Топ 40 най-посещавани уебсайта от 1996 г. до 2019 г. InboxnairaTV

Сървър, хостващ приложение, вградено в PHP:

  1. Може ли сървърът да бъде достигнат по други начини, освен чрез HTTP или външно?
  2. Е GET и POST само чрез HTTP протокол?
  3. Е HTTP хедъри, GET и POST единственият източник на вход за сървър / уеб приложение?
  4. Свързва се с уебсайт с telnet различен от този с браузър?
  5. Какви други точки за достъп съществуват? Те представляват ли заплаха за сигурността? Чести начини за противодействие срещу тях?

Може ли сървърът да бъде достигнат по друг начин, освен чрез HTTP или външно?

Е ... самият сървър може да бъде достъпен по различни начини. В зависимост от това какви услуги се изпълняват на машината (както и какви портове са отворени).

Попълва ли се само GET и POST чрез HTTP протокола?

Да

HTTP заглавията, GET и POST са единственият източник на вход за сървър / уеб приложение?

Не PUT и DELETE са и http методи.

Свързването към уебсайт с telnet различно ли е от това с браузър?

По принцип не. Защото ще използва и HTTP протокола. Освен ако не се свържете с машината с друга услуга (вижте първата точка)

Какви други точки за достъп съществуват? Те представляват ли заплаха за сигурността?

Много :-)

  • Физически достъп до машината
  • Други услуги, които се изпълняват на машината (най-добрата практика е да спрете неизползваните услуги).
  • SQL инжекция
  • Включване на файл
  • Изтичане на парола
  • Чрез служители
  • DNS отравяне
  • много много повече

Чести начини за противодействие срещу тях?

Уверете се, че приложението ви е защитено (не давайте на httpd ненужни привилегии, винаги дезинфекцирайте въведеното от потребителя и т.н.). Засилете сигурността на вашия сървър. Уверете се, че поддържате всичко актуално. Редовно проверявайте дневниците си. Здрав разум. и т.н.

  • 1 Добър отговор; но технически бисквитките и сесиите също се задават чрез HTTP заглавки. Има cookie/set-cookie заглавна част. Идентификаторите на сесии обикновено също се задават или чрез бисквитка, или получават параметри.
  • Прав си. Причината, поради която го добавих, е, че те често се използват и не ги добавих към „истинските“ http методи. Ще изясня все пак. Благодаря!
  • На споделен хост задачата на хоста е да поддържа софтуера на сървъра актуален и защитен, нали? Не съм сигурен дали изобщо бих имал достъп до httpd или услуги.
  • Зависи от договора, който имате с тях. Друго нещо, което можете да направите, е да проверите сами дали има проблеми със сигурността. Така нареченото тестване на химикалки. В миналото съм използвал w3af.sourceforge.net, но също така може да се използва tenable.com/products/nessus.

е работил за вас: Charles Robertson | Искате ли да се свържете с нас?