Како проценити веб садржај и сигурност

Преглед садржаја
Тест кључних речи које генеришу корисници или садржај
Много пута дозвољавамо неким корисницима да објављују информације и не модерирамо и не прегледамо оно што објављују, а затим наслов или садржај постају кључна реч. Један од начина да то контролишете је помоћу претраживача попут Гоогле, ставите сајт: мидомаин.цом "кључна реч", бити под наводницима је тачна кључна реч.
Идемо на пример сајт: аппле.цом "укради фотографије" као кључна реч

Пронашли смо наслов, то је заправо апликација која се зове Стеал пхотос у иТунес продавници, али ако претражимо, могло би бити још горе са другим кључним речима или ако претрпимо напад типа ксс.
Такође служи и за проверу да ли смо позиционирани за одређену кључну реч.
Датотеке са корисничким метаподацима
То се дешава у пдф документима и Мицрософт Оффице -у, које се уређују са Виндовс сервера и објављују директно на вебу.
Да бисмо то урадили у Гоогле -у, пишемо сајт: "Документи и поставке"
У резултатима ћете моћи да видите путању до директоријума, име корисника, па чак и физичку путању сервера на коме се документ налази.

Приступање датотеци роботс.ткт
Датотека роботс.ткт се користи за блокирање директоријума и датотека које не желимо да пратимо, али пошто су текстуалне датотеке, могу се навести да би се видело да ли је пронађено било које осетљиво подручје, попут административне плоче или апликације која се не објављује .

Фајл роботс.ткт јавна је јер је претраживачи читају приликом претраживања информација. Све веб локације га користе за заштиту садржаја и директоријума.
СКЛ ињекције
То се дешава нарочито при пријему параметара послатих урл -ом типа ввв.мидомаин.цом/пагина?ид=2
Затим се тај параметар чита да би се извршила нека скл инструкција
СЕЛЕЦТ име. кључ ОД корисника ВХЕРЕ усер_ид = $ ид;
Најбоље је послати упит путем посту метода уместо да уђете у хтмл обрасце и уместо тога шифровати код и променљиву неким методом као што је мд5 или сха.
На пример:
ввв.мидомаин.цом/цомпрар?идцомпра=345&продуцто=12
Шифровање мд5 и маскирање променљивих
ввв.мидоминио.цом/цомпрар?деталле_цомпра=е3д4б8ф9637це41а577ац68449е7ф6б5
Затамните јавасцрипт скрипте
Много пута веб програмери остављају јавасцрипт датотеке јавним и могу их читати сви, ако имате осетљив код или системске функције, попут ајак или јкуери преусмеравања, то би могла бити рањивост за веб.
Занимљива метода је заташкавање кода или његово шифровање тако да функцију која обавља неки важан задатак није лако дешифровати.
 прорачун функције (количина, цена) {// Међузбир израчунавање међузбир = цена * количина; доцумнет.гетбиИД ('међузбир'). вредност = међузбир; // Израчунавање укупног броја доцумнет.гетбиИД ('укупно'). Вредност = доцумнет.гетбиИД ('укупно'). Вредност + међузбир; } 

Исти замагљени код помоћу мрежног алата хттп://миобфусцате.цом

Напади потврде уноса
Многи програмери да би уштедели време не потврђују уносе у образац и дозвољавају писање и чување било чега у бази података, на пример уместо имена или телефона пишу јавасцрипт инструкције, ксс или било који код који се затим може извршити када се тај запис прочита из базе података.Да ли вам се допао и помогао овај водич?Можете наградити аутора притиском на ово дугме да бисте му дали позитиван поен
wave wave wave wave wave