Satura rādītājs
Lietotāju vai satura ģenerēto atslēgvārdu pārbaudeDaudzas reizes mēs ļaujam dažiem lietotājiem ievietot informāciju, un mēs nemodernējam un nepārskatām viņu publicēto, un pēc tam nosaukums vai saturs kļūst par atslēgvārdu. Viens veids, kā to kontrolēt, ir meklētājprogramma, piemēram Google, ielieciet vietni: mydomain.com "atslēgvārds", norādot pēdiņās, tas ir precīzs atslēgvārds.
Iesim piemēru vietne: apple.com "nozagt fotoattēlus" kā atslēgvārds
Tas arī kalpo, lai noskaidrotu, vai esam pozicionēti noteiktam atslēgvārdam.
Faili ar lietotāja metadatiem
Tas notiek pdf dokumentos un Microsoft birojā, kas tiek rediģēti no Windows servera un tiek tieši publicēti tīmeklī.
Lai to izdarītu Google, mēs rakstām vietne: "Dokumenti un iestatījumi"
Rezultātos jūs varēsit redzēt ceļu uz direktoriju, lietotāja vārdu un pat tā servera fizisko ceļu, kurā atrodas dokuments.
Fails robots.txt tiek izmantots, lai bloķētu direktorijus un failus, kurus mēs nevēlamies izsekot, taču, tā kā tie ir teksta faili, tos var uzskaitīt, lai redzētu, vai nav atrasta kāda jutīga joma, piemēram, administrācijas panelis vai lietojumprogramma, kas netiek publicēta .
SQL injekcijas
Īpaši tas notiek, ja tiek saņemti parametri, kas nosūtīti ar URL tipa www.mydomain.com/pagina?id=2
Tad šis parametrs tiek nolasīts, lai izpildītu kādu SQL instrukciju
SELECT nosaukumu. atslēga no lietotājiem WHERE user_id = $ id;
Vislabāk ir nosūtīt vaicājumu, izmantojot pasta metodes, nevis iekļūt html formās, un šifrēt kodu un mainīgo ar kādu metodi, piemēram, md5 vai sha.
Piemēram:
www.mydomain.com/comprar?idcompra=345&producto=12
Md5 šifrēšana un mainīgo maskēšana
www.midominio.com/comprar?detalle_compra=e3d4b8f9637ce41a577ac68449e7f6b5
Apjukt javascript skriptus
Daudzas reizes tīmekļa izstrādātāji JavaScript failus atstāj publiskus un tos var lasīt ikviens. Ja jums ir sensitīvs kods vai sistēmas funkcijas, piemēram, ajax vai jquery novirzīšana, tā var būt tīmekļa ievainojamība.
Interesanta metode ir koda sajaukšana vai šifrēšana lai funkciju, kas veic kādu svarīgu uzdevumu, nebūtu viegli atšifrēt.
funkciju aprēķins (daudzums, cena) {// Starpsummas aprēķins starpsumma = cena * daudzums; documnet.getbyID ('starpsumma'). vērtība = starpsumma; // kopējā documnet.getbyID ('kopējais') aprēķins. Vērtība = documnet.getbyID ('kopā'). Vērtība + starpsumma; } Tas pats apjukušais kods, izmantojot tiešsaistes rīku http://myobfuscate.com
Daudzi programmētāji, lai ietaupītu laiku, neapstiprina veidlapas ievades un ļauj rakstīt un saglabāt visu datu bāzē, piemēram, vārda vai tālruņa vietā uzrakstiet JavaScript instrukciju, xss vai jebkuru kodu, ko pēc tam var izpildīt, kad tiek nolasīts šis ieraksts no datu bāzes.Vai jums patika šī apmācība un palīdzējāt tai?Jūs varat apbalvot autoru, nospiežot šo pogu, lai sniegtu viņam pozitīvu punktu
