('subtotal'). value = subtotal; // Beräkning av det totala documnet.getbyID ('totalt'). Värde = documnet.getbyID ('totalt'). Värde + delsumma; }

Samma förvirrade kod med onlineverktyget http://myobfuscate.com

Inträdesvalideringsattacker
Många programmerare för att spara tid validerar inte formulärinmatningarna och gör det möjligt att skriva och spara någonting i databasen, till exempel istället för att ett namn eller en telefon skriver en javascript -instruktion, xss eller någon kod som sedan kan köras när den posten läses från databasen.Gillade du och hjälpte denna handledning?Du kan belöna författaren genom att trycka på den här knappen för att ge honom en positiv poäng
wave wave wave wave wave

Populära Inlägg

wave
1
post-title
Hur man öppnar portar på min ETB ZTE -router
2
post-title
▷ Hur tar jag bort din Facebook -sida 2021 - Mobil eller PC
3
post-title
Så här återställer du Samsung Galaxy A50 Hard Reset
4
post-title
▷ Hur tar jag bort Yahoo sökmotor från Mozilla Firefox - Yahoo Search
5
post-title
Hur man tar en skärmdump på Mac

Rekommenderas

wave
- Sponsored Ad -

Redaktionen

wave
- Sponsored Ad -