SEOSERVISE - Защита сайтов от хакеров.

 
   
 

Главная


 


Правило 2. Предотвращение отправки броузеру сообщений об ошибке Когда Web -приложение переходит из стадии разработки в стадию коммерческого использования, необходимо тщательно проверить обработку исключений и выдавае­ мые сообщения. Подробные сообщения об ошибке следует хранить во внутреннем системном журнале ( logfilc ) на Web -сервере. Броузеру необходимо отправлять только краткую информацию об ошибке. И опять же, большинство Web -серверов допускают подобную конфигурацию. Многие клиенты утверждают, что их удовлетворяет уровень зашиты приложений, который обеспечивается заменой идентификатора сервера в HTTP -заголовке и изме­ нением расширений используемых файлов. Они полагают, что таким образом смогут сбить с толку взломщиков и предотвратить атаку. Однако такая защита путем "сокрытия" ненадежна. В лучшем случае она защитит от таких утилит поиска изъянов Web -приложений, как Whisker . Но она не остановит опытных Web -хакеров. Резюме Понимание того, каким образом взаимодействуют между собой различные Web - технологии, очень важно при разработке и внедрении Web -приложений. В этой главе были продемонстрированы методы, которыми пользуются взломщики для получения информации о том, что находится "за кулисами" внешнего сервера. Кроме того, здесь кратко упоминались некоторые основные контрмеры, которыми следует руководство­ ваться при создании Web -приложений. Подобное изменение конфигурации приведет к тому, что демон inetd будет переда­ вать сценарию / tmp / sslconnect . sh весь TCP -трафик, приходящий на порт 80 ( WWW ). В файле / tmp / sslconnect . sh содержится следующий код: Поскольку сценарий / tmp / sslconnect . sh запускается демоном inetd , все данные, по­ ступающие на ТСР-порт 80, воспринимаются утилитой openssl как данные, поступаю­ щие из стандартного входного потока. IP -адрес 192.168.7.203 целевого сервера жестко задан в самом сценарии. Один такой SSL -туннель одновременно можно использовать для взаимодействия только с одной системой. Параметры - notlsl и - quiet предназна­ чены для подавления вывода на экран заголовков SSL и обхода предупреждений SSL - аутентификации, генерируемых при использовании неподписанных сертификатов узлов. Все возвращаемые утилитой openssl данные отсылаются обратно через входящее ТСР- соединение демона inetd , поскольку сценарий передает все данные в стандартный вы­ходной поток. Использование SSL -туннеля продемонстрировано на рис. 17.2.

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |