Turinys
Naudotojų ar turinio sukurtų raktinių žodžių testasDaug kartų leidžiame kai kuriems vartotojams skelbti informaciją, o ne moderuojame ir neperžiūrime to, ką jie skelbia, o pavadinimas ar turinys tampa raktiniu žodžiu. Vienas iš būdų tai kontroliuoti yra naudojant tokią paieškos sistemą „Google“, įdėkite svetainę: mydomain.com „raktinis žodis“, kabutėse nurodytas tikslus raktinis žodis.
Paimkime pavyzdį svetainė: apple.com "pavogti nuotraukas" kaip raktinis žodis
Tai taip pat padeda išsiaiškinti, ar esame pozicijoje pagal tam tikrą raktinį žodį.
Failai su vartotojo metaduomenimis
Tai atsitinka pdf dokumentuose ir „Microsoft Office“, kurie redaguojami iš „Windows“ serverio ir tiesiogiai skelbiami žiniatinklyje.
Norėdami tai padaryti „Google“, rašome svetainė: „Dokumentai ir nustatymai“
Rezultatuose matysite kelią į katalogą, vartotojo vardą ir net fizinį serverio, kuriame yra dokumentas, kelią.
Failas robots.txt naudojamas blokuoti katalogus ir failus, kurių nenorime stebėti, tačiau kadangi jie yra teksto failai, juos galima išvardyti, kad būtų galima pamatyti, ar nerandama jautri sritis, pvz., Administravimo skydas ar programa .
SQL injekcijos
Tai ypač atsitinka, kai gaunami parametrai, siunčiami URL adresu www.mydomain.com/pagina?id=2
Tada šis parametras nuskaitomas, kad būtų įvykdyta tam tikra sql instrukcija
PASIRINKITE pavadinimą. raktas iš vartotojų WHERE user_id = $ id;
Geriausias dalykas yra siųsti užklausą naudojant pašto metodus, o ne patekti į html formas, o užšifruoti kodą ir kintamąjį tam tikru metodu, pvz., „Md5“ arba „sha“.
Pavyzdžiui:
www.mydomain.com/comprar?idcompra=345&producto=12
Md5 šifravimas ir kintamųjų maskavimas
www.midominio.com/comprar?detalle_compra=e3d4b8f9637ce41a577ac68449e7f6b5
Sumaišykite „JavaScript“ scenarijus
Daug kartų žiniatinklio kūrėjai palieka „javascript“ failus viešus ir gali juos perskaityti visi, jei turite slaptą kodą ar sistemos funkcijas, pvz., „Ajax“ arba „jquery“ peradresavimus, tai gali būti žiniatinklio pažeidžiamumas.
Įdomus metodas yra kodą užmaskuoti arba užšifruoti kad funkciją, atliekančią kokią nors svarbią užduotį, nebūtų lengva iššifruoti.
funkcijos skaičiavimas (kiekis, kaina) {// Tarpinis skaičiavimas tarpinė suma = kaina * kiekis; documnet.getbyID ('tarpinė suma'). vertė = tarpinė suma; // Apskaičiuoti bendrą documnet.getbyID ('total'). Value = documnet.getbyID ('total'). Vertė + tarpinė suma; } Tas pats užmaskuotas kodas naudojant internetinį įrankį http://myobfuscate.com
Daugelis programuotojų, norėdami sutaupyti laiko, nepatvirtina formos įvesties ir leidžia bet ką įrašyti ir įrašyti į duomenų bazę, pavyzdžiui, vietoj vardo ar telefono parašykite „JavaScript“ instrukciją, xss ar bet kurį kodą, kuris vėliau gali būti įvykdytas skaitant tą įrašą iš duomenų bazės.Ar jums patiko ir padėjo ši pamoka?Galite apdovanoti autorių paspausdami šį mygtuką, kad suteiktumėte jam teigiamą tašką
