luni, 27 iunie 2011

Cum sa verifici daca site-ul tau este vulnerabil

Publicat de Wozniak la 01:45 0 comentarii
 
Cum sa verifici daca site-ul tau este vulnerabil


Sunt multe metode de a sparge un site, de la utilizarea banalului BruteForce, pâna la tehnici precum SQL injection, LFI, XSS si asa mai departe.
Cum poti verifica daca site-ul tau este vulnerabil ?
Nu îti trebuie mare pricepere ca sa vezi asta, trebuie doar sa verifici, si daca nu esti în stare sa remediezi situatia de unul singur, discuta cu cineva sa te ajute, pentru ca, mai devreme sau mai tarziu, va fi spart, chiar daca cel ce ti-l va sparge nu are nicio legatura cu tine.


Pentru a vedea daca site-ul tau poate fi spart prin metoda SQL injection, nu trebuie decât sa cauti paginile ce au o egalitate. Spre exemplu: example.com/index.php?id=5, 
dupa ce ati gasit toate linkurile cu egalitati, aplicati la finalul linkului un apostrof ('), apasati enter, si daca va va aparea o eroare SQL, atunci puteti fi siguri ca sunteti site-ul va este vulnerabil.Exemplu: example.com/index.php?id=5'.
 Nu trebuie sa va obositi cautând toate linkurile ce au egalitati, trebuie sa verificati directoarele, exemplu: example.com/page.php?id=3,
 nu este vulnerabil, atunci nici example.com/page.php?id=4 nu va fi, si asa mai departe.


XSS. Pentru a vedea daca aveti o vulnerabilitate de tip XSS, nu trebuie decât sa adaugati în casuta de cautare
Cod:
<script>alert("xss")</script>
, daca dupa ce ati apasat enter, pagina va va genera un alert, si va crea o casuta în care scrie XSS, atunci va puteti da seama ca este vulnerabil. Vulnerabilitatile XSS nu ajuta la spargerea site-urilor, ci prin intermediul lor, se pot accesa cookies-urile utilizatorilor din pagina ce prezinta vulnerabilitatea.


LFI. Daca prin modificarea linkurilor, adaugam dupa egalitate, .../ si site-ul arata o eroare, atunci este vulnerabil. Spre exemplu: example.com/view.php?page=contact.php, daca modificam contact.php cu ../ si ne apare o eroare dupa ce am apasat enter, atunci site-ul nostru este vulnerabil. Ex: example.com/view.php?page=../


Folderele din FTP. Daca avem foldere in FTP ce au permisiunea 777, si sunt la vedere, te poti trezi cu shell-uri, deci faceti un review si modificati permisiunile folderelor cu 644.

Leave a Reply

Abonați-vă la: Postare comentarii (Atom)