Лавлах дамжих сул тал гэж юу вэ, халдагчид системд зөвшөөрөлгүй нэвтрэхийн тулд тэдгээрийг хэрхэн ашиглаж болох вэ?
Лавлах дамжлагын эмзэг байдал нь вэб програмын аюулгүй байдлын томоохон алдааг илэрхийлдэг бөгөөд халдагчдад вэб үндсэн фолдероос гадуур хадгалагдсан хязгаарлагдмал лавлах болон файлуудад хандах боломжийг олгодог. Энэ төрлийн эмзэг байдлыг зам хөндлөн гэж нэрлэдэг бөгөөд програм нь хэрэглэгчийн оруулгыг зохих ёсоор ариутгаагүй тохиолдолд үүсдэг бөгөөд энэ нь хортой хэрэглэгчдэд файлын замыг удирдах, ашиг олох боломжийг олгодог.
Аюулгүй байдлын тест нь програм хангамж болон сүлжээн дэх аюулгүй байдлын эмзэг байдлыг тодорхойлоход хэрхэн тусалдаг вэ?
Fuzz тест буюу fuzzing гэж нэрлэдэг бөгөөд энэ нь програм хангамж болон сүлжээн дэх аюулгүй байдлын эмзэг байдлыг тодорхойлох өндөр үр дүнтэй арга юм. Энэ нь алдаа, эвдрэл, аюулгүй байдлын болзошгүй дутагдлыг илрүүлэх зорилготой компьютерийн программд хүчингүй, санамсаргүй эсвэл санамсаргүй өгөгдлийг оруулах явдал юм. Энэ арга нь кибер аюулгүй байдлын хүрээнд ялангуяа ашигтай байдаг
- онд хэвлэгдсэн Кибер аюулгүй байдал, EITC/IS/WAPT вэб програмын нэвтрэлтийн тест, Вэб халдлага хийх дадлага, DotDotPwn – лавлах дамжлагыг арилгах, Шалгалтын тойм
JavaScript дээр арифметик үйлдлүүд хийхдээ хэрэглэгчийн оруулсан мэдээллийг HTML элементээс тоо болгон хувиргах нь яагаад чухал вэ?
Вэб хөгжүүлэлтийн хүрээнд, ялангуяа JavaScript-тэй харьцахдаа арифметик үйлдэл хийхээсээ өмнө хэрэглэгчийн оруулсан мэдээллийг HTML элементээс тоо руу хөрвүүлэх шаардлагатайг ойлгох нь чухал юм. Энэ ач холбогдол нь мөр ба тоон өгөгдлийн төрлүүдийн үндсэн ялгаа, эдгээр ялгаа байхгүй үед гарч болзошгүй хүндрэлээс үүдэлтэй юм.
- онд хэвлэгдсэн вэб хөгжүүлэх, EITC/WD/JSF JavaScript суурь, JavaScript дээрх функцууд, Шууд бус байдлаар функцийг гүйцэтгэх, Шалгалтын тойм
PHP болон MySQL дээр асуулга хийхээс өмнө хэрэглэгчийн оруулсан мэдээллийн аюулгүй байдлыг хангахын тулд ямар арга хэмжээ авах ёстой вэ?
PHP болон MySQL дээр асуулга хийхээс өмнө хэрэглэгчийн оруулсан мэдээллийн аюулгүй байдлыг хангахын тулд хэд хэдэн алхам хийх шаардлагатай. Нууц мэдээллийг зөвшөөрөлгүй нэвтрэх, болзошгүй халдлагаас хамгаалахын тулд аюулгүй байдлын найдвартай арга хэмжээг хэрэгжүүлэх нь чухал юм. Энэ хариултанд бид зорилгодоо хүрэхийн тулд хийх ёстой гол алхмуудыг тоймлон харуулах болно. 1.
- онд хэвлэгдсэн вэб хөгжүүлэх, EITC/WD/PMSF PHP ба MySQL-ийн үндэс, MySQL ашиглан ахиц дэвшил гаргах, Ганц бичлэг авах, Шалгалтын тойм
Вэбсайт дээрх хэрэглэгчийн оруулах талбаруудаар XSS халдлага хэрхэн тохиолдох вэ?
XSS (Cross-Site Scripting) халдлага нь вэб сайтууд, ялангуяа маягтын талбараар дамжуулан хэрэглэгчийн оруулсан мэдээллийг хүлээн авдаг вэб сайтуудад тохиолдож болох нэг төрлийн аюулгүй байдлын эмзэг байдал юм. Энэ хариултанд бид вэб сайт дээрх хэрэглэгчийн оруулах талбараар дамжуулан XSS халдлага хэрхэн тохиолдож болохыг судлах болно, ялангуяа PHP болон вэб хөгжүүлэлтийн контекст дээр анхаарлаа хандуулах болно.
- онд хэвлэгдсэн вэб хөгжүүлэх, EITC/WD/PMSF PHP ба MySQL-ийн үндэс, PHP дээрх маягтууд, XSS халдлага, Шалгалтын тойм
LFI-ийн эмзэг байдлыг вэб программд хэрхэн ашиглах вэ?
Local File Inclusion (LFI) сул талуудыг вэб программуудад ашиглаж, сервер дээрх эмзэг файлуудад зөвшөөрөлгүй хандах боломжтой. Аппликешн нь хэрэглэгчийн оролтыг зохих ёсоор ариутгал, баталгаажуулалтгүйгээр файлын зам болгон оруулахыг зөвшөөрсөн тохиолдолд LFI үүсдэг. Энэ нь халдагчид файлын замыг удирдах, дурын файлуудыг оруулах боломжийг олгодог
- онд хэвлэгдсэн Кибер аюулгүй байдал, EITC/IS/WAPT вэб програмын нэвтрэлтийн тест, OverTheWire Натас, OverTheWire Natas алхам - түвшин 5-10 - LFI болон тушаалын тарилга, Шалгалтын тойм
Халдагчид SSI тарилгын эмзэг байдлыг хэрхэн ашиглаж, серверт зөвшөөрөлгүй нэвтрэх эсвэл хортой үйл ажиллагаа явуулах вэ?
Server-Side Include (SSI) тарилгын эмзэг байдлыг халдагчид серверт зөвшөөрөлгүй нэвтрэх эсвэл хортой үйлдэл хийх зорилгоор ашиглаж болно. SSI нь вэб хуудсанд гадаад файлууд эсвэл скриптүүдийг оруулах боломжийг олгодог сервер талын скрипт хэл юм. Энэ нь толгой, хөл, навигаци гэх мэт нийтлэг агуулгыг динамик байдлаар оруулахад ихэвчлэн ашиглагддаг
- онд хэвлэгдсэн Кибер аюулгүй байдал, EITC/IS/WAPT вэб програмын нэвтрэлтийн тест, Вэб халдлага хийх дадлага, bWAPP - Сервер талд SSI тарилга орно, Шалгалтын тойм
Вэбсайт эзэмшигчид вэб програмууд дээрээ хадгалагдсан HTML тарилгын халдлагаас хэрхэн сэргийлэх вэ?
Вэбсайт эзэмшигчид вэб програмууд дээрээ хадгалагдсан HTML тарилгын халдлагаас урьдчилан сэргийлэх хэд хэдэн арга хэмжээ авч болно. HTML тарилга нь сайт хоорондын скрипт (XSS) гэж нэрлэгддэг бөгөөд халдагчид вэбсайт руу хортой код оруулах боломжийг олгодог нийтлэг вэб эмзэг байдал бөгөөд дараа нь сэжиггүй хэрэглэгчид үүнийг гүйцэтгэдэг. Энэ нь янз бүрийн аюулгүй байдлын эрсдэлд хүргэж болзошгүй, тухайлбал
Халдагчид HTML тарилга ашиглан серверийн өгөгдлийн тусгалыг хэрхэн өөрчлөх вэ?
Халдагчид вэб програмын сул талуудыг ашиглан HTML injection ашиглан серверийн мэдээллийн тусгалыг удирдах боломжтой. Сайт хоорондын скрипт (XSS) гэж нэрлэгддэг HTML тарилга нь халдагчид вэб програм руу хортой HTML код оруулах үед үүсдэг бөгөөд энэ нь хэрэглэгчийн хөтөч рүү буцаж ирдэг. Энэ нь янз бүрийн аюулгүй байдлын эрсдэлд хүргэж болзошгүй, үүнд
- онд хэвлэгдсэн Кибер аюулгүй байдал, EITC/IS/WAPT вэб програмын нэвтрэлтийн тест, Вэб халдлага хийх дадлага, bWAPP - HTML injection - тусгасан POST, Шалгалтын тойм
HTML тарилгын POST хүсэлтийг таслан зогсоох зорилго нь юу вэ?
HTML тарилгын POST хүсэлтийг таслан зогсоох нь вэб програмын аюулгүй байдлын хүрээнд, ялангуяа нэвтрэлтийн тестийн дасгалын үед тодорхой зорилготой байдаг. HTML injection буюу сайт хоорондын скрипт (XSS) гэж нэрлэгддэг вэб халдлага нь хортой жүжигчид вэбсайт руу хортой код оруулах боломжийг олгодог бөгөөд дараа нь сэжиггүй хэрэглэгчид үүнийг гүйцэтгэдэг. Энэ код