Obsah
Test klíčových slov generovaných uživateli nebo obsahemMnohokrát některým uživatelům umožňujeme zveřejňovat informace a my nemoderujeme ani nekontrolujeme, co zveřejňují, a poté se název nebo obsah stane klíčovým slovem. Jedním ze způsobů, jak to ovládat, je vyhledávač jako Google"put site: mydomain.com" klíčové slovo ", být v uvozovkách je přesné klíčové slovo.
Pojďme příkladem site: apple.com „kradou fotky“ jako klíčové slovo
Slouží také k tomu, abychom zjistili, zda jsme v pozici pro určité klíčové slovo.
Soubory s uživatelskými metadaty
K tomu dochází v dokumentech PDF a Microsoft Office, které jsou upravovány ze serveru Windows a publikovány přímo na webu.
K tomu v Google píšeme web: "Dokumenty a nastavení"
Ve výsledcích uvidíte cestu k adresáři, jméno uživatele a dokonce i fyzickou cestu k serveru, kde se dokument nachází.
Soubor robots.txt slouží k blokování adresářů a souborů, které nechceme sledovat, ale protože se jedná o textové soubory, lze je vypsat a zjistit, zda je nalezena citlivá oblast, jako je administrační panel nebo aplikace, která nezveřejňuje .
SQL injekce
K tomu dochází zejména při přijímání parametrů odeslaných adresou URL typu www.mydomain.com/pagina?id=2
Poté se tento parametr načte a provede se nějaká sql instrukce
VYBRAT název. klíč OD uživatelů KDE user_id = $ id;
Nejlepší je odeslat dotaz metodami post místo toho, abyste se dostali do html formulářů, a místo toho zašifrujete kód a proměnnou nějakou metodou, jako je md5 nebo sha.
Například:
www.mydomain.com/comprar?idcompra=345&producto=12
Šifrování md5 a maskování proměnných
www.midominio.com/comprar?detalle_compra=e3d4b8f9637ce41a577ac68449e7f6b5
Obfuscate skripty javascriptu
Weboví vývojáři mnohdy nechávají soubory javascriptu veřejné a může je číst kdokoli. Pokud máte citlivý kód nebo systémové funkce, jako je přesměrování ajax nebo jquery, může to být chyba zabezpečení webu.
Zajímavou metodou je zamlžit kód nebo jej zašifrovat aby funkci, která plní nějaký důležitý úkol, nebylo snadné rozluštit.
výpočet funkce (množství, cena) {// Mezisoučet výpočet mezisoučet = cena * množství; documnet.getbyID ('mezisoučet'). hodnota = mezisoučet; // Výpočet celkového dokumnet.getbyID ('total'). Hodnota = documnet.getbyID ('total'). Value + mezisoučet; } Stejný zmatený kód pomocí online nástroje http://myobfuscate.com
Mnoho programátorů, kteří šetří čas, neověřují vstupy do formulářů a umožňují zapisovat a ukládat cokoli do databáze, například místo jména nebo telefonu napsat instrukci javascript, xss nebo jakýkoli kód, který lze poté provést při čtení záznamu z databáze.Líbil se vám tento návod a pomohl mu?Autora můžete odměnit stisknutím tohoto tlačítka, čímž mu dáte kladný bod
