Video: Hacking your health with JavaScript - Alan McLean 2024
Dårlig skrevet webprogrammer, for eksempel Hypertext Preprocessor (PHP) og Active Server Pages ASP) -skript, kan tillate hackere å se og manipulere filer på en webserver og gjøre andre ting de ikke er autoriserte til å gjøre.
Disse feilene er også vanlige i innholdsstyringssystemer (CMS) som brukes av utviklere, IT-ansatte og markedsførere for å opprettholde et nettsteds innhold. Standard script angrep er vanlige fordi så mye dårlig skrevet kode er fritt tilgjengelig på nettsteder. Hackere kan også dra nytte av ulike prøveskript som installeres på webservere, spesielt eldre versjoner av Microsofts IIS webserver.
Mange webutviklere og nettredaktører bruker disse skriptene uten å forstå hvordan de virkelig fungerer eller uten å teste dem, noe som kan introdusere alvorlige sikkerhetsproblemer.
For å teste for sårbarheter i script kan du lese manuskript manuelt eller bruke et tekstsøkverktøy for å finne eventuelle hardkodede brukernavn, passord og annen sensitiv informasjon. Søk etter admin, root, bruker, ID, login, signon, passord, pass, pwd, og så videre. Følsom informasjon innebygd i skript som dette er sjelden nødvendig, og er ofte et resultat av dårlig kodingspraksis som gir forrang til bekvemmelighet over sikkerhet.
Du kan bidra til å forhindre angrep mot standard webskript som følger:
-
Vet hvordan skript fungerer før du distribuerer dem i et webmiljø.
-
Pass på at alle standard- eller prøveskript fjernes fra webserveren før du bruker dem.
Ikke bruk offentlig tilgjengelige skript som inneholder hardkodet konfidensiell informasjon. De er en sikkerhetshendelse under oppretting.
-
Angi filtillatelser på sensitive områder av nettstedet ditt / programmet for å hindre offentlig tilgang.
