Методы поиска уязвимостей веб-приложений



Download 0,54 Mb.
bet3/6
Sana21.02.2022
Hajmi0,54 Mb.
#45130
1   2   3   4   5   6
Bog'liq
7-8 maruza (1)

Ахборот технологияларнинг юқори темплар билан тадбиқ этилиши қидирув тизимларининг функционал имкониятларини кенгайтирмоқда. Бугунги кунда қидирув веб хизматлари на фақат ҳамма учун очиқ бўлган маълумотларни балки ёпиқ бўлган сахифаларни ва файлларни топиш имконини беради. Краулерлар (қидирув роботлари) на фақат веб иловаларни, шунинг билан бирга тармоқда рухсат берилган контентни ҳам индекслайди. Шундай қилиб тўғри қидирув сўровини ташкил этиб, бузғунчи веб серверда ёпиқ бўлган маълумотни топиши мумкин.

1. Файлларни қидириш

filetype ва ext операторлари ёрдамида маълум турдаги файлларни қидирувини чеклаш мумкин. Хозирги пайтда бу операторлар орасида кўримли фарқни ўзи йўқ ва амалиётда қидирув натижалари бир хил чиқади. Масалан: Сотрудники filetype:xls.

2. Жойлашишини аниқланишига қараб (Predictable Resource Location Vulnerability) ва тўлиқ бўлмаган аутентификация (Insufficient Authentication) бўйича ресурсларни қидириш

Веб серверда жойлашишини аниқланишига қараб бузғунчи танлаш орқали ёпиқ ахборотга ва махфий функционал имкониятларга рухсатга эга бўлиши мумкин. Шундай қилиб, хужумни амалга оширувчи маълумотлар базасидан маълумотга, пароллар бўйича, директориялардаги маълумотга эга бўлиши мумкин. Агарда бу ёпиқ маълумотларда конфиденциал ахборот бўлмаган тақдирда ҳам, асосий веб сайтда заифлик мавжуд бўлмаса ҳам улар заифликни келтириб чиқариши уни ишлашига тахдид солиши мумкин.

  • Қидирув тизимининг адрес қаторида бузғунчи серверда ҳар қандай файлни ёки каталог тўғрисида сўров орқали аниқлаши мумкин.
  • Хизмат файллари ва директорияларининг оммабоб номлари: /admin/, /backup/, /logs/, /test/, /test.asp, /test.txt, /test.jsp, /test.log, /Copy%20of%test.asp, /Old%20test.asp, /vulnerable_file.cgi
  • Файл ва папкаларни рўйхати ҳар қандай веб сайтда indexof стандарт ёзувдан бошланади. Хизматдаги мақсадлар учун («бекитилган сахифаларда») улар сарлавҳаларда учрайди, шунинг учун сахидаги маълумотга рухсатга эга бўлиш учун қидирувни қуйидаги операторлардан intitle ва директорияларни бериб /admin/, /personal/, /etc/ или /secret/ фойдаланган ҳолда чеклаб рухсатга эга бўлиш

indexofinurl:/admin/ intitle сўрови асосида Google браузерида аксланган сахифа

Download 0,54 Mb.

Do'stlaringiz bilan baham:
1   2   3   4   5   6



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling
kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha

yuklab olish