На главную  Карта сайта  
Главное меню
Реклама

Вступительное слово ведущего раздела

Итак, мы начинаем наш цикл статей посвященный web-безопасности.

Наша цель научить начинающих веб программистов писать безопасный код, благодаря которому приложения будут надежно защищены. Но для того, что бы грамотно защищаться, нам для начала нужно научится атаковать, ибо, не зная методов нападающего можно легко оказаться поверженным. Все статьи будут содержать большую практическую часть, в который мы займемся исследованием настоящих веб сайтов, а так же популярных скриптов. Большинство статей будут дополнены фото и видео материалами.

Первая наша статья будет посвящена основам.

Давайте с начала разберемся, какие сайты вообще поддаются атаке, на самом деле атаковать можно любой веб сайт, даже тот, на котором нет ни одного скрипта , а только статические html страницы, но таких сайтов сегодня все меньше и меньше, поэтому мы не будим уделять им особого внимания. А будем рассматривать динамические веб сайты на которых часто используются различные скрипты типа форумов, гостевых книг, рассылок, регистрации и т.д. Сайты такого типа активно используют HTTP запросы, и именно динамические сайты предоставляют интерес для большинства взломщиков.

Давайте разберемся в том, что такое HTTP запрос. Представьте, что вы собираете посылку для своего друга, который живет в другом городе, в нее вы кладете некоторые вещи, которые он должен получить, на посылке указываете его адрес, потом идете на почту и отправляете ее. Теперь давайте проведем аналогию между вашими действиями и HTTP запросом :

 Ваши действия

HTTP запрос

Посылка

HTTP запрос

Вы (отправитель)

Клиент

Почтовая служба

Протокол HTTP

Ваш друг (получатель)

Web-сервер

Теперь мы знаем, что HTTP запрос это некий набор данных посылаемых web-серверу.

Что нам дает это знание? Многое! Большинство сайтов взламываются именно благодаря HTTP запросам, дело в том, что программисты не всегда правильно организовывают фильтрацию данных полученных из запроса, отсюда и растут ноги у таких популярных уязвимостей как инъекции. Итак, первое правило, которое вам следует запомнить: «никогда не доверяйте данным, полученным от пользователя», все профессиональные программисты руководствуются этим правилом!

Как находить и использовать уязвимости типа инъекция, как правильно организовывать фильтрацию данных, что такое XSS , как правильно организовать аутентификацию на сайте, а также многое другое вы узнаете из следующих выпусков.

 

Евгений Скирда

 

19.06.2006

Комментарии

ФИО: 
E-mail: 
Тема: 
Комментарий: