Web - scripturi - Secretele și Minciuni
Web - scripturi
Ținta atacurilor discutat mai sus, computerul unui utilizator, iar acum vom discuta despre atacul pe server.
Server-side include (de server, SSI) - această orientare pentru server web, built-in HTML-pagini. Direct înainte de a trimite serverul de web pagina de browser efectuează toate SSI, conținute pe pagină, și puneți-l munca ta. SSI atac la fel de profitabile ca și orice altceva.
Puteți ataca vulnerabilitățile software-ului terță parte: pe servere web în aplicațiile lor. Acestea includ aplicații de baze de date, „coș“, program de tranzacții, și alte servere. Aceste atacuri nu depind de modul în care site-ul este utilizarea aplicației, și din aplicația propriu-zisă (baza de date Oracle, de exemplu). Atacatorii ar putea descărca codul sursă de pe serverul de web, distruge serverul, obține privilegii de acces la nivel de administrator pentru a conecta la server, executați pe serverul orice program, și așa mai departe. N. În schimb, defecte de securitate, cauzate de un script CGI, stabilirea de vulnerabilitate pentru suplimentare aplicații care nu sunt sub controlul site-ului; este obligația de a produselor software.
Un astfel de atac din mai multe motive direcționate în principal scripturi CGI. Cele mai multe script-uri CGI sunt scrise grosolan, iar acestea sunt foarte răspândite în rândul utilizatorilor. Ai un set de scenarii cu software-ul sau de la furnizorul. Deseori, persoanele implicate în scris scenariul, nu au experiență de programare. Ele nu sunt prea bine versat în problemele de securitate care pot apărea din utilizarea de script-uri sau scenarii din cauza interacțiunii cu alte părți ale software-ului de server. Un server web este în imposibilitatea de a supraveghea activitatea CGI-script-uri. De aceea, uneori, script-ul este creat pentru un singur scop și în cazul în care este folosit pentru alte elemente de protecție, daune.
Atacuri CGI -, împotriva lor stand de puternic mic. Desigur, este posibil să se scrie sigure CGI script-uri, dar aproape nimeni nu o va face. O companie a fost verificat site-uri web pentru defecte în aplicații cum ar fi de CGI script-uri - nu a găsit niciun site care nu poate fi piratat. Aceasta este - o vulnerabilitate în întregime.