MySpace

All about MySpace

Sécurisation des sites

Sécurisation des sites

Cet article traite de certains des moyens communs que les serveurs web sont attaqués et divers détails techniques dans lesquelles elles – et par extension les sites qu'ils hébergent – peuvent être protégés.

1. Introduction

Pour les systèmes comme les serveurs qui sont conçus pour être «always on», la sécurité est une question importante. serveurs Web sont l'épine dorsale de l'Internet. Ils fournissent les services de base et les fonctionnalités des milliards de sites Web à travers le monde et, par conséquent, agir en tant que référentiel pour les données personnelles de chacun qui les visites. Veiller à ce que les serveurs sont à l'abri des attaques extérieures est une préoccupation majeure pour toute organisation qui comptent sur eux.

Dans les attaques ces dernières années contre les serveurs web ont considérablement augmenté. Comme la carte ci-dessous, il est indifférent où dans le monde vous basez-vous un serveur web: un code malveillant ne respecte aucune frontière. La menace n'est pas seulement international, mais maintenant vient de bandes criminelles organisées à la recherche de mots de passe de récolte, les détails financiers et autres informations, plutôt que les pirates adolescents qui cherchent à semer la discorde. Dans la plupart des cas, une attaque se produit discrètement, avec des serveurs et des sites Web corrompus par des programmes malveillants conçus pour infecter autant d'utilisateurs que possible.

Les serveurs Web sont particulièrement vulnérables car ils sont «ouverts» par la nature, avec les utilisateurs invités à envoyer et recevoir des informations à leur disposition. Le HTTPD (HTTP démon du serveur), le logiciel de base de données et de code derrière un site Web peuvent chacun être ré-écrit par un criminel et de leur origine fonction altérée.

Toutefois, cela ne veut pas dire que les serveurs Web ne peuvent pas être protégés. Ils peuvent, mais il exige une approche intégrée des administrateurs de site Web, les programmeurs et les concepteurs comme, avec des domaines tels que les logiciels anti-virus, systèmes d'exploitation (OS) et des autorisations d'accès nécessitant un examen constant.

Cet article explore plusieurs des espaces communs qui conduisent à un serveur Web compromis et les moyens de les prévenir.

2. fondations Secure

La première étape dans la conception, construction ou l'exploitation d'un site Web sécurisé est de s'assurer que le serveur qui l'héberge est aussi sûr que possible.

Un serveur Web est constituée de couches qui offrent de multiples possibilités d'attaque, que le diagramme ci-dessous montre. Rappelez-vous, chaque bloc est une cible possible.

La fondation de n'importe quel serveur est le système d'exploitation et le secret de s'assurer qu'il demeure sécuritaire est simple: garder mis à jour avec les derniers correctifs de sécurité. Cela ne pouvait pas être plus facile, avec Microsoft [1], avec de nombreuses saveurs de Linux, qui permet aux organisations d'appliquer les correctifs automatiquement ou de les lancer avec un simple clic de souris.

Toutefois, n'oubliez pas que les pirates trop automatiser leurs propres tentatives de malware conçu pour sauter de serveur à serveur jusqu'à ce qu'il trouve une qui est non patchées. C'est pourquoi il est important de veiller à ce que vos patchs sont à jour et correctement installé, comme tout serveur exécutant anciens patches deviendra une victime.

Vous avez également faut pas oublier de mettre à jour tous les composants logiciels qui s'exécutent sur un serveur web. Tout ce qui est non-essentiels, tels que les serveurs DNS et des outils d'administration à distance comme VNC ou Remote Desktop, devrait être désactivés ou supprimés. Si les outils d'administration à distance sont indispensables, cependant, alors évitez d'utiliser des mots de passe par défaut ou tout ce qui peut être deviné facilement [14]. Ce n'est pas seulement applicable à distance outils d'accès, mais les comptes d'utilisateurs, les commutateurs et les routeurs ainsi.

La prochaine zone à traiter est un logiciel anti-virus. Il s'agit d'un must pour tout serveur Web – qu'il s'agisse sous Windows ou sous Unix – et, combiné avec un pare-feu souples, est l'une des formes les plus forts de défense contre les violations de la sécurité. Quand un serveur web est ciblé l'attaque va tenter pour télécharger les outils de piratage des logiciels malveillants ou immédiatement, de manière à profiter de la brèche de sécurité avant qu'il ne soit fixée. Sans un bon paquet anti-virus, une brèche dans la sécurité peut passer inaperçu pour un important laps de temps.

Quand il s'agit de la défense, une approche multi-couches est la meilleure. Dans la ligne de front sont le pare-feu et le système d'exploitation, tandis que dans les tranchées, c'est l'anti-virus, prêt à précipiter et de combler les lacunes qui se présentent.

En résumé:

• Ne pas installer les composants logiciels que vous n'avez pas besoin. Chaque composant est un risque, plus il ya, plus le risque

• Gardez votre système d'exploitation et des applications à jour avec les dernières mises à jour de sécurité.

• Utilisez anti-virus, permettre aux mises à jour automatiques et de vérifier régulièrement que ces programmes sont installés correctement.

Certaines de ces tâches peut sembler onéreux, mais ne pas oublier qu'il ya juste un trou de sécurité unique assez pour un attaquant. Les risques potentiels comprennent des données volées et la bande passante, IP du serveur de listes noires, l'impact négatif sur la réputation de l'organisation et la possibilité que votre site web pourrait devenir instable.

La prochaine pièce la plus importante de logiciels est le HTTPD elle-même, avec les deux variantes les plus populaires étant ISS et Apache.

2.1 Internet Information Services (IIS)

ISS fait partie de Microsoft Windows et un serveur web populaire et couramment utilisé, car il nécessite une configuration très peu.

Lorsque sa mise en œuvre, cependant, il est utile de rappeler ce qui suit:

• Désactiver les services par défaut tels que FTP et SMTP si vous en avez besoin. Désactiver le répertoire fonction de navigation que si elle est nécessaire, car il permet aux visiteurs de voir quels fichiers sont en cours d'exécution sur votre système.

• Désactivez les extensions serveur FrontPage qui ne sont pas utilisé.

Vous devriez aussi garder ISS entièrement mis à jour, qui peut être fait simplement en activant la fonction de mise à jour automatique qui se trouve dans le Panneau de configuration de Windows.

2.2 Serveur Apache HTTP

Apache est un hautement configurable et bien entretenu serveur web open source. Il nécessite une configuration plus détaillée de déployer avec succès, mais offre plus de contrôle sur un serveur web. La plupart des serveurs Apache tourne sous Linux / BSD, mais il peut aussi fonctionner sur Windows.

Parce que la configuration d'Apache est complexe, il n'y a pas d'espace dans le présent document au détail toute la procédure. Toutefois, les conseils suivants [2,3,4] sont bon de rappeler:

• l'accès des ressources Refuser par défaut et ne permettent fonctionnalités des ressources selon les besoins.

• Connectez-vous à toutes les demandes web car ils aident à identifier une activité suspecte.

• Abonnez-vous à l'annonce du serveur Apache liste de diffusion qui peut envoyer des mises à jour, correctifs et correctifs de sécurité.

Les sites Web qui nécessitent un fonctionnement plus compliqué parfois augmenter leur HTTPD avec un interprète côté serveur via CGI (Common Interface Gate). Les deux plus populaires sont PHP et ASP.

2.3 PHP et MySQL

PHP est l'un des les plus courants des langages de script côté serveur. Il a une base de code très spacieuse et fonctionnelle, une syntaxe simple, le code adaptable et, surtout, interagit avec un grand nombre de formats de bases de données. MySQL est l'un des choix les plus populaires de base de données à utiliser en conjonction avec PHP, elle est rapide, riche en fonctionnalités, facile à configurer et à utiliser.

PHP a souvent été accusé d'être la sécurité laxiste que au fil des ans de nombreux bugs exploitables ont été trouvés en son sein. Toutefois, il a mûri progressivement et la plupart des bugs ont tendance à être évités soit par la configuration de l'installation correctement et / ou l'écriture du code en toute sécurité.

Voici quelques conseils de configuration (écriture de code sécurisé est couvert dans une section ultérieure) qui se rapportent à des variables dans le fichier "php.ini" fichier:

"Register_globals" • Partez

• Réglez "safe_mode" sur

• Set 'open_basedir' le répertoire de base du site

'Display_errors' • Partez

• Set 'log_errors sur

'Allow_url_fopen' • Partez

Pour plus d'informations sur ces directives de configuration et pourquoi ils sont importants, s'il vous plaît voir [6,7,10].

Lorsque MySQL est installé, il crée la base de données 'test' par défaut et compte d'une ouverture «root» qui est sans mot de passe. Le compte root est alors automatiquement attribuée le libre accès à toutes les autres bases de données sur le serveur ce qui explique pourquoi il est important de:

• Changer le mot de passe root immédiatement.

• Créer un nouveau l'utilisateur MySQL et lui donner les privilèges strict minimum.

• Supprimer la base de données de test et les utilisateurs de test.

2,4 Active Server Pages (ASP)

ASP est un Microsoft add-on qui est pris en charge par IIS, mais il ya aussi une mise en œuvre Apache. ASP est intégré dans IIS et cela demande un peu ou aucune configuration.

2.5 Sécurité

Anti-virus est généralement la dernière ligne de défense contre une attaque qui C'est pourquoi les serveurs web, en particulier ceux ayant trait au contenu généré dynamiquement, devrait avoir sur l'analyse à l'accès activée à tout moment. Comme le graphique ci-dessous montre, pas de serveur web est à l'abri des logiciels malveillants. Peu importe le niveau de sécurité que vous pensez que votre serveur Web, il ya toujours une chance qu'il se fasse pirater. Analyse à l'accès réduit sensiblement les risques de code malveillant sur le système tel qu'il permet de numériser à la fois «la teneur» et «sur les écrire" modes, et peut alors délivrer une notification immédiate dès que n'importe quel morceau de malware essaye de se stocker sur le serveur.

Alors que du contrôle sur accès peut affecter le débit du serveur légèrement, mais les avantages l'emportent largement sur la sécurité a ajouté que tous les problèmes de performance possible. Il ya aussi les domaines du système, tels que le dossier du journal HTTPD, qui peuvent être exclus de l'analyse, ce qui réduit encore un impact sur le système.

Les attaques contre les serveurs web peuvent être généralement classés en deux principaux types: local et global.

• les attaques locales tentent généralement de dérober des informations ou prendre le contrôle d'un serveur Web spécifique.

• Global les attaques sont généralement ciblés vers des sites multiples et visent à infecter n'importe qui à leur rendre visite.

Bien que Linux et BSD sont considérés par certains comme plus sûr que Windows, ils ne sont certainement pas exempts de la criminalité organisée. Ils peuvent – et doivent – avoir un logiciel anti-virus est installé. Même si les programmes malveillants peuvent pas s'exécuter sur le serveur hôte, car il est protégé avec un logiciel anti-virus, il peut encore être servi en tant que contenu valable pour les utilisateurs du site que certains hackers de le transférer en PHP ou ASP, ce qui déchire l'OS du serveur web redondantes.

Il est également possible pour les serveurs d'être infectées à travers un réseau local. La famille de vers Fujacks, par exemple, infecter HTML, PHP et ASP fichiers sur des disques partagés et les partages réseau.

3. Web d'hébergement externe

La plupart des organisations n'ont pas le matériel ou la stabilité de la bande passante pour héberger leur propre serveur Web et que cette utilisation externes fournisseurs. Il existe trois solutions de rechange qui conviennent pour petites et grandes organisations:

• Partage de l'hébergement dédié.

• dédiés virtuels d'hébergement.

• Hébergement dédié.

3,1 partagés hébergement dédié

C'est peut-être le plus usé et abusé de toutes les formes de l'hébergement web et implique un serveur dédié hébergement de sites Web multiples. Il est l'un des moins chers formes d'hébergement et par conséquent l'un des plus dangereux, car cela peut prendre un seul utilisateur infecté pour infecter tout le monde en utilisant le serveur.

Un excellent exemple de la vie réelle des problèmes inhérents à l'hébergement mutualisé peut être trouvée dans le texte suivant SophosLabs blog annonce:

http://www.sophos.com/security/blog/2007/06/172.html

3,2 virtuel dédié

Virtual serveurs dédiés – parfois appelés serveurs élastique – sont créés en utilisant des logiciels de virtualisation pour exécuter un certain nombre d'éléments séparés, autonomes serveurs virtuels sur une seule machine. Ceci est approprié pour une organisation de plus en plus que chaque utilisateur a accès à leur propre système d'exploitation et le logiciel serveur.

3,3 hébergement dédié

Les serveurs dédiés sont exclusivement réservées à un seul utilisateur. Il ya généralement deux formes disponibles: gérés et non gérés.

• Géré serveurs ont du personnel à prendre soins de droits tels que la gestion des questions de sécurité locale et de dépannage.

• Les serveurs non gérés ne sont pas surveillées et légèrement moins coûteux à exploiter, comme toute assistance doivent être achetés en

Parmi les trois options présentées ici, hébergement dédié virtuel semble être le plus efficace, étant généralement moins coûteux que l'hébergement dédié, mais en conservant de celui-ci la flexibilité et la sécurité.

4. Design-vous sûr

Peu importe ce que vous faites et quelle que soit la taille de votre site web, il sera attaqué. Le design est intrinsèque à la sécurité car il peut réduire les dommages causés par des virus, spywares et autres malwares.

Essayez de vous mettre dans les années attaquant chaussures et de bon sens pour boucher les trous flagrante. Quelques erreurs site sont si souvent – par les débutants et les mains vieux – qu'il est intéressant d'aller plus ici.

4.1 Cookies

Un des principaux problèmes rencontrés lors de la conception d'une application web, c'est que chaque demande d'une nouvelle page traités indépendamment de la demande précédente. Poser une application web sur "Se souvenir de moi" est donc plus difficile que dans les applications normales.

Il existe deux méthodes que les applications Web utilisent pour se rappeler les visiteurs et qui sont soutenus par la plupart des navigateurs: les cookies et les cookies de session.

• Un cookie est un petit fichier qui est créé par le navigateur et stocké sur l'ordinateur de l'utilisateur. Il peut contenir pratiquement n'importe quoi, mais il est généralement un nom, une date d'expiration et une quantité arbitraire de données telles que: «Le comte = 100 "ou" membres "= false.

• Un cookie de session est similaire à un cookie régulière, sauf qu'elle permet aux applications web de stocker les données dans mémoire.

La différence entre les deux est que le cookie est stocké directement sur l'ordinateur de l'utilisateur et reste résident, à moins de supprimer manuellement. Un cookie de session, quant à lui, n'est sauvé que tant que l'ordinateur est allumé, et il est si perdu automatiquement dès que le navigateur est fermé. Ils ont quelque chose en commun: ils peuvent être falsifiés.

Les développeurs fie souvent aux données dont ils récupérer des cookies tout simplement parce qu'ils ont développé le code et il doit être bon, non? Wrong. Les pirates peuvent facilement modifier un cookie (et dans certains cas en direct les données de session) pour tromper un site Web en leur donnant accès à une page d'accès restreint.

Lorsque vous concevez votre système n'a jamais entrée d'utilisateur de confiance, si elle vient directement de visiteurs, soit indirectement par cookies. Essayez de limiter la quantité de données qui sont stockées dans des cookies, en particulier s'il s'agit de données qui ne devraient pas être mis à la disposition du public. Une bonne règle est de traiter toutes les données qui sont stockées sur un utilisateur final machine comme suspect.

MySpace.com a été ciblé par un cheval de Troie (JS / SpaceStalk-A) au début de cette année, qui a volé les informations stockées dans les cookies et l'a transmise à un serveur distant. Cette information pourrait théoriquement contenir des informations confidentielles telles que les noms de connexion, préférences et mots de passe internet.

4.2 Authentification

Si votre site Web contient des zones qui sont prévues uniquement pour certains clients ou les utilisateurs enregistrés, vous avez besoin d'un moyen pour les visiteurs de s'identifier avant d'accéder [8].

Il ya un certain nombre de moyens pour authentifier les utilisateurs: l'authentification de base, l'authentification Digest et HTTPS.

• l'authentification de base permet un nom d'utilisateur / mot de passe combinaison pour être visible à l'intérieur de la demande Web. Même si le contenu n'est pas limité en particulier ce secret est préférable d'éviter, car un utilisateur peut utiliser le même mot de passe sur plusieurs sites. Un sondage a montré Sophos que 41% des utilisateurs utilisent le même mot de passe pour toutes les activités en ligne, qu'il s'agisse d'un site bancaire ou d'un forum de la communauté locale [15]. Essayez de protéger vos utilisateurs contre cette erreur en utilisant un monde plus sûr méthode d'authentification.

• L'authentification Digest – dont tous les serveurs et le soutien populaire des navigateurs – crypter le nom d'utilisateur et mot de passe en toute sécurité à l'intérieur la demande. Il conserve les noms d'utilisateur et mots de passe sécurisés, ce qui crée une meilleure impression sur l'utilisateur et réduit les chances de votre serveur victime de mauvais traitements.

• HTTPS crypte toutes les données transférées entre le navigateur et le serveur, pas seulement le nom d'utilisateur et mot de passe. Vous devez utiliser le protocole HTTPS (qui repose sur un système de sécurité appelé Secure Sockets Layer ou SSL) à chaque fois vous demandez aux utilisateurs de fournir des données privées ou personnelles comme leur adresse, carte de crédit ou coordonnées bancaires.

Lors du choix d'un système d'authentification, il est de bonne pratique choisir le meilleur disponible. Rien de moins inquiéter les clients soucieux de la sécurité et, éventuellement, de les exposer à des risques inutiles.

4.3 Composants, les bibliothèques et les add-ons

De nombreux développeurs web n'ont pas le temps de réinventer la roue. Lorsqu'on leur a demandé d'ajouter une fonctionnalité qui est commun d'ailleurs l'approche la plus simple est à la source un package qui contient déjà l'élément nécessaire et de le personnaliser. Cette externalisation se fait principalement par le complexe, riche en fonctionnalités micro-applications comme les blogs, de forums et de gestion de contenu systèmes (CMS).

La raison de l'utilisation des systèmes de pré-construits et variés sont évidents: ils économisent temps et argent.

Comme tous les morceaux de logiciels, toutefois, add-ons peuvent contenir des défauts et il est donc sage de garder un œil sur tous les paquets qui sont en cours d'utilisation et de les mettre à jour régulièrement. La popularité de certains de ces paquets peuvent parfois susciter un sentiment trompeur de la confiance entre le public et de nombreux produits populaires ont été trouvés pour être exploitable, même si apparemment installé et configuré correctement.

Populaire des applications côté serveur qui ont eu des problèmes dans le passé avec critiques, bugs exploitables sont:

• Wordpress (logiciel de blog).

• phpBB (logiciel de forum).

• CMS Made Simple (logiciel CMS).

• PHPNuke (logiciel CMS).

• bBlog (logiciel de blog).

Beaucoup de ce qui précède (et assimilés) add-ons sont largement utilisés, ce qui les rend très attractif pour les cibles des pirates comme ils augmentent considérablement le nombre de victimes possible. Comme la plupart des OS et des logiciels HTTPD peut être automatiquement mis à jour «Set and Forget» de nombreux développeurs de certaines fonctions, mais négligent de mettre à jour les différents add-ons: une erreur dangereuse.

Encore une fois, le règle d'or est ici comme précédemment, si vous n'en avez pas besoin, se débarrasser de lui! Si votre fournisseur d'hébergement fournit des fonctionnalités telles par défaut, de les éteindre. Si vous ne parvenez pas à les désactiver, vous devez alors penser à trouver un nouveau fournisseur.

4.4 Fichiers Log

Les journaux du serveur sont un produit très important pour la gestion d'un site web. La plupart des serveurs HTTP peuvent être configurés pour enregistrer les journaux d'accès ainsi que les journaux d'erreur, ce qui devrait être activé en tout temps comme il peut être important lors de la conduite d'un examen.

Ils devraient également être revus régulièrement, car ils peuvent fournir une meilleure compréhension sur les menaces que les sites Web visage. Les fichiers journaux donnent un aperçu de toute violation éventuelle par l'enregistrement, dans les moindres détails, tous les accès unique succès ou tenté d'un site.

5. Briser le code

Écriture de code sécurisé n'est pas toujours aussi simple qu'il y paraît. Il ne prend pas seulement un programmeur qualifiés, mais aussi celui qui connaît bien les problèmes de sécurité spécifiques [9]. Il ya des livres entiers consacrés à l'écriture de code sécurisé et je vais donc ne couvrent que les informations de base ici [13].

• Toujours activer les variables globales, car ils peuvent être volontairement initialisé par un faux GET ou POST demande.

• Désactiver le rapport d'erreurs et de veiller à ce que vous vous connectez à la place du fichier, que ces informations peuvent aider les attaquants provoquer un problème similaire et puis le manipuler afin d'exposer les vulnérabilités supplémentaires.

• Ne vous fiez pas toutes les données utilisateur et toujours utiliser les fonctions de filtre à bande en caractères spéciaux SQL et des séquences d'échappement.

5,2 injection SQL

injection SQL peuvent être utilisés pour attaquer des sites Web qui interagissent avec des bases de données. Il se produit lorsque l'entrée non filtrée désigné par l'utilisateur est utilisée dans une requête SQL.

requêtes SQL peuvent être utilisés pour interroger une base de données, insérer des données dans une base de données ou de modifier / supprimer des données d'une base de données. Un grand nombre de sites web modernes et utiliser des scripts SQL pour générer du contenu dynamique. Les entrées d'utilisateur est souvent utilisée dans des requêtes SQL, ce qui peut être dangereux car les pirates peuvent tenter d'intégrer le code SQL invalide dans les données d'entrée. Sans une attention particulière, ce malicieux SQL peuvent être exécutées succès sur le serveur.

Prenez le code PHP suivant:

$ Prenom = $ _POST ["prénom"];

mysql_query ("SELECT * FROM utilisateurs WHERE prenom = '$ prenom');

Après avoir soumis votre prénom pour le formulaire Web, la requête SQL retourne une liste d'utilisateurs qui ont votre prénom. Si je mets mon nom "Chris" sous la forme, la requête SQL serait:

"SELECT * FROM utilisateurs WHERE prenom = 'Chris'"

Il s'agit d'une déclaration valide et fonctionnera comme on peut s'y attendre, mais ce qui se passerait si, au lieu de mon prénom, j'ai mis dans quelque chose comme ""; DROP TABLE # "? La déclaration se lirait comme suit:

"SELECT * FROM utilisateurs WHERE prenom =''; utilisateurs DROP TABLE; #"

L' point-virgule permet plusieurs commandes à exécuter, l'une après l'autre. Tout à coup, la simple déclaration est maintenant un complexe de trois déclaration partie:

SELECT * FROM utilisateurs WHERE prenom ='';

DROP TABLE utilisateurs;

# "

La déclaration d'origine est désormais inutile, et peut être ignoré. La seconde instruction ordonne la base de données d'abandonner (Supprimer) l'ensemble du tableau et la troisième utilise le caractère «#» qui indique à MySQL de ne pas tenir compte du reste de la ligne.

Ce qui précède est particulièrement dangereux et peut être utilisé pour afficher des données sensibles, les champs de mise à jour ou supprimer / supprimer des informations. Certains serveurs de base de données peut même être utilisé pour exécuter des commandes du système via SQL.

Heureusement, ce type de vulnérabilité est facilement évitée par la validation des entrées utilisateur. En PHP il ya une fonction spéciale pour le décapage des potentiels injection de code SQL appelée 'mysql_real_escape_string'. Cette fonction devrait être utilisée pour filtrer toutes les données qui est passé à une instruction SQL.

5,3 XSS (cross-site scripting)

Ce type d'attaque se concentre sur des sites Web qui affichent des données fournies par l'utilisateur. Plutôt que d'essayer de contrôler la base de données avec les entrées malveillantes, l'attaquant tente d'attaquer le code de site web lui-même avec une sortie malveillants.

De nombreux sites stocker les noms de chaque visiteur dans une base de données pour qu'ils puissent afficher un nom spécifique lorsque cet utilisateur se connecte po Pour un attaquant, il est une chose simple pour créer un faux compte, mais la place du code malveillant dans le champ nom d'utilisateur au lieu d'un nom. Ces attaques sont généralement réalisés avec scripts Javascript malicieux qui ensuite charger le contenu d'un autre site. La base de données stocke ce qu'il pense être le nom d'utilisateur, mais est en fait un code malveillant. Par la suite, quand le site Web tente d'afficher le nom d'utilisateur en haut de la page, le code malveillant est exécuté sans le savoir. Depuis que le code pourrait, selon les circonstances, faire n'importe quoi, c'est une préoccupation très réelle et souvent négligé par les développeurs. Dans l'histoire récente de nombreux sites de grande envergure ont été la victime d'attaques XSS, y compris MySpace, Facebook et Google Mail.

Prenez le code PHP suivant:

$ Prenom = $ _POST ["Prénom"];

echo "Votre nom est: $ prenom";

Après avoir soumis votre prénom sur le web forme, le site affiche le message sur la page. Si je mets mon nom "Chris" dans le formulaire, le message disait: «Votre nom est: Chris".

Que faire si j'ai décidé d'utiliser une «alerte <script> (" Vous venez piraté script> !");</ "au lieu de mon nom?

Malheureusement, Les attaques XSS peut parfois être difficile de se défendre contre car elles reposent sur le bon filtrage d'entrée et de sortie, puis la validation de chaque champ unique qui peut être modifié par un utilisateur. Cela comprend les données récupérées à partir des requêtes GET et POST, ainsi que les requêtes qui ont été renvoyés par la base de données.

Si vous utilisez PHP il ya un certain nombre de paquets qui peuvent vous aider à filtrer sortie facilement, un exemple étant CodeIgniter [5]. Sinon, il ya une fonction native PHP appelé 'htmlspecialchars' qui peut être utilisé pour filtrer la sortie.

6. Une étude de la façon dont il est facile

Bien que des recherches cet article, j'ai décidé de voir comment il serait facile de trouver des exemples de fuite de données et ainsi de recherche Google pour le journal de fichier par défaut pour un client FTP commun. J'ai trouvé des milliers de sites qui ont été d'afficher publiquement (et sans le savoir, l'indexation) ce fichier journal apparemment sans importance FTP. Chacun a été un brillant par exemple des fuites de données.

Voici un exemple (censuré) log:

99.07.16 08:34 A x: xxxxxxxx xxxxxx xxxxxx WS_FTP.LOG <- site> <nom / Export / home / <nom_utilisateur> / xxxxxx xxxxxx WS_FTP.LOG /

99.07.16 08:53 A x: xxxxxxxx xxxxxx xxxxxx home.html – <hostname>> / xx / www / xxxxxx-xxx / xxxxhome.html

De ce que j'ai appris un certain nombre de choses intéressantes:

• Le <nom site> m'a donné le nom du site.

• L'utilisateur < > Nom fourni le nom de connexion sur le serveur Linux / BSD style.

• Le <nom d'hôte> fourni d'hôte du serveur.

Cette me dit ce qui suit au sujet de l'hôte:

• Le nom et l'IP du serveur web.

• Le chemin d'accès à distance, il a été copié.

• Le chemin d'accès local, il a été copié.

Ce type d'information est la poussière d'or pour n'importe quel criminel, comme en connaissant le nom d'hôte et nom d'utilisateur il ou elle peut tenter d'obtenir un accès administrateur. Ils pourraient aussi tout simplement découvrir le numéro de téléphone de la société d'hébergement Web ou l'adresse e-mail et tenter d'obtenir le mot de passe via l'ingénierie sociale.

Ce dernier est souvent plus facile que d'attaquer le serveur lui-même que de nombreuses sociétés d'hébergement Web procéder à des vérifications de sécurité minimales avant la remise des certificats de sécurité. C'est peut-être parce qu'ils sont souvent contactés par personne web entrepreneurs qui construisent un site pour le compte d'un tiers, et sont donc habitués à recevoir des appels demandant des informations d'identification de compte ou réinitialise le mot de passe.

J'ai moi-même fait cette à plusieurs reprises – légitimement bien sûr – et une seule des quatre entreprises différentes, j'ai demandé requis l'entreprise d'origine pour fournir une autorisation expresse.

Oui, il est vraiment aussi simple que cela.

About the Author

This article was provided by Sophos and is reproduced here with their full permission. Sophos provides full data protection services including: security software, encryption software, antivirus, and malware.

[NO CODE] Free Pet Society Hack + Download Link ! APRIL 2010

£0.00