Vídeo: Script matador para fazer "oferta ativa" | Guilherme Machado 2024
Programas web mal escritos, como o Hypertext Preprocessor (PHP) e Active Server Pages (ASP), pode permitir que os hackers vejam e manipulem arquivos em um servidor web e façam outras coisas que não estão autorizados a fazer.
Essas falhas também são comuns em sistemas de gerenciamento de conteúdo (CMSs) que são usados por desenvolvedores, equipe de TI e profissionais de marketing para manter o conteúdo de um site. Os ataques de script padrão são comuns porque tanto código mal escrito é acessível gratuitamente em sites. Os hackers também podem tirar proveito de vários exemplos de scripts que instalam em servidores web, especialmente versões mais antigas do servidor web IIS da Microsoft.
Muitos desenvolvedores web e webmasters usam esses scripts sem entender como eles realmente funcionam ou sem testá-los, o que pode introduzir vulnerabilidades de segurança graves.
Para testar vulnerabilidades de script, você pode ler scripts manualmente ou usar uma ferramenta de busca de texto para encontrar nomes de usuários, senhas e outras informações confidenciais codificadas. Procure por admin, root, user, ID, login, signon, senha, pass, pwd, e assim por diante. As informações sensíveis incorporadas em scripts como este raramente são necessárias e muitas vezes são o resultado de práticas de codificação precárias que dão precedência à conveniência em relação à segurança.
Você pode ajudar a prevenir ataques contra scripts web padrão da seguinte forma:
-
Saiba como os scripts funcionam antes de implantá-los dentro de um ambiente web.
-
Certifique-se de que todos os scripts padrão ou de amostra sejam removidos do servidor web antes de usá-los.
Não use scripts publicamente acessíveis que contenham informações confidenciais codificadas. Eles são um incidente de segurança em construção.
-
Defina permissões de arquivos em áreas sensíveis do seu site / aplicativo para impedir o acesso público.
