<Р> Я, показывают, что неправильные результаты веб-программирования в уязвимых веб-приложений, которые могут стать самыми слабыми компонентами защиты сервера. "Дыры" в этих компонентах может позволить хакеру обойти сложную защиту и получить привилегии на сервере, чтобы исследовать сервер изнутри
<р> По защиты Я имею в виду два типа защиты:. Против изменений к информации и против несанкционированного доступа к информации.
<р> Представьте себе небольшое веб-сайт, который содержит только статические данные. Вы могли бы сказать, что владелец этого сайта не имеет ничего скрывать.
Там нет пароли или права доступа. По HTTP, сервер посылает данные клиенту без обработки.
<Р> Утечка информации о файлах, расположенных на сайте или сервере не будет иметь решающее значение. Даже если злоумышленник доступ файлы, используя протокол передачи файлов (FTP), а не HTTP, он или она не будет извлечь из этого пользу.
<Р> В этой ситуации, способность несанкционированным пользователем, чтобы изменить информацию более опаснее, чем способность этого человека, чтобы получить к нему доступ, так как сервер не хранит личные данные.
Единственное исключение может быть каталоги, защищенные паролем с помощью инструментов веб-сервера.
<Р> А теперь представьте себе более сложную систему, такую как интернет-магазин. Серверные скрипты имеют доступ к базе данных, которая хранит личные данные о клиентах, поставщиках, и так далее. Кроме того, эта база данных может хранить конфиденциальную информацию, например, номера кредитных карт пользователей.
<Р> Раскрытие исходного кода сценариев сервера также будет опасно. Эти сценарии могут содержать информацию, достаточную для доступа к базе данных, то есть логин и пароль.
Даже если они не хранятся в незашифрованном виде, злоумышленник сможет раскрыть их. Исходный код скриптов можно анализировать на наличие уязвимостей, которые позволили бы злоумышленнику получить высокие привилегии и управлять сервером.
<Р> Таким образом, утечка информации с этого сайта будет более опасным, чем от стат