Hoe webinhoud en beveiliging te evalueren

Test van zoekwoorden gegenereerd door gebruikers of inhoud
Vaak staan ​​we sommige gebruikers toe om informatie te plaatsen en we modereren of beoordelen niet wat ze posten en dan wordt de titel of inhoud een trefwoord. Een manier om dit te controleren is via een zoekmachine zoals Google, zet site: mijndomein.com "sleutelwoord", tussen aanhalingstekens is een exact sleutelwoord.
Laten we een voorbeeld nemen site: apple.com "foto's stelen" als trefwoord

We hebben een titel gevonden, het is eigenlijk een applicatie genaamd Steal photos in de iTunes Store, maar als we zoeken, kan het nog erger zijn met andere trefwoorden of als we een xss-type aanval krijgen.
Het dient ook om te zien of we gepositioneerd zijn voor een bepaald zoekwoord.
Bestanden met gebruikersmetadata
Dit gebeurt in pdf-documenten en Microsoft Office, die worden bewerkt vanaf een Windows-server en rechtstreeks op het web worden gepubliceerd.
Om dit in Google te doen, schrijven we site: "Documenten en instellingen"
In de resultaten ziet u het pad naar de map, de naam van de gebruiker en zelfs het fysieke pad van de server waar het document zich bevindt.

Toegang tot het robots.txt-bestand
Het robots.txt-bestand wordt gebruikt om mappen en bestanden te blokkeren waarvan we niet willen dat ze worden gevolgd, maar omdat het tekstbestanden zijn, kunnen ze worden weergegeven om te zien of een gevoelig gebied, zoals een administratiepaneel of een toepassing die niet wordt gepubliceerd, wordt gevonden .

Het bestand robots.txt het is openbaar omdat zoekmachines het lezen bij het crawlen van informatie. Alle websites gebruiken het om inhoud en mappen te beschermen.
SQL-injecties
Deze treden vooral op bij het ontvangen van parameters die zijn verzonden via een url van het type www.mydomain.com/pagina?id=2
Vervolgens wordt die parameter gelezen om een ​​SQL-instructie uit te voeren
SELECT naam. sleutel FROM gebruikers WHERE user_id = $ id;
Het beste is om de query via post-methoden te verzenden in plaats van in de html-formulieren te komen en in plaats daarvan de code en de variabele te coderen met een methode zoals md5 of sha.
Bijvoorbeeld:
www.mijndomein.com/comprar?idcompra=345&producto=12
Md5 versleutelen en de variabelen maskeren
www.midominio.com/comprar?detalle_compra=e3d4b8f9637ce41a577ac68449e7f6b5
Verduister javascript-scripts
Vaak laten webontwikkelaars javascript-bestanden openbaar en kunnen ze door iedereen worden gelezen. Als je gevoelige code of systeemfuncties hebt, zoals ajax- of jQuery-omleidingen, kan dit een kwetsbaarheid voor het web zijn.
Een interessante methode is om de code te verdoezelen of te versleutelen zodat een functie die een belangrijke taak vervult niet gemakkelijk te ontcijferen is.

 functieberekening (hoeveelheid, prijs) {// Subtotaal berekening subtotaal = prijs * hoeveelheid; documnet.getbyID ('subtotaal') waarde = subtotaal; // Berekening van het totaal documnet.getbyID ('total'). Waarde = documnet.getbyID ('totaal'). Waarde + subtotaal; } 

Dezelfde versluierde code met behulp van de online tool http://myobfuscate.com

Aanvallen voor invoervalidatie
Veel programmeurs om tijd te besparen valideren de formulierinvoer niet en staan ​​toe om iets in de database te schrijven en op te slaan, bijvoorbeeld in plaats van een naam of een telefoon, schrijf een javascript-instructie, xss of een andere code die vervolgens kan worden uitgevoerd wanneer dat record wordt gelezen uit de databank.Vond je deze Tutorial leuk en heb je eraan geholpen?Je kunt de auteur belonen door op deze knop te drukken om hem een ​​positief punt te geven