Topp 40 mest besøkte nettsteder fra 1996 til 2019 InboxnairaTV

En server som er vert for et program innebygd i PHP:

  1. Kan serveren nås på andre måter enn gjennom HTTP eller eksternt?
  2. Er GET og POST bare befolket gjennom HTTP-protokollen?
  3. Er HTTP topptekster, GET og POST den eneste inngangskilden for en server / webapplikasjon?
  4. Kobler til et nettsted med telnet noe annerledes enn med en nettleser?
  5. Hvilke andre tilgangspunkter finnes? Utgjør de en sikkerhetstrussel? Vanlige måter å motvirke dem på?

Kan serveren nås på andre måter enn via HTTP eller eksternt?

Vel ... selve serveren kan nås på forskjellige måter. Avhengig av hvilke tjenester som kjører på maskinen (samt hvilke porter som er åpne).

Er GET og POST bare fylt gjennom HTTP-protokollen?

Ja

Er HTTP-overskrifter, GET og POST den eneste inngangskilden for en server / webapplikasjon?

Nei PUT og DELETE er også http-metoder.

Er det å koble til et nettsted med telnet noe annerledes enn med en nettleser?

I utgangspunktet ikke. Fordi den også vil bruke HTTP-protokollen. Med mindre du kobler til maskinen ved hjelp av en annen tjeneste (se første punkt)

Hvilke andre tilgangspunkter finnes? Utgjør de en sikkerhetstrussel?

Mye :-)

  • Fysisk tilgang til maskinen
  • Andre tjenester som kjører på maskinen (det er best å stoppe ubrukte tjenester).
  • SQL Injection
  • Inkludering av filer
  • Passord lekker
  • Gjennom ansatte
  • DNS-forgiftning
  • mange mange flere

Vanlige måter å motvirke dem på?

Sørg for at applikasjonen din er sikker (ikke gi httpd unødvendige rettigheter, rengjør alltid brukerinngang osv.). Forherre serversikkerheten. Sørg for at du holder alt oppdatert. Sjekk loggene dine regelmessig. Sunn fornuft. etc.

  • 1 Godt svar; men teknisk sett blir informasjonskapsler og økter også satt gjennom HTTP-overskrifter. Det er en cookie/set-cookie Overskrift. Sesjons-ID blir vanligvis også satt gjennom en informasjonskapsel eller få parametere.
  • Du har rett. Grunnen til at jeg la til det er fordi de ofte blir brukt, og at jeg ikke la dem til de 'virkelige' http-metodene. Vil avklare skjønt. Takk!
  • På en delt vert er det verts oppgave å holde serverens programvare oppdatert og sikker, er det ikke? Jeg er ikke sikker på om jeg i det hele tatt ville ha tilgang til httpd eller tjenester.
  • Det avhenger av kontrakten du har med dem. En annen ting du kan gjøre er å sjekke ut selv om det er sikkerhetsproblemer. Såkalt pen-testing. Jeg har brukt w3af.sourceforge.net tidligere, men også tenable.com/products/nessus kan brukes.

fungert for deg: Charles Robertson | Ønsker du å kontakte oss?