SEOSERVISE - Защита информации.

 
   
 

Главная


 


Этап 4: инвентаризация Web - ресурсов В результате выполнения этапов 1 3 было получено много важной информации. Последний этап состоит в инвентаризации всех найденных на сервере Web -ресурсов. Из всех возможных методов классификации для разделения Web -ресурсов авторы ре­ комендуют использовать описанные ниже категории. Статическое содержимое. К этой категории можно отнести все содержимое HTML / XML / TXT . которое не изменяется ни при каких HTTP -запросах и не зависит от параметров, переданных броузером. Такие страницы являются наи­ более простыми ресурсами. Пассивность подобных ресурсов обусловила их ми­ нимальную уязвимость от любых атак. Серверные сценарии. К этой категории относятся серверные страницы ASP , сце­ нарии Perl , CGI -сцснарии и т.д. Серверные сценарии, получающие данные от Web -броузеров или из параметров URL , требуют повышенного внимания. При определении степени уязвимости таких ресурсов следует отдельно учитывать также атаки, связанные с ошибками проверки входных данных. • Дополнительные модули. К этой категории относятся серверы приложений и ин­ терпретаторы языков Web -приложений, такие как ColdFusion , PHP и Weblogic , установленные на внешних Web -серверах. В главе 6 описано, как функционируют такие серверы приложений и как их идентифицировать. Те же приемы можно использовать для определения Web -ресурсов, относящихся к этой категории. • Анлеты и объекты. К этой категории относятся аплсты Java или другие вне­ дренные в HTML -код объекты, которые выполняются броузером. • Клиентские сценарии. К этой категории следует отнести весь код, размещаемый ме­ жду дескрипторами < SCRIPT >.. .. Этот код также выполняется броузером. Cookie . К этой категории относятся данные cookie , получаемые от различных Web -ресурсов. Здесь следует учитывать также и сами Web -ресурсы, которые ге­ нерируют такие данные. • HTML -формы. К этой категории относятся все Web -ресурсы, в состав которых входят HTML -формы. Формы необходимо подробно проанализировать, осо­ бенно те из них, которые предназначены для передачи регистрационных дан­ ных или содержат скрытые поля. Теперь можно вернуться к полученным данным и классифицировать ресурсы и другие элементы, представив отчет в виде таблицы. Тип ресурсов Количество ресурсов Статические страницы 3 Серверные сценарии 5 Серверные страницы приложения 2 Аплсты и объекты 1 Клиентские сценарии 6 Ресурсы, генерирующие данные cookie 2 Количество фрагментов cookie 7 Ресурсы, содержащие формы HTML 4 Количество форм HTML 5 Количество скрытых полей

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |