Come valutare i contenuti web e la sicurezza

Come valutare i contenuti web e la sicurezza | Sicurezza 2024
Come valutare i contenuti web e la sicurezza | Sicurezza 2024
Sommario
Test di parole chiave generate da utenti o contenuti
Molte volte permettiamo ad alcuni utenti di pubblicare informazioni e non moderiamo o rivediamo ciò che pubblicano e quindi il titolo o il contenuto diventa una parola chiave. Un modo per controllarlo è da un motore di ricerca come Google, inserisci site: mydomain.com "keyword", essendo tra virgolette è una parola chiave esatta.
Facciamo un esempio sito: apple.com "ruba foto" come parola chiave

Abbiamo trovato un titolo, in realtà è un'applicazione chiamata Steal photos nell'iTunes store, ma se cerchiamo potrebbe essere anche peggio con altre parole chiave o se subiamo un attacco di tipo xss.
Serve anche per vedere se siamo posizionati per una determinata parola chiave.
File con metadati utente
Ciò si verifica nei documenti PDF e in Microsoft Office, che vengono modificati da un server Windows e pubblicati direttamente sul web.
Per farlo in Google scriviamo sito: "Documenti e impostazioni"
Nei risultati potrai vedere il percorso della directory, il nome dell'utente e anche il percorso fisico del server in cui si trova il documento.

Accesso al file robots.txt
Il file robots.txt viene utilizzato per bloccare directory e file di cui non vogliamo essere tracciati, ma poiché sono file di testo possono essere elencati per vedere se viene trovata qualche area sensibile come un pannello di amministrazione o un'applicazione che non pubblica .

Il file robots.txt è pubblico poiché i motori di ricerca lo leggono durante la scansione delle informazioni. Tutti i siti web lo utilizzano per proteggere contenuti e directory.
Iniezioni SQL
Questi si verificano soprattutto quando si ricevono parametri inviati da url del tipo www.miodominio.com/pagina?id=2
Quindi quel parametro viene letto per eseguire alcune istruzioni sql
SELEZIONA nome. chiave FROM utenti WHERE user_id = $ id;
La cosa migliore è inviare la query tramite metodi post invece di ottenere nei moduli html e crittografare invece il codice e la variabile con un metodo come md5 o sha.
Ad esempio:
www.miodominio.com/comprar?idcompra=345&producto=12
Crittografare md5 e mascherare le variabili
www.midominio.com/comprar?detalle_compra=e3d4b8f9637ce41a577ac68449e7f6b5
Script javascript offuscati
Molte volte gli sviluppatori web lasciano i file javascript pubblici e possono essere letti da chiunque, se si dispone di codice sensibile o funzioni di sistema come reindirizzamenti ajax o jquery, potrebbe essere una vulnerabilità per il web.
Un metodo interessante è offuscare il codice o crittografarlo in modo che una funzione che svolge un compito importante non sia facile da decifrare.
 calcolo funzione (quantità, prezzo) {// Subtotale calcolo subtotale = prezzo * quantità; documnet.getbyID ("subtotale") value = subtotale; // Calcolo del totale documnet.getbyID ('total') Value = documnet.getbyID ('total') Value + subtotale; }

Lo stesso codice offuscato utilizzando lo strumento online http://myobfuscate.com

Attacchi di convalida delle voci
Molti programmatori per risparmiare tempo non convalidano gli input del form e consentono di scrivere e salvare qualsiasi cosa nel database, ad esempio al posto di un nome o di un telefono scrivi un'istruzione javascript, xss o qualsiasi codice che possa poi essere eseguito quando quel record viene letto dalla banca dati.Ti è piaciuto e hai aiutato questo Tutorial?Puoi premiare l'autore premendo questo pulsante per dargli un punto positivo
wave wave wave wave wave

Messaggi Popolari

wave
1
post-title
▷ Avvia la MODALITÀ SICURA CON RETE Windows 10
2
post-title
Come disabilitare l'ID dell'impronta digitale Honor View 20
3
post-title
Lettura di servizi web da Android con JSON
4
post-title
Come configurare IP, DNS e DHCP in CentOS 8
5
post-title
Come cambiare la lingua predefinita Windows 10 e la lingua di Cortana

Raccomandato

wave
- Sponsored Ad -

Scelta Del Redattore

wave
- Sponsored Ad -