SEOSERVISE - Защита сайтов от хакеров.

 
   
 

Главная


 


имя автора, дата создания и т.д., можно найти внутри заголовка документа HTML в дескрипторе < meta >. Хорошим примером информации, размещаемой в дескрипторах < meta >, может по­служить следующий фрагмент кода HTML , взятый с Web -узла компании CNN : В этом фрагменте кода не содержится никакой важной информации. Однако деск­ рипторы < reta > представляют собой одно из. мест, в которых можно допустить ошибку. Скрытые поля Скрытые поля уже кратко рассматривались в главе 3 при обсуждении HTML - форм. Для создания скрытых полей используется дескриптор < INPUT TYPE = HIDDEN ИРМЕ=имя...> Зачастую такие поля используются разработчиками Web -приложений для обмена информацией между формами и серверными программами, которые обра­ батывают пользовательские данные. Поскольку протокол HTTP не поддерживает со­стояния, скрытые поля упрощают отслеживание перемещений пользователя внутри приложения. Некоторые разработчики допускают ошибку, передавая конфигурационные пара­метры приложения тем модулям, в которых используются скрытые поля. При атаке на узел acme - art . com хакеру удалось извлечь конфигурационный файл электронной торго­ вой тележки, просмотрев скрытое поле HTML -формы. Воспользовавшись следующей строкой, взломщик сможет получить конфигурационный файл cart . ini , а со време­ нем и список авторизованных кредитных карточек, содержащийся в файле ccauth . log . < input type = hidden KAM ?-_ IKIFILE VALUE »* cart . ini "> Однако подобные ошибки приводят не только к утечке информации. Они также позволяют хакеру изменять содержащиеся в скрытых полях данные, сохраняя локаль­ ную копию HTML -кода, изменять их, а затем передавать обратно на сервер. Скрытые поля будут еще раз обсуждаться при рассмотрении процесса атаки (глава 13) и воровства в электронных магазинах (глава 10). А сейчас самое время по­ знакомиться с тем, как скрытые поля можно найти в коде HTML . С помощью поиска строки TtPE = HIDDEN можно выполнить инвентаризацию всех скрытых полей, содержа­ щихся в коде HTML -страницы. Полное уяснение функционального назначения каж­ дого скрытого поля в приложении позволит предотвратить утечку информации и воз­ можность подделки содержащихся в них значений.

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |