SEOSERVISE - Защита информации.

 
   
 

Главная


 


Чтобы быстро проверить, используются ли на Web -узле или в приложении скры­ тые поля, можно прибегнуть к любому из многих механизмов поиска, доступных в Internet . Например, на рис. 10.11 показано, как с помощью механизма Google оп­ ределить, используются ли на Web -узле www . acme - fashions . com скрытые поля, в ко­ торых передается значение цены. На рис. 10.12 показаны результаты поиска: внутри домена www . acme - fasliions . com были найдены все страницы, на которых содержатся строки type = hidden = price . He забывайте, что поиск нужно выполнять только на нужном вам узле. В противном случае придется анализировать огромное количество информации! Обход проверки данных в клиентской части приложений Следующая ошибка, обнаруженная экспертами по вопросам безопасности, была связана со способом проверки данных перед их передачей в подсистему выбора това­ ров (электронную торговую тележку SliopCart . exe ). Web -приложения состоят из мно­ жества сценариев и интерактивных компонентов, которые взаимодействуют с пользо­ вателем в основном с помощью HTML -форм. Интерактивная часть любого компо­ нента получает входные данные из HTML -формы. Затем эти данные обрабатываются на сервере. HTML -формы абсолютно незаменимы, когда необходимо получить какие- либо данные от пользователя. Однако в таких формах нельзя проверить корректность этих данных. Например, если HTML -форма предназначена для ввода даты, то пользо­ ватель вполне может ввести дату 99/88/77. При этом броузер на такое значение никак не отреагирует. В приложении должны использоваться собственные механизмы про­ верки входных данных, позволяющие отфильтровывать некорректную информацию. Проверку входных данных HTML -форм можно выполнять либо с использованием серверных сценариев Perl , PHP или ASP , либо с помощью клиентских сценариев, та­ ких, как JavaScript или VBScript . Разработчики компании Acme прекрасно осознавали необходимость проверки входных данных. Однако торговая тележка SliopCart . exe представляла собой готовое приложение, которое нельзя было модифицировать для реализации этого требования. В результате разработчики решили проводить проверку входных данных в клиентских сценариях, выполняющихся в самом броузере. Кто-то из них даже отметил: "Да, это неплохая идея, поскольку нагрузка на центральный процессор сервера будет гораздо ниже. Пусть вместо него всю работу выполняет клиентский броузер". Не вызывает сомнения тот факт, что можно без проблем изменить любой фраг­ мент клиентской части приложения. Для этого достаточно отредактировать исходный HTML -код, переданный в броузер. Экспертами по вопросам обеспечения безопасно­ сти на узле www . acme - fasliions . com было обнаружено несколько клиентских сценариев, в которых выполнялась проверка входных данных. Если пользователь попытается ку­ пить -5 рубашек, то на экране появится диалоговое окно с сообщением о вводе не­ корректного значения. На рис. 10.13 показан пример проверки входных данных, выполняемой с помощью клиентского сценария JavaScript . Используемый при этом исходный код приведен ниже.

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |