Websecurity - Веб безпека

В новій главі свого Посібника з безпеки, про яку я згадував на минулому тижні, я розповів про небезпеки Full path disclosure уразливостей.

Витік повного шляху (Full path disclosure) - це уразливість, що призводить до витоку повного шляху на сервері. Це один з найбільш поширених витоків інформації, як я вже зазначав в своїх статтях про “Warning” Google хакінг та “Error” Google хакінг, де я наводив приклади пошукових запитів, що виводять мільйони вразливих сайтів. І Full path disclosure дірки несуть в собі небезпеку для сайтів.

Даний тип уразливостей може бути використаний:

1. Для отримання інформації про структуру папок на сервері. Що може бути в подальшому використано для проведення Directory Traversal, Local File Inclusion та SSI Injection атак.
2. Для знаходження прихованих ресурсів на сайті з отриманої структури папок.
3. Для отримання інформації про логін до ftp акаунту та інших сервісів сервера.
4. Для отримання інформації про назву БД та логін до акаунту СУБД.

Також в даній главі свого посібника я розповів про методи захисту від Full path disclosure уразливостей. Наведені методи захисту для мов програмування Perl і PHP.

This entry was posted on 19:10 25.01.2011 and is filed under Статті. You can follow any responses to this entry through the RSS 2.0 feed.