SEOSERVISE - Защита сайтов от хакеров, защита от взлома.

 
   
 

Главная


 


Случай из жизни : исследование подступов к корпоративным сокровищам Однажды Джек задержался в офисе до поздней ночи. Он был экстраординарным разработчиком приложений для Web (а также знаменитым Web -хакером), часто скучал и любил изучать рынок. Он относился к тем людям, которые всегда хотят обращать на себя внимание. В эту ночь Джек немного загрустил и решил порыскать в Internet . Недавно Джек приобрел несколько фильмов на интерактивном Web -узле Example .сои, на котором был представлен каталог более чем из 10 000 наименований фильмов и музыки, записанных на видеокассетах, а также музыкальных компакт-дисках и DVD . За день до этого Джек получил с упомянутого узла почтовое сообщение-спэм о появле­ нии нового Web -узла, который был гораздо дружелюбнее своего предшественника. Но больше всего Джека заинтересовало сообщение торговой компании о том, что новый Web -узел невозможно взломать. Как только Джек вспомнил об этом, его руки сами по­тянулись к клавиатуре и пальцы забегали в неистовом танце. Джек решил найти опро­вержение утверждению, которое содержалось в почтовом сообщении. Он начал с просмотра главной страницы У страницы был броский дизайн, и она была перегружена роликами Macromedia Flash . Кроме того, на узле использовалась одна из технологий серверной обработки данных, с которой Джек не был знаком. Он решил проанализировать URL и попы­ таться более точно определить используемую технологию. Для доступа к основной странице использовался Внимательно рассмотрев URL , Джек обратил внимание на ряд аспектов. • Как следует из имени файла load . cgi . разработчик Web -приложения воспользо­ вался одной из технологий CGI , возможно, языком Perl . • Программист использовал динамический HTML ( DHTML ) с возможностями, предоставляемыми последней версией 4.0 языка HTML . Такой вывод следует из имени файла main . dhtml . • Поскольку программе CGI ( load , cgi ) параметры передаются в строке запроса URL , то можно сделать вывод о ТОМ, что для передачи содержимого использу­ ются запросы GET . Если программист, написавший сценарий load . cgi , не позаботился о строгой про­верке передаваемых значений полей, то кто-нибудь обязательно сможет просмотреть содержимое любого файла в файловой системе Web -сервера. Однако Джек этого не знал, пока не попробовал ввести следующий В результате обработки этого URL на экране появился исходный код основной CGl -программы load . cgi . Теперь Джек мог просмотреть любой файл файловой систе­ мы. Однако, прежде чем приступить к поиску потенциальных целей исследуемого Web -узла, он решил обратиться к файлу robots . txt .

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |