SORU
22 AĞUSTOS 2008, Cuma


Ortak web patlatır ben.

Web programlama konusunda çok yeşil de değilim, istemci uygulamalar benim çoğu zaman geçirdim. /Benim test site için korkmam gerekiyor ortak patlatır merak ediyorum.

CEVAP
7 EYLÜL 2008, Pazar


İnsanlar başka bir bağlantı üzerinden bakmak zorunda kalma diye OWASP Top 2007 abbreviated list post ediyorum ve kaynağı iner.

Cross Site Scripting (XSS)

  • XSS açıkları uygulama kullanıcıdan gelen verileri alır ve ilk veya içerik doğrulama kodlama olmadan web tarayıcı gönderir zaman ortaya çıkar. XSS saldırganların kurbanın tarayıcısında script çalıştırmasına izin veriyor kullanıcı oturumları kaçırmak, web siteleri tahrif, muhtemelen solucan tanıtabilirsiniz, vb.

Injection Flaws

  • Enjeksiyon açıkları, SQL enjeksiyon özellikle web uygulamaları yaygındır. Enjeksiyon, kullanıcı tarafından sağlanan oluşur veri bir komut ya da sorgunun bir parçası olarak bir tercümana gönderilir. Saldırgan, düşmanca veri istenmeyen komutları veya değiştirme veri yürütme içine tercüman hileler.

Malicious File Execution

  • Kodu uzaktan dosya dahil savunmasız (RFI) saldırganların düşmanca kod ve veri, yıkıcı saldırılar sonucunda, toplam sunucu uzlaşma gibi dahil etmenize olanak sağlar. Kötü niyetli dosya çalıştırma saldırıları PHP, XML ve kullanıcılardan dosya ya da dosyaları kabul eden herhangi bir çerçeve etkiler.

Insecure Direct Object Reference

  • Doğrudan nesne başvurusu bir geliştirici bir URL veya form parametresi olarak iç uygulama, bir nesne, bir dosya, dizin, veritabanı kaydı veya anahtar gibi bir referans gösterir oluşur. Saldırganlar bu başvuruları izni olmadan diğer nesneleri işleyebilirsiniz.

Cross Site Request Forgery (CSRF)

  • Bir CSRF saldırı güçleri bir oturum açan kurbanın tarayıcısına göndermek bir ön kimlik doğrulaması istemek için savunmasız bir web uygulaması olan güçleri kurbanın tarayıcı gerçekleştirmek için bir düşman saldırısı için yarar bir saldırgan. CSRF saldırıları web uygulama kadar güçlü olabilir.

Information Leakage and Improper Error Handling

  • Uygulamalar istemeden yapılandırma, kendi iç işleriyle ilgili bilgi sızıntısı ya da uygulama sorunları çeşitli yoluyla gizlilik ihlal edebilir. Saldırganlar bu zayıflık hassas verileri çalmak, ya da daha ciddi saldırılar gerçekleştirmek için kullanırlar.

Broken Authentication and Session Management

  • Hesap kimlik bilgileri ve oturum belirteçleri genellikle düzgün korumalı değil. Saldırganların parolaları, anahtar ya da kimlik doğrulama belirteçleri kabul etmek uzlaşma diğer kullanıcıların kimlikleri.

Insecure Cryptographic Storage

  • Web uygulamaları nadiren düzgün şifreleme fonksiyonları veri ve kimlik bilgilerini korumak için kullanın. Saldırganların zayıf veri koruma kimlik hırsızlığı ve diğer suçları, kredi kartı dolandırıcılığı gibi yapmak için kullanın.

Insecure Communications

  • Uygulamalar sıklıkla hassas iletişimleri korumak için gerektiğinde ağ trafiğini şifrelemek için başarısız.

Failure to Restrict URL Access

  • Sık sık, bir uygulama, sadece yetkisiz kullanıcılar için link veya URL görüntülemek engelleyerek hassas işlevselliğini korur. Saldırganlar bu zayıflık ve direkt olarak bu URL erişim yetkisiz erişim işlemleri gerçekleştirmek için kullanabilirsiniz.

The Open Web Application Security Project

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • BlackBoxTV

    BlackBoxTV

    7 Mayıs 2007
  • ExcelTutorials

    ExcelTutoria

    2 Mayıs 2009
  • Jesse Pimenta

    Jesse Piment

    5 EKİM 2011