libro es sólo alrededor de las aplicaciones Web, y no toca la instalación y configuración del software de servidor, el uso de cortafuegos y antivirus, las vulnerabilidades en los archivos ejecutables, y otras cuestiones que se relacionan con la prevención de los hackers obtengan privilegios en un servidor sin autenticación. Por lo tanto, este libro es para los programadores Web en lugar de los administradores de sistemas responsables de la seguridad de un servidor.
demuestro que los resultados de programación Web inapropiados en aplicaciones Web vulnerables que pueden convertirse en los componentes más débiles de protección del servidor. "Agujeros" en estos componentes pueden permitir a un hacker para eludir una protección complicado y obtener privilegios en el servidor para investigar el servidor desde el interior
Por la protección Quiero decir dos tipos de protección:. En contra de los cambios a la información y en contra acceso no autorizado a la información.
Imagine un sitio web pequeño que contiene datos sólo estáticas.
Se podría decir que el dueño de este sitio no tiene nada que ocultar. No hay contraseñas o los derechos de acceso. Según HTTP, el servidor envía datos a un cliente sin procesamiento.
La fuga de información sobre los archivos que se encuentran en el sitio o el servidor no sería crucial. Incluso si un atacante acceder a los archivos a través de Protocolo de transferencia de archivos (FTP), en lugar de HTTP, él o ella no se benefician de ella.
En esta situación, la capacidad de un usuario no autorizado para cambiar la información es más peligroso que la capacidad de esa persona para acceder a ella porque el servidor no almacena datos privados. La única excepción podría ser directorios protegidos con una contraseña utilizando las herramientas de servidor Web
.
Ahora imagine un sistema más complicado, como una tienda electrónica. Guiones de servidor están accediendo a una base de datos que almacena información privada sobre clientes, proveedores, y así sucesivamente.
Además, esta base de datos puede almacenar información confidencial, como números de tarjetas de crédito de los usuarios.
La divulgación del código fuente de los scripts de servidor también sería peligroso. Estos scripts son susceptibles de contener información suficiente para que el acceso a la base de datos, es decir, el nombre de usuario y la contraseña. Incluso si no se almacenan sin cifrar, el atac