Server, mis majutab PHP-s sisseehitatud rakendust:

  1. Kas serverisse pääseb muul viisil kui läbi HTTP või väliselt?
  2. On GET ja POST asustatud ainult HTTP-protokolli kaudu?
  3. On HTTP päised, GET ja POST ainus serveri / veebirakenduse sisendallikas?
  4. Kas ühendub veebisaidiga kasutajaga telnet midagi muud kui brauseriga?
  5. Millised muud pääsupunktid on olemas? Kas need kujutavad endast julgeolekuohtu? Levinud viisid nende vastu võitlemiseks?

Kas serverisse pääseb muul viisil kui HTTP kaudu või väliselt?

Noh ... serverile endale pääseb juurde erinevate vahenditega. Sõltuvalt sellest, milliseid teenuseid masinas töötatakse (samuti avatud porte).

Kas GET ja POST on asustatud ainult HTTP-protokolli kaudu?

Jah

Kas HTTP päised, GET ja POST on ainus serveri / veebirakenduse sisendallikas?

Ei PUT ja DELETE on ka http-meetodid.

Kas telnetiga veebisaidiga ühenduse loomine erineb brauserist?

Põhimõtteliselt mitte. Sest see kasutab ka HTTP-protokolli. Kui te ei ühenda masinaga mõnda muud teenust (vt esimest punkti)

Millised muud pääsupunktid on olemas? Kas need kujutavad endast julgeolekuohtu?

Palju :-)

  • Füüsiline juurdepääs masinale
  • Muud masinas töötavad teenused (kasutamata teenuste peatamine on parim tava).
  • SQL-i süstimine
  • Faili kaasamine
  • Parool lekib
  • Töötajate kaudu
  • DNS-i mürgitamine
  • palju palju rohkem

Levinud viisid nende vastu võitlemiseks?

Veenduge, et teie rakendus oleks turvaline (ärge andke httpd-le mittevajalikke õigusi, desinfitseerige alati kasutaja sisendid jne). Kõvendage oma serveri turvalisust. Veenduge, et kõik oleks ajakohane. Kontrollige regulaarselt oma logisid. Terve mõistus. jne.

  • 1 hea vastus; kuid tehniliselt määratakse küpsised ja seansid ka HTTP-päiste kaudu. Siin on cookie/set-cookie päis. Seansi ID-d määratakse tavaliselt kas küpsise kaudu või saavad parameetrid.
  • Teil on õigus. Selle lisamise põhjuseks on see, et neid kasutatakse sageli ja ma ei lisanud neid "päris" http-meetoditesse. Selgitab küll. Aitäh!
  • Jagatud hostis on hosti ülesanne hoida serveri tarkvara ajakohane ja turvaline, kas pole? Ma pole kindel, kas mul oleks üldse juurdepääs httpd-le või teenustele.
  • See sõltub lepingust, mis teil nendega on. Teine asi, mida võiksite teha, on ise uurida, kas seal on turvalisuse probleeme. Nn pliiatsi testimine. Olen varem kasutanud w3af.sourceforge.net, kuid kasutada saab ka tenable.com/products/nessus.

none: Charles Robertson | none