İçindekiler
Kullanıcılar veya içerik tarafından oluşturulan anahtar kelimelerin testiÇoğu zaman bazı kullanıcıların bilgi göndermesine izin veririz ve yayınladıklarını denetlemez veya incelemeyiz ve ardından başlık veya içerik bir anahtar kelime haline gelir. Bunu kontrol etmenin bir yolu, aşağıdaki gibi bir arama motorundan Google, siteyi koyun: mydomain.com "anahtar kelime", tırnak içinde olmak tam bir anahtar kelimedir.
bir örnek gidelim site: apple.com "fotoğraf çalmak" anahtar kelime olarak
Ayrıca, belirli bir anahtar kelime için konumlanıp konumlanmadığımızı görmeye de hizmet eder.
Kullanıcı meta verileri içeren dosyalar
Bu, pdf belgelerinde ve Microsoft ofisinde gerçekleşir.Windows sunucusundan düzenlenen ve doğrudan web'de yayınlanan .
Bunu Google'da yapmak için yazıyoruz site: "Belgeler ve ayarlar"
Sonuçlarda dizinin yolunu, kullanıcının adını ve hatta belgenin bulunduğu sunucunun fiziksel yolunu görebileceksiniz.
Robots.txt dosyası, izlenmesini istemediğimiz dizinleri ve dosyaları engellemek için kullanılır, ancak bunlar metin dosyaları olduğundan, yönetim paneli veya yayınlamayan bir uygulama gibi hassas bir alanın bulunup bulunmadığını görmek için listelenebilir. .
SQL enjeksiyonları
Bunlar, özellikle www.mydomain.com/pagina?id=2 türündeki url tarafından gönderilen parametreleri alırken meydana gelir.
Sonra bu parametre, bazı sql komutlarını yürütmek için okunur.
SEÇ isim. kullanıcılardan anahtar WHERE user_id = $ id;
En iyisi, sorguyu html formlarına girmek yerine post yöntemleriyle göndermek ve bunun yerine kodu ve değişkeni md5 veya sha gibi bir yöntemle şifrelemektir.
Örneğin:
www.mydomain.com/comprar?idcompra=345&producto=12
md5'i şifreleme ve değişkenleri maskeleme
www.midominio.com/comprar?detalle_compra=e3d4b8f9637ce41a577ac68449e7f6b5
Javascript komut dosyalarını gizleyin
Çoğu zaman web geliştiricileri javascript dosyalarını herkese açık bırakır ve herkes tarafından okunabilir, hassas kodunuz veya ajax veya jquery yönlendirmeleri gibi sistem işlevleriniz varsa, bu web için bir güvenlik açığı olabilir.
İlginç bir yöntem, kodu gizlemek veya şifrelemektir. böylece bazı önemli görevleri yerine getiren bir işlevin şifresini çözmek kolay değildir.
fonksiyon hesaplama (miktar, fiyat) {// Ara toplam hesaplama ara toplam = fiyat * miktar; documnet.getbyID ('ara toplam').değer = ara toplam; // Toplam documnet.getbyID ('toplam') hesaplanması Değer = documnet.getbyID ('toplam') Değer + ara toplam; } Http://myobfuscate.com çevrimiçi aracını kullanarak aynı gizlenmiş kod
Zaman kazanmak için birçok programcı, form girişlerini doğrulamaz ve veritabanına herhangi bir şey yazmasına ve kaydetmesine izin verir, örneğin bir isim veya telefon yerine bir javascript komutu, xss veya bu kayıt okunduğunda yürütülebilecek herhangi bir kod yazar. veritabanından.Bu Eğitimi beğendiniz ve yardım ettiniz mi?Yazara olumlu puan vermek için bu düğmeye basarak yazarı ödüllendirebilirsiniz.
