Top 40 mest besøgte websteder fra 1996 til 2019 InboxnairaTV

En server, der er vært for en applikation indbygget i PHP:

  1. Kan serveren nås på andre måder end igennem HTTP eller eksternt?
  2. Er GET og POST kun befolket via HTTP-protokollen?
  3. Er HTTP overskrifter, GET og POST den eneste inputkilde til en server / webapplikation?
  4. Opretter forbindelse til et websted med telnet anderledes end med en browser?
  5. Hvilke andre adgangspunkter findes? Udgør de en sikkerhedstrussel? Almindelige måder at imødegå dem på?

Kan serveren nås på andre måder end via HTTP eller eksternt?

Nå ... selve serveren kan tilgås på forskellige måder. Afhængigt af hvilke tjenester der kører på maskinen (samt hvilke porte der er åbne).

Er GET og POST kun befolket gennem HTTP-protokollen?

Ja

Er HTTP-headere, GET og POST den eneste inputkilde til en server / webapplikation?

Ingen PUT og DELETE er også http-metoder.

Er forbindelse til et websted med telnet noget anderledes end med en browser?

Dybest set ikke. Fordi det også bruger HTTP-protokollen. Medmindre du opretter forbindelse til maskinen ved hjælp af en anden service (se første punkt)

Hvilke andre adgangspunkter findes? Udgør de en sikkerhedstrussel?

Masser :-)

  • Fysisk adgang til maskinen
  • Andre tjenester, der kører på maskinen (det er den bedste praksis at stoppe ubrugte tjenester).
  • SQL-injektion
  • Fil inkludering
  • Adgangskode lækker
  • Gennem medarbejdere
  • DNS-forgiftning
  • mange mange flere

Almindelige måder at imødegå dem på?

Sørg for, at din applikation er sikker (Giv ikke httpd unødvendige privilegier, rengør altid brugerinput osv.). Hærder din servers sikkerhed. Sørg for at holde alt opdateret. Tjek jævnligt dine logfiler. Sund fornuft. etc.

  • 1 Godt svar; men teknisk set konfigureres cookies og sessioner også via HTTP-headere. Der er en cookie/set-cookie header. Sessions-id'er indstilles normalt også enten via en cookie eller få parametre.
  • Du har ret. Årsagen til, at jeg tilføjede det, er fordi de ofte bruges, og jeg tilføjede dem ikke til de 'rigtige' http-metoder. Vil dog afklare. Tak!
  • På en delt vært er det værts opgave at holde serverens software opdateret og sikker, er det ikke? Jeg er ikke sikker på, om jeg overhovedet ville have adgang til httpd eller tjenester.
  • Det afhænger af den kontrakt, du har med dem. En anden ting du kan gøre er at tjekke ud af dig selv, om der er sikkerhedsproblemer. Såkaldt pen-test. Jeg har tidligere brugt w3af.sourceforge.net, men også tenable.com/products/nessus kan bruges.

arbejdet for dig: Charles Robertson | Ønsker du at kontakte os?