Съдържание
Тест на ключови думи, генерирани от потребители или съдържаниеМного пъти позволяваме на някои потребители да публикуват информация и не модерираме или преглеждаме това, което публикуват, а след това заглавието или съдържанието се превръща в ключова дума. Един от начините да контролирате това е от търсачка като Google, поставете сайт: mydomain.com "ключова дума", като в кавички е точна ключова дума.
Нека да дадем пример сайт: apple.com „кражба на снимки“ като ключова дума
Той също така служи за проверка дали сме позиционирани за определена ключова дума.
Файлове с потребителски метаданни
Това се случва в pdf документи и офис на Microsoft, които се редактират от сървър на Windows и се публикуват директно в мрежата.
За да направим това в Google, ние пишем сайт: "Документи и настройки"
В резултатите ще можете да видите пътя към директорията, името на потребителя и дори физическия път на сървъра, където се намира документът.
Файлът robots.txt се използва за блокиране на директории и файлове, които не искаме да се проследяват, но тъй като те са текстови файлове, те могат да бъдат изброени, за да се види дали не е намерена някоя чувствителна област като административен панел или приложение, което не се публикува. .
SQL инжекции
Това се случва особено при получаване на параметри, изпратени от url от типа www.mydomain.com/pagina?id=2
След това този параметър се чете, за да изпълни някаква sql инструкция
SELECT име. ключ FROM users WHERE user_id = $ id;
Най -доброто нещо е да изпратите заявката чрез методите за публикуване, вместо да влизате в html формулярите и вместо това да шифровате кода и променливата с някакъв метод като md5 или sha.
Например:
www.mydomain.com/comprar?idcompra=345&producto=12
Шифроване на md5 и маскиране на променливите
www.midominio.com/comprar?detalle_compra=e3d4b8f9637ce41a577ac68449e7f6b5
Закрийте скриптове на JavaScript
Много пъти уеб разработчиците оставят javascript файлове публични и могат да бъдат прочетени от всеки, ако имате чувствителен код или системни функции като ajax или jquery пренасочване, това може да е уязвимост за мрежата.
Интересен метод е да замажете кода или да го шифровате така че функция, която изпълнява някаква важна задача, не е лесна за дешифриране.
изчисление на функция (количество, цена) {// Междинна сума изчисление междинна сума = цена * количество; documnet.getbyID ('междинна сума'). стойност = междинна сума; // Изчисляване на общия documnet.getbyID ('общо'). Стойност = documnet.getbyID ('общо'). Стойност + междинна сума; } Същият объркан код, използващ онлайн инструмента http://myobfuscate.com
Много програмисти, за да спестят време, не валидират въведените данни във формуляра и позволяват да записват и записват всичко в базата данни, например вместо име или телефон, пишат инструкция за javascript, xss или друг код, който след това може да бъде изпълнен, когато този запис се прочете от базата данни.Хареса ли ви и помогнахте на този урок?Можете да възнаградите автора, като натиснете този бутон, за да му дадете положителна точка
