इस विषय को समर्पित किया जाएगा:
- भेद्यता के आँकड़े
- प्रशासन की प्रतिक्रियाएँ (दर और पर्याप्तता)
- खतरों
और अन्य कारकों के सभी प्रकार। उदाहरण दिए जाएंगे।
क्या भाव था
उपवास इस तरह से शुरू किया जा सकता है: "शाम हो गई थी, कुछ करना नहीं था।" या: "पिछली सफलताओं से प्रेरित (पिछला विषय एक प्लस था)।"
एक शब्द में, मुझे निश्चित रूप से गर्मियों में कुछ नहीं करना है। और इसलिए, जबकि मेरा आखिरी प्रोजेक्ट (हैब्रैसनर) धीरे-धीरे देखा जा रहा है, मैंने जल्दी से अगली पोस्ट को स्केच करने के लिए सोचा। एक संक्षिप्त सारांश पहले से ही ऊपर है। आइए इसका विश्लेषण करते हैं (अर्थ में पोस्ट)।
बहुत महत्वपूर्ण: विषय में दिए गए सभी डेटा बहुत अधिक मोटे हैं। मैंने 1000 से अधिक साइटों की जाँच की, लगभग 200 कमजोर हो गए।
खोज प्रक्रिया
वैसे, कौन परवाह करता है, साइटों को पूरी तरह से यादृच्छिक रूप से पाया गया और शाब्दिक रूप से मैन्युअल रूप से जांच की गई।
Google मुझे खोज रहा था। मैंने एक छोटी सी पाइथन स्क्रिप्ट लिखी, जिसने एक खोज क्वेरी दर्ज की (प्रश्नों की सूची मूल रूप से ली गई थी) और "मैं भाग्यशाली हूं!" पर क्लिक किया, और फिर इस डेटा को एक टेक्स्ट बॉक्स में कॉपी किया, जिसका मैंने तब उपयोग किया था।
वैसे, 1322 अनुरोध थे, जिसका अर्थ है कि कई साइटें हैं। इसलिए, यह अनुमान लगाया जा सकता है कि लगभग 15% कमजोर हैं।
सामान्य आँकड़े
कमजोर मॉड्यूल
भेद्यता का प्रकार
मुझे स्पष्ट करना चाहिए कि HTMLBUG = कुछ फॉर्म का उपयोग करके HTML की उपस्थिति को बदल रहा है, लेकिन एक्सएसएस के बिना (आखिरकार, टैग फ़िल्टर किए जाते हैं)।
उदाहरण
फिर, मुझे बस यहाँ कहना होगा कि कोई वास्तविक उदाहरण नहीं होगा। यह केवल जांच की गई साइट के लिए खतरनाक हो सकता है।
और यहाँ क्यों है।
यहां "नॉट डिसाइड" में शामिल है और "जवाब नहीं दिया।"
इसके अलावा, अधिकांश परियोजनाओं में मेरे साथ असभ्यता, तिरस्कार और यहां तक कि धमकी दी गई ...
यह कुछ इस तरह दिखता है।
हिस्टोग्राम में शब्द किसी भी तरह से मेरी गणना को नरम करने के लिए जानबूझकर विकृत किए जाते हैं।
बाकी ने या तो जवाब नहीं दिया या सूख गया "धन्यवाद।"
मैं kronya.ru ऑनलाइन स्टोर के कर्मचारियों को भी बाहर करना चाहूंगा, इतना ही नहीं उन्होंने मुझे 15 मिनट के भीतर (शुक्रवार को) जवाब दिया, मेरी सभी शिकायतों को एक घंटे के भीतर हल कर दिया गया।
इसके अलावा, मैंने उपयोगकर्ता
art_karetnikov को सिंगल कर दिया , उसकी साइट की जांच मेरे द्वारा संयोग से की गई, और, मेरे अफसोस के लिए, और हर किसी की खुशी के लिए, मैंने जिन त्रुटियों की जाँच की उनमें शामिल नहीं था।
और अब अंत में उदाहरण के लिए।
मैं आपको कुछ उदाहरण देता हूं। मुझे लगता है कि Habr के अधिकांश उपयोगकर्ता XSS को खोज सकते हैं और उसका उपयोग कर सकते हैं, इसलिए इस बारे में संक्षेप में।
http://******************d=%22%3E%3Cscript%3Ealert%280%29%3C%2Fscript%3Eजेएस एक चेतावनी outputting।
">
(विंडो पहले से ही बंद है), अर्थात यहाँ XSS और विषमताएँ हैं। (खैर, html के साथ अजीब चीजें हमेशा देखी जाती हैं जहां यह इनपुट के माध्यम से टूट जाता है, इसलिए मैं अब उन्हें एक साथ नहीं जोड़ूंगा)।
साइटों में से एक पर एक फॉर्म था, जिसके बाद इसकी सामग्री साइट पर 5 (!) टाइम्स के रूप में मौजूद थी। और यह कुछ ऐसा दिख रहा था।
अनफ़िल्टर्ड अनुरोधों की एक अविश्वसनीय राशि मुझे इंटरनेट पर मिली।
सबसे ज्यादा मुझे यह पसंद आया। वैसे, यह एक मॉस्को स्टोर की एक बड़ी साइट पर स्थित है।
सिर्फ एक सही क्षेत्र में एक उद्धरण। इस साइट पर उन्होंने मुझे जवाब नहीं दिया ...
समस्याओं का समाधान
अधिकांश भाग के लिए, ये सभी भेद्यताएं चौखटे वाली साइटों (रूट फ़ोल्डरों में प्रलेखन) या सीएमएस (© का उपयोग करने के संकेत पाए गए) के साथ पाई जाती हैं। इसलिए, समाधान उतना ही सरल है जितना महसूस किए गए जूते। फ़िल्टर टॉगल स्विच को चालू स्थिति पर स्विच करें। या कहीं और 2 शब्द जोड़ें ...
यह सब क्यों?
मुझे उम्मीद है कि यह विषय यह कर सकता है:
- उपयोगकर्ताओं को लिंक के लिए अधिक चौकस बनाएं।
- अपनी रचनाओं के प्रति अधिक चौकस होना मानते हैं।
- प्रबंधक उन लोगों के प्रति दयालु होते हैं जिनके साथ वे संवाद करते हैं।
- प्रोग्रामर को और अधिक पर्याप्त होना चाहिए और समझना चाहिए कि जब वे उनकी मदद करने की कोशिश कर रहे हैं, और धोखा देने के लिए नहीं (इस शब्द के लिए हेब्रोसोसिटी ने मुझे माफ कर दिया)।
PS निष्कर्ष में, मैं कहना चाहता हूं:
"प्रिय खाबरोवित्स, मैं निस्संदेह कमजोरियों के लिए साइटों की जांच करना और अपने लिए कुछ नया सीखना पसंद करता हूं।"
यदि किसी को दिलचस्पी है, तो मैं आपकी साइटों की जांच कर सकता हूं, और फिर विशिष्ट उदाहरणों के साथ सूची को पूरक कर सकता हूं (स्वाभाविक रूप से पर्याप्त विवरण नहीं हैं, मुझे लगता है), स्वाभाविक रूप से आपकी अनुमति के साथ और, ज़ाहिर है, सुधार के बाद।
PSS मुझे आशा है कि मेरा लेख किसी के लिए एक उपयोगी रीडिंग होगा। कोई व्यक्ति एक सबक, या कार्रवाई के लिए एक मार्गदर्शक के रूप में काम करेगा (मुझे उम्मीद है कि व्यवस्थापक, हैकर्स नहीं)। और सामान्य तौर पर, मुझे आशा है कि लेख हाइब्रा के योग्य होगा।
युपीडी।
अनाम minusculers को नमस्कार! (मैं टिप्पणी के लिए पूछूंगा)
UPD2।
वास्तविक उदाहरणों के स्क्रीनशॉट, प्रशासकों के साथ पत्राचार के स्क्रीनशॉट (स्वाभाविक रूप से बंद), और हिस्टोग्राम के बजाय राउंड मैं बाद में करूँगा। (आपको यह सब तैयार करने की आवश्यकता है)