Cuprins
Test de cuvinte cheie generate de utilizatori sau conținutDe multe ori le permitem unor utilizatori să posteze informații și nu moderăm sau examinăm ceea ce postează și apoi titlul sau conținutul devin un cuvânt cheie. O modalitate de a controla acest lucru este de la un motor de căutare, cum ar fi Google, pune site-ul: mydomain.com "cuvânt cheie", a fi în ghilimele este un cuvânt cheie exact.
Să dăm un exemplu site: apple.com „fură fotografii” ca cuvânt cheie
De asemenea, servește pentru a vedea dacă suntem poziționați pentru un anumit cuvânt cheie.
Fișiere cu metadate de utilizator
Acest lucru se întâmplă în documentele pdf și Microsoft Office, care sunt editate de pe un server Windows și publicate direct pe web.
Pentru a face acest lucru în Google, scriem site: „Documente și setări”
În rezultate veți putea vedea calea către director, numele utilizatorului și chiar calea fizică a serverului în care se află documentul.
Fișierul robots.txt este utilizat pentru a bloca directoare și fișiere pe care nu dorim să le urmărim, dar din moment ce sunt fișiere text, acestea pot fi listate pentru a vedea dacă se găsește o zonă sensibilă, cum ar fi un panou de administrare sau o aplicație care nu publică. .
Injecții SQL
Acestea apar mai ales la primirea parametrilor trimiși de adresa URL de tipul www.mydomain.com/pagina?id=2
Apoi acel parametru este citit pentru a executa unele instrucțiuni sql
SELECTAți numele. cheie FROM utilizatori WHERE user_id = $ id;
Cel mai bun lucru este să trimiteți interogarea prin metode de postare în loc să intrați în formularele html și, în schimb, să criptați codul și variabila cu o metodă cum ar fi md5 sau sha.
De exemplu:
www.mydomain.com/comprar?idcompra=345&producto=12
Criptarea md5 și mascarea variabilelor
www.midominio.com/comprar?detalle_compra=e3d4b8f9637ce41a577ac68449e7f6b5
Ofensează scripturile javascript
De multe ori dezvoltatorii web lasă fișierele javascript publice și pot fi citite de oricine, dacă aveți coduri sensibile sau funcții de sistem precum redirecționări ajax sau jquery, ar putea fi o vulnerabilitate pentru web.
O metodă interesantă este ofensarea codului sau criptarea acestuia astfel încât o funcție care îndeplinește o sarcină importantă să nu fie ușor de descifrat.
calculul funcției (cantitate, preț) {// Calcul total subtotal = preț * cantitate; documnet.getbyID ('subtotal'). valoare = subtotal; // Calculul totalului documnet.getbyID („total”). Valoare = documnet.getbyID („total”). Valoare + subtotal; } Același cod ofuscat folosind instrumentul online http://myobfuscate.com
Mulți programatori pentru a economisi timp nu validează intrările formularului și permit să scrie și să salveze orice în baza de date, de exemplu, în locul unui nume sau a unui telefon, scrieți o instrucțiune javascript, xss sau orice cod care poate fi apoi executat atunci când este citită înregistrarea respectivă din baza de date.V-a plăcut și ați ajutat acest tutorial?Puteți recompensa autorul apăsând acest buton pentru a-i oferi un punct pozitiv
