Indholdsfortegnelse
Test af søgeord genereret af brugere eller indholdMange gange tillader vi nogle brugere at sende oplysninger, og vi modererer eller gennemgår ikke det, de sender, og derefter bliver titlen eller indholdet et nøgleord. En måde at kontrollere dette på er fra en søgemaskine som Google, put site: mydomain.com "søgeord", at være i anførselstegn er et nøjagtigt søgeord.
Lad os gå et eksempel websted: apple.com "stjæle fotos" som søgeord
Det tjener også til at se, om vi er placeret for et bestemt søgeord.
Filer med brugermetadata
Dette forekommer i pdf -dokumenter og Microsoft office, som redigeres fra en Windows -server og offentliggøres på internettet direkte.
For at gøre dette i Google skriver vi site: "Dokumenter og indstillinger"
I resultaterne vil du kunne se stien til biblioteket, brugerens navn og endda den fysiske sti til serveren, hvor dokumentet er placeret.
Robotten.txt -filen bruges til at blokere biblioteker og filer, som vi ikke ønsker at blive sporet, men da de er tekstfiler, kan de vises på listen for at se, om der findes et følsomt område, f.eks. Et administrationspanel eller et program, der ikke offentliggøres. .
SQL -injektioner
Disse forekommer især ved modtagelse af parametre sendt af url af typen www.mydomain.com/pagina?id=2
Derefter læses denne parameter for at udføre nogle sql -instruktioner
VÆLG navn. nøgle FRA brugere HVOR user_id = $ id;
Det bedste er at sende forespørgslen via postmetoder i stedet for at komme i html -formularerne og i stedet kryptere koden og variablen med en eller anden metode som f.eks. Md5 eller sha.
For eksempel:
www.mydomain.com/comprar?idcompra=345&producto=12
Kryptering af md5 og maskering af variablerne
www.midominio.com/comprar?detalle_compra=e3d4b8f9637ce41a577ac68449e7f6b5
Skjul javascript -scripts
Mange gange forlader webudviklere javascript -filer offentlige og kan læses af alle, hvis du har følsom kode eller systemfunktioner som f.eks. Ajax eller jquery -omdirigeringer, kan det være en sårbarhed for internettet.
En interessant metode er at skjule koden eller kryptere den så en funktion, der udfører en vigtig opgave, ikke er let at tyde.
funktionsberegning (mængde, pris) {// Subtotal beregning subtotal = pris * mængde; documnet.getbyID ('subtotal'). value = subtotal; // Beregning af det samlede documnet.getbyID ('total'). Værdi = documnet.getbyID ('total'). Værdi + subtotal; } Den samme skjulte kode ved hjælp af onlineværktøjet http://myobfuscate.com
Mange programmerere for at spare tid validerer ikke formularinputene og giver mulighed for at skrive og gemme noget i databasen, f.eks. I stedet for et navn eller en telefon, skrive en javascript -instruktion, xss eller en hvilken som helst kode, der derefter kan udføres, når denne post læses fra databasen.Kan du lide og hjælpe denne vejledning?Du kan belønne forfatteren ved at trykke på denne knap for at give ham et positivt punkt
