Небезпека Full path disclosure уразливостей

19:10 25.01.2011

В новій главі свого Посібника з безпеки, про яку я згадував на минулому тижні, я розповів про небезпеки Full path disclosure уразливостей.

Витік повного шляху (Full path disclosure) - це уразливість, що призводить до витоку повного шляху на сервері. Це один з найбільш поширених витоків інформації, як я вже зазначав в своїх статтях про “Warning” Google хакінг та “Error” Google хакінг, де я наводив приклади пошукових запитів, що виводять мільйони вразливих сайтів. І Full path disclosure дірки несуть в собі небезпеку для сайтів.

Даний тип уразливостей може бути використаний:

  1. Для отримання інформації про структуру папок на сервері. Що може бути в подальшому використано для проведення Directory Traversal, Local File Inclusion та SSI Injection атак.
  2. Для знаходження прихованих ресурсів на сайті з отриманої структури папок.
  3. Для отримання інформації про логін до ftp акаунту та інших сервісів сервера.
  4. Для отримання інформації про назву БД та логін до акаунту СУБД.

Також в даній главі свого посібника я розповів про методи захисту від Full path disclosure уразливостей. Наведені методи захисту для мов програмування Perl і PHP.


Leave a Reply

You must be logged in to post a comment.