Web - скриптове - тайни и лъжи
Web - скриптове
Целта на атаките обсъдено по-горе, компютъра на потребителя, а сега ще обсъдим атаката на сървъра.
От страна на сървъра включва (Server Side Includes, SSI) - това ръководство за уеб сървър, вграден HTML-страници. Пряко преди да изпратите уеб сървъра на страницата на браузъра изпълнява всички SSI, съдържащи се в нея, и я поставете вашата работа. SSI атака, колкото е изгодно както всичко останало.
Можете да атакуват уязвимости в софтуера на трети страни: на определени уеб сървъри в своите приложения. Те включват приложения за бази данни, програмата "кошница", транзакциите и други сървъри. Тези атаки не зависят от това как сайтът е да използвате приложението, и от самото приложение (базата данни на Oracle, например). Нападателите може да изтеглите изходния код от уеб сървъра, унищожи сървър, да получат права за достъп на ниво администратор, за да влезете в сървъра, се движат по сървъра всяка програма, и така нататък. Н. За разлика от пропуски в сигурността, причинени от CGI скрипт, създаване на уязвимост за допълнително приложения, които не са под контрола на обекта; това е задължението на софтуер на трети страни.
Такава атака по няколко причини насочено главно към CGI скриптове. Повечето CGI скриптове са написани грубо, и те са широко разпространени сред потребителите. Можете да получите набор от сценарии със софтуера или от вашия доставчик. Често хората, които участват в написването на сценария, не разполагат с опит в програмирането. Те не са твърде добре запознат с въпросите на сигурността, които могат да възникнат при използването на скриптове или сценарии се дължи на взаимодействието с други части на сървърния софтуер. А уеб сървър е в състояние да контролира работата на CGI-скриптове. Затова понякога сценария е създаден с една цел и ако то се използва за друга, защита щети.
Атаките CGI - Мощен, срещу тях малко стойка. Разбира се, че е възможно да се напише сигурни CGI-скриптове, но едва ли някой ще го направи. Едно от дружествата е била проверка на уеб сайтове за пропуски в приложения като на CGI-скриптове - тя не намери всеки сайт, който не може да бъде хакнат. Това е - изцяло уязвимост.