SEOSERVISE - Защита информации.

 
   
 

Главная


 


2. Анализ адресов URL Если анализ расширений не позволяет полностью идентифицировать используе­ мые технологии, то следующий шаг состоит в анализе полного пути URL . Если в нем присутствуют строки / scripts /, / cgi - bin / или / servlet /, то можно определить тип используемого сервера приложения. Зачастую в URL применяется строка запроса. Параметры, передаваемые в строке запроса, также достаточно много сообщают о назначении ресурса. Например, следующие ресурсы, найденные на узле http :// « vw . exaaple . coa /, свидетельствуют о том, что shovtrans и setcustinfo — это серапеты Java , содержащиеся в каталоге / servlet / файловой системы сервера. http :// www . example . com / servlet / setcustinfo 3. Анализ сеансов Как правило, в приложениях, в которых важно поддерживать состояние сеанса, используется один из двух испытанных подходов, позволяющих сохранять информа­ цию о состоянии. Сеансы HTTP поддерживаются либо путем передачи идентифика­ тора сеанса в скрытом поле HTML -формы, либо с использованием данных cookie . Иногда идентификатор сеанса передается как часть самого URL , однако этот способ практически ничем не отличается от использования скрытых полей. При более тщательном анализе следующего URL , полученного в результате иссле­ дования узла http :// ww . example . com /, можно обнаружить поле id , в котором содер­ жится буквенно-цифровая строка.www . example . coo / login / secure / transact ion . asp Параметр id используется для отслеживания сеанса работы с приложением. Его значение и является идентификатором сеанса, который генерируется по специальному алгоритму. Идентификатор сеанса позволяет сохранять в приложении информацию о состоянии всех текущих клиентских сеансов. Управление сеансами можно реализовать с использованием данных cookie . Неко­торые современные серверы Web -приложений используют такие данные для обеспе­ чения встроенной поддержки управления сеансами. Если HTTP -запрос GET передать ресурсу / login . asp узла http :// www . example . coa /, то будет получен следующий ответ: В заголовке HTTP -ответа сообщается, что под именем examplelogin броузеру не­ обходимо сохранить полученные данные cookie , в которых содержится зашифро­ ванная шестнадцатсричная строка, представляющая собой идентификатора сеанса. Броузер передает эти данные на сервер в каждом запросе HTTP на протяжении всего сеанса работы.

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |