SEOSERVISE - Защита сайтов от хакеров.

 
   
 

Главная


 


эти функции использовать все же необходимо, обязательно проверяйте входные переменные, как упоминалось выше. • В системах Unix не стоит использовать значения переменных окружения. Вместо этого задавайте значения переменных $РАТН и $ IFS только в файлах сценариев. Если вы не осуществляете явное управление этими переменными, взломщик сможет изменить их значения и заставить программу выполнить другую коман­ ду, а не ту, которая планировалась. Проверяйте размер входных переменных или данных, введенных в поля фор­мы. Для этого необходимо либо проверять длину переменных, передаваемых в программу, либо использовать поле для ограничения размера данных, передаваемых в запросах TOST (а иногда и GET ). Если этого не сделать, взломщик сможет отправить в переменной большое количество данных и привести к краху Web -сервера, системы или, что еще хуже, добиться пере­ полнения буфера и удаленно выполнить произвольные команды. • Попробуйте отказаться от приема пути из полей формы. По крайней мере убедитесь, что путь является относительным, а не абсолютным. Кроме того, отслеживайте символы точки (..) или прямой/обратной косой черты (/ или \). В противном случае взломщик сможет сгенерировать запрос на получение фай­ ла паролей системы Unix или запрос на получение резервной копии файла SAM системы Windows По возможности используйте проверку допустимости используемых значений переменных. • По умолчанию сценарии Perl хранятся в виде незашифрованного текста. Поэтому после взлома Web -сервера можно прочитать файлы Perl и извлечь из них различ­ ную информацию, например имена пользователей и пароли для доступа к базе данных. Несколько программ, например позволяют скрыть код Perl . При их использовании создается независимый исполняемый файл (.ехе). из-за чего становятся ненужными исходный код Perl и интерпретатор. Вообще, защита сценариев Perl имеет решающее значение, поэтому найдите или разработайте самостоятельно хорошую функцию анализа входных данных и приме­ няйте ее для проверки значения каждого поля пользовательской формы. Для получе­ния более подробной информации о защите сценариев Perl обращайтесь по адресу: Хотя у языка РНР было несколько авторов, истоки его развития заложил Расмус Лердорф ( Rasmus Lcrdorf ). В 1995 году он разработал первый синтаксический анализа­ тор РНР, который, по существу, представлял собой CGI -программу на языке Perl . Расмус назвал ее персональной домашней страницей ( Personal Home Page ) или просто РНР. Эта программа бьша создана для регистрации посетителей его страницы-резюме в Web . Позже программа была полностью переписана на языке С и стала гораздо больше. В ней были улучшены возможности синтаксического анализа и добавлены

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |