6 Апр
В данной книге, построенной по принципу двустороннего подхода, который был позаим¬ствован из первой книги серии "Секреты хакеров..." (и который, кстати, продолжает с успе¬хом использоваться вот уже в третьем издании этой книги), демонстрируется, как можно ре¬шить проблему создания безопасных Web-приложений.
6 Апр
Значительную часть информации о методах взлома средств авторизации можно почерп¬нуть из предыдущей главы. Создание дубликата Web-узла на диске своего компьютера и ана¬лиз структуры Web-узла помогут читателю определить, каким образом нужно изменить за¬просы HTTP, чтобы повлиять па поведение приложения. В большинстве случаев в первую очередь нужно попытаться модифицировать поля ввода, имеющие отношение к идентифика¬торам пользователей, пользовательским именам, группам управления доступом, именам файлов, идентификаторов файлов и т.д. Месторасположение подобных полей зависит от конкретного приложения. Однако с точки зрения протокола HTTP имеется лишь несколько полей, которым могут передаваться подобные значения. Такими полями являются cookie, за¬просы, данные в запросах POST и скрытые дескрипторы. О каждом из этих типов полей пого¬ворим отдельно. Рассмотрим формат данных каждого из них, а также, что еще более важно, как их изменить, чтобы взломать приложение. При взломе следует исходить из предположе¬ния, что если данные вводятся, значит их можно каким-то образом изменить — все зависит от того, найдется ли подходящий способ, будет ли под рукой нужный инструмент, а также удаст¬ся ли установить значение, которое нужно подставить вместо легального значения.
5 Апр
Web-служба — это изолированный компонент программного обеспечения, который вы¬полняет определенные функции и предоставляет информацию о своих возможностях для других компонентов сети. Web-службы основаны на широко рекламируемых и разрабатывае¬мых стандартах Internet, включая WSDL (Web Services Definition Language — язык описания Web-служб) — формат XML для описания конечных точек соединения, предоставляемого Web-службой; спецификацию UDDI (Universal Description, Discovery, and Integration — универ-
5 Апр
Файлы cookie, содержащие аутентификационные данные, чрезвычайно важны. Благодаря целому букету изъянов, обнаруженных в коммерческих броузерах, при использовании аутен-тификаиионных файлов cookie нужно проявлять особую осторожность. Предотвращение же внедрения сценариев обеспечивается путем проверки вводимых данных.
5 Апр
Существует несколько разновидностей описанного выше сканирования по протоколу TCP, разработанных для повышения точности, скорости и маскировки. Хорошее описание всех видов и методов сканирования портов можно найти по адресу http://www.insecure.org/nmap. Вот наиболее важные для практического применения методы сканирования портов.
