Come valutare la sicurezza e il contenuto Web

{title}

Test di parole chiave generate da utenti o contenuti
Molte volte permettiamo ad alcuni utenti di pubblicare informazioni e non modifichiamo o rivediamo ciò che pubblicano e quindi il titolo o il contenuto diventa una parola chiave. Un modo per controllarlo è da un motore di ricerca come Google, inserire il sito: mydomain.com "parola chiave", essere tra virgolette è una parola chiave esatta.
Andiamo a un sito di esempio : apple.com "ruba foto" come parola chiave

{title}


Abbiamo scoperto che un titolo è in realtà un'applicazione chiamata rubare foto nel negozio Itunes, ma se lo cerchiamo potrebbe essere anche peggio con altre parole chiave o se subiamo un attacco di tipo xss.
Serve anche per vedere se siamo posizionati per una determinata parola chiave.
File con metadati utente
Ciò si verifica nei documenti pdf e Microsoft Office, che vengono modificati da un server Windows e pubblicati direttamente sul Web.
Per questo in Google scriviamo sito: "Documenti e impostazioni"
Nei risultati è possibile visualizzare il percorso della directory, il nome dell'utente e persino il percorso fisico del server in cui si trova il documento.

{title}


Accesso al file robots.txt
Il file robots.txt viene utilizzato per bloccare directory e file che non vogliamo tenere traccia, ma poiché sono file di testo, possono essere elencati per vedere se esiste un'area sensibile come un pannello di amministrazione o un'applicazione non pubblica.

{title}


Il file robots.txt è pubblico mentre i motori di ricerca lo leggono durante il monitoraggio delle informazioni. Tutti i siti Web lo utilizzano per proteggere contenuti e directory.
Iniezioni di SQL
Questi si verificano principalmente quando si ricevono parametri inviati dall'URL del tipo www.mydomain.com/page?id=2
Quindi leggi quel parametro per eseguire alcune istruzioni sql
SELEZIONA il nome. DA chiave utente DOVE user_id = $ id;
È meglio inviare la query tramite metodi post invece di entrare nei moduli html e invece crittografare il codice e la variabile con alcuni metodi come md5 o sha.
Per esempio:
www.midominio.com/comprar?idcompra=345&producto=12
Crittografia di MD5 e mascheramento delle variabili
www.midominio.com/comprar?detalle_compra=e3d4b8f9637ce41a577ac68449e7f6b5
Offusca lo script javascript
Molte volte gli sviluppatori Web lasciano file javascript pubblici e possono essere letti da chiunque, se si dispone di codice o funzioni di sistema sensibili come ajax o reindirizzamenti jquery, potrebbero essere una vulnerabilità del web.
Un metodo interessante è quello di offuscare il codice o crittografarlo in modo che una funzione che esegue alcune attività importanti non sia facile da decifrare.
 calcolo della funzione (quantità, prezzo) {// Totale parziale subtotale = prezzo * quantità; documnet.getbyID ('subtotal'). value = subtotal; // Calcolo del totale documnet.getbyID ('total'). Valore = documnet.getbyID ('total'). Valore + subtotale; } 

Lo stesso codice offuscato utilizzando lo strumento online //myobfuscate.com

{title}


Attacchi di convalida del biglietto
Molti programmatori che risparmiano tempo non convalidano le voci del modulo e ti consentono di scrivere e salvare qualsiasi cosa nel database, ad esempio invece di un nome o di un telefono scrivi un javascript, xss o qualsiasi codice che può quindi essere eseguito quando quel record viene letto del database.

  • 0