Video: Ethical Hacking Full Course - Learn Ethical Hacking in 10 Hours | Ethical Hacking Tutorial | Edureka 2024
Schlecht geschriebene Web-Programme wie Hypertext Preprocessor (PHP) und Active Server Pages (ASP) -Skripten, können Hackern erlauben, Dateien auf einem Webserver anzuzeigen und zu manipulieren und andere Dinge zu tun, für die sie nicht autorisiert sind.
Diese Fehler treten auch häufig in Content Management Systemen (CMS) auf, die von Entwicklern, IT-Mitarbeitern und Marketingfachleuten verwendet werden, um den Inhalt einer Website zu pflegen. Standard-Script-Angriffe sind häufig, weil so viel schlecht geschriebener Code auf Websites frei zugänglich ist. Hacker können auch verschiedene Beispielskripte nutzen, die auf Webservern installiert werden, insbesondere ältere Versionen des IIS-Webservers von Microsoft.
Viele Webentwickler und Webmaster verwenden diese Skripte, ohne zu verstehen, wie sie wirklich funktionieren oder ohne sie zu testen, was ernsthafte Sicherheitslücken darstellen kann.
Um auf Schwachstellen in Skripts zu testen, können Sie Skripts manuell lesen oder ein Textsuchwerkzeug verwenden, um hartcodierte Benutzernamen, Kennwörter und andere vertrauliche Informationen zu finden. Suchen Sie nach admin, root, user, ID, login, signon, passwort, pass, pwd, und so weiter. Sensible Informationen, die in Skripten wie diesem eingebettet sind, sind selten erforderlich und sind häufig das Ergebnis schlechter Codierungspraktiken, die der Bequemlichkeit gegenüber der Sicherheit den Vorrang geben.
Sie können dazu beitragen, Angriffe gegen Standard-Webskripte wie folgt zu verhindern:
-
Wissen, wie Skripts funktionieren, bevor sie in einer Webumgebung bereitgestellt werden.
-
Stellen Sie sicher, dass alle Standard- oder Beispielskripte vom Webserver entfernt wurden, bevor Sie sie verwenden.
Verwenden Sie keine öffentlich zugänglichen Skripts, die fest codierte vertrauliche Informationen enthalten. Sie sind ein Sicherheitsvorfall in der Entstehung.
-
Legen Sie die Dateiberechtigungen für sensible Bereiche Ihrer Website / Anwendung fest, um den öffentlichen Zugriff zu verhindern.
