Top 40 nejnavštěvovanějších webů od roku 1996 do roku 2019 InboxnairaTV

Server hostující aplikaci postavenou v PHP:

  1. Lze na server dosáhnout jinými způsoby než prostřednictvím HTTP nebo externě?
  2. Je GET a POST vyplněno pouze prostřednictvím protokolu HTTP?
  3. Je HTTP záhlaví, GET a POST jediný zdroj vstupu pro server / webovou aplikaci?
  4. Připojuje se k webu pomocí telnet něco jiného než s prohlížečem?
  5. Jaké další přístupové body existují? Představují bezpečnostní hrozbu? Běžné způsoby, jak jim čelit?

Lze na server přistupovat i jinak než přes HTTP nebo externě?

K samotnému serveru lze přistupovat různými způsoby. V závislosti na tom, jaké služby na počítači běží (a jaké porty jsou otevřené).

Je funkce GET a POST naplněna pouze prostřednictvím protokolu HTTP?

Ano

Jsou hlavičky HTTP, GET a POST jediným zdrojem vstupu pro server / webovou aplikaci?

Ne PUT a DELETE jsou také metody HTTP.

Liší se připojení k webové stránce pomocí služby telnet než pomocí prohlížeče?

V zásadě ne. Protože bude také používat protokol HTTP. Pokud se nepřipojíte ke stroji pomocí jiné služby (viz první bod)

Jaké další přístupové body existují? Představují bezpečnostní hrozbu?

Spousty :-)

  • Fyzický přístup k zařízení
  • Další služby běžící na stroji (nejlepší je zastavit nepoužívané služby).
  • SQL Injection
  • Zahrnutí souboru
  • Úniky hesla
  • Prostřednictvím zaměstnanců
  • Otrava DNS
  • mnoho mnoho dalších

Běžné způsoby, jak jim čelit?

Ujistěte se, že je vaše aplikace zabezpečená (nedávejte httpd nepotřebná oprávnění, vždy dezinfikujte vstup uživatele atd.). Posilte zabezpečení serveru. Zajistěte, aby vše bylo aktuální. Pravidelně kontrolujte své protokoly. Zdravý rozum. atd.

  • 1 Dobrá odpověď; ale technicky se cookies a relace nastavují také prostřednictvím HTTP hlaviček. Tady je cookie/set-cookie záhlaví. ID relace jsou obvykle také nastavena buď prostřednictvím souboru cookie, nebo získat parametry.
  • Máte pravdu. Důvod, proč jsem to přidal, je proto, že se často používají a nepřidal jsem je do „skutečných“ metod http. Vysvětlí to. Dík!
  • Na sdíleném hostiteli je úkolem hostitele udržovat software serveru aktuální a zabezpečený, že? Nejsem si jistý, jestli bych měl vůbec přístup k httpd nebo službám.
  • Záleží na smlouvě, kterou s nimi máte. Další věc, kterou můžete udělat, je zkontrolovat sami, zda existují bezpečnostní problémy. Tzv. Testování perem. V minulosti jsem používal web w3af.sourceforge.net, ale lze použít i tenable.com/products/nessus.

Pracoval pro vás: Charles Robertson | Chcete nás kontaktovat?