Inhaltsverzeichnis
Test der von Benutzern oder Inhalten generierten KeywordsOft erlauben wir einigen Benutzern, Informationen zu veröffentlichen, und wir moderieren oder überprüfen nicht, was sie veröffentlichen, und dann wird der Titel oder Inhalt zu einem Schlüsselwort. Eine Möglichkeit, dies zu kontrollieren, ist eine Suchmaschine wie Google, setze site: mydomain.com "Schlüsselwort", in Anführungszeichen zu stehen, ist ein genaues Schlüsselwort.
Nehmen wir ein Beispiel Website: apple.com "Fotos stehlen" als Stichwort
Es dient auch dazu, zu sehen, ob wir für ein bestimmtes Keyword positioniert sind.
Dateien mit Benutzermetadaten
Dies geschieht in PDF-Dokumenten und Microsoft Office, die von einem Windows-Server bearbeitet und direkt im Web veröffentlicht werden.
Dazu schreiben wir in Google Seite: "Dokumente und Einstellungen"
In den Ergebnissen können Sie den Pfad zum Verzeichnis, den Namen des Benutzers und sogar den physischen Pfad des Servers sehen, auf dem sich das Dokument befindet.
Die Datei robots.txt wird verwendet, um Verzeichnisse und Dateien zu blockieren, die nicht verfolgt werden sollen, aber da es sich um Textdateien handelt, können sie aufgelistet werden, um zu sehen, ob ein sensibler Bereich wie ein Administrationsbereich oder eine Anwendung gefunden wird, die nicht veröffentlicht wird .
SQL-Injektionen
Diese treten insbesondere beim Empfangen von Parametern auf, die per URL vom Typ www.mydomain.com/pagina?id=2 . gesendet werden
Dann wird dieser Parameter gelesen, um eine SQL-Anweisung auszuführen
SELECT-Name. Schlüssel FROM Benutzer WHERE user_id = $ id;
Das Beste ist, die Abfrage über post-Methoden zu senden, anstatt in die HTML-Formulare zu gelangen, und stattdessen den Code und die Variable mit einer Methode wie md5 oder sha zu verschlüsseln.
Zum Beispiel:
www.mydomain.com/comprar?idcompra=345&producto=12
md5 verschlüsseln und die Variablen maskieren
www.midominio.com/comprar?detalle_compra=e3d4b8f9637ce41a577ac68449e7f6b5
Javascript-Skripte verschleiern
Häufig lassen Webentwickler Javascript-Dateien öffentlich und können von jedem gelesen werden. Wenn Sie über sensiblen Code oder Systemfunktionen wie Ajax- oder Jquery-Weiterleitungen verfügen, kann dies eine Schwachstelle für das Web darstellen.
Eine interessante Methode ist es, den Code zu verschleiern oder zu verschlüsseln so dass eine Funktion, die eine wichtige Aufgabe erfüllt, nicht leicht zu entziffern ist.
Funktion Berechnung (Menge, Preis) {// Zwischensummenberechnung Zwischensumme = Preis * Menge; documnet.getbyID ('Zwischensumme') value = Zwischensumme; // Berechnung der Summe documnet.getbyID ('total') Value = documnet.getbyID ('total') Value + Zwischensumme; } Derselbe verschleierte Code mit dem Online-Tool http://myobfuscate.com
Um Zeit zu sparen, validieren viele Programmierer die Formulareingaben nicht und erlauben es, alles in die Datenbank zu schreiben und zu speichern, zum Beispiel anstelle eines Namens oder eines Telefons schreiben Sie eine Javascript-Anweisung, xss oder einen anderen Code, der dann ausgeführt werden kann, wenn dieser Datensatz gelesen wird aus der Datenbank.Hat dir dieses Tutorial gefallen und geholfen?Sie können den Autor belohnen, indem Sie diesen Knopf drücken, um ihm einen positiven Punkt zu geben
