Hvordan evaluere webinnhold og sikkerhet

Test av søkeord generert av brukere eller innhold
Mange ganger lar vi noen brukere legge ut informasjon, og vi modererer eller gjennomgår ikke det de legger ut, og så blir tittelen eller innholdet et nøkkelord. En måte å kontrollere dette på er fra en søkemotor som Google, put site: mydomain.com "søkeord", å være i anførselstegn er et eksakt søkeord.
La oss ta et eksempel nettsted: apple.com "stjele bilder" som søkeord

Vi fant en tittel, det er faktisk et program som heter Steal photos i iTunes-butikken, men hvis vi søker kan det være enda verre med andre søkeord eller hvis vi lider av et angrep av typen xss.
Det tjener også til å se om vi er posisjonert for et bestemt søkeord.
Filer med brukermetadata
Dette skjer i pdf -dokumenter og Microsoft office, som redigeres fra en Windows -server og publiseres på nettet direkte.
For å gjøre dette i Google skriver vi nettsted: "Dokumenter og innstillinger"
I resultatene vil du kunne se banen til katalogen, navnet på brukeren og til og med den fysiske banen til serveren der dokumentet ligger.

Få tilgang til robots.txt -filen
Roboten.txt -filen brukes til å blokkere kataloger og filer som vi ikke ønsker å bli sporet, men siden de er tekstfiler, kan de vises for å se om et sensitivt område, for eksempel et administrasjonspanel eller et program ikke publiserer, blir funnet .

Filen robots.txt det er offentlig siden søkemotorer leser det når de søker gjennom informasjon. Alle nettsteder bruker den til å beskytte innhold og kataloger.
SQL -injeksjoner
Disse oppstår spesielt når du mottar parametere sendt av url av typen www.mydomain.com/pagina?id=2
Deretter leses denne parameteren for å utføre noen sql -instruksjoner
VELG navn. nøkkel FRA brukere WHERE user_id = $ id;
Det beste er å sende spørringen gjennom innleggsmetoder i stedet for å komme inn i HTML -skjemaene og i stedet kryptere koden og variabelen med en metode som md5 eller sha.
For eksempel:
www.mydomain.com/comprar?idcompra=345&producto=12
Krypterer md5 og maskerer variablene
www.midominio.com/comprar?detalle_compra=e3d4b8f9637ce41a577ac68449e7f6b5
Skjul javascript -skript
Mange ganger forlater webutviklere javascript -filer offentlige og kan leses av alle. Hvis du har sensitiv kode eller systemfunksjoner som ajax eller jquery -omdirigeringer, kan det være et sårbarhet for nettet.
En interessant metode er å skjule koden eller kryptere den slik at en funksjon som utfører noen viktige oppgaver ikke er lett å tyde.

 funksjonsberegning (mengde, pris) {// Delsumberegning delsum = pris * mengde; documnet.getbyID ('delsum'). verdi = delsum; // Beregning av den totale documnet.getbyID ('total'). Verdi = documnet.getbyID ('total'). Verdi + delsum; } 

Den samme skjulte koden ved hjelp av det elektroniske verktøyet http://myobfuscate.com

Valideringsangrep for oppføring
Mange programmerere som sparer tid, validerer ikke skjemainngangene og tillater å skrive og lagre alt i databasen, for eksempel i stedet for et navn eller en telefon, skrive en javascript -instruksjon, xss eller hvilken som helst kode som deretter kan utføres når posten leses fra databasen.Likte og hjalp du denne opplæringen?Du kan belønne forfatteren ved å trykke på denne knappen for å gi ham et positivt poeng