- Văn bản
- Lịch sử
ID and Password Testing When it com
ID and Password Testing
When it comes to ID and password testing, follow these guidelines:
■■ Check for the misuse of superuser accounts. For the sake of convenience, your developers might inadvertently use this account to procrastinate in completing a thorough design and implementation for dealing with access rights and permissions. Amajor principle of security design is to give users (including your application as a user) the minimum amount of access such that they can perform required tasks but are prevented from performing illegal operations. With superuser access, the end user can create, delete, alter, or write to data tables. An end user with superuser privilege can alter URLs with SQLcode to do many malicious tasks. ■■ Look for IDs and passwords “in the clear” when connecting to and accessing servers, directories, databases, and other resources. These are potentially hard-coded in Active Server Pages (ASP), Java Server Pages (JSP), or a configuration data file stored in an insecure location. If an ASP, JSP, or configuration file that stores the hard-coded ID and password can be retrieved, danger is eminent. Retrieving these files can be done in several ways. For example, not too long ago, the IIS3 bug enabled Web users to retrieve the APS source by placing a dot at the end of the URL (e.g., www.mtesting.com/mycode/login.asp.) or, due to server misconfiguration, allowed directory browsing.
Testing for Information Leaks To test for information leaks, follow these guidelines: ■■ Test for comments in the HTMLcode that might reveal user ID and password information, code paths, or directory and executable file names. ■■ Test for error messages that reveal server name, root directory name, or other pertinent information about the servers. ■■ Check to make sure that the directory browsing option on the Web server is turned off (see Figure 18.12). ■■ Check to ensure that Access to Source configuration on the Web server is turned off. ■■ Check to ensure that the Write privilege to local path is blocked.
When it comes to ID and password testing, follow these guidelines:
■■ Check for the misuse of superuser accounts. For the sake of convenience, your developers might inadvertently use this account to procrastinate in completing a thorough design and implementation for dealing with access rights and permissions. Amajor principle of security design is to give users (including your application as a user) the minimum amount of access such that they can perform required tasks but are prevented from performing illegal operations. With superuser access, the end user can create, delete, alter, or write to data tables. An end user with superuser privilege can alter URLs with SQLcode to do many malicious tasks. ■■ Look for IDs and passwords “in the clear” when connecting to and accessing servers, directories, databases, and other resources. These are potentially hard-coded in Active Server Pages (ASP), Java Server Pages (JSP), or a configuration data file stored in an insecure location. If an ASP, JSP, or configuration file that stores the hard-coded ID and password can be retrieved, danger is eminent. Retrieving these files can be done in several ways. For example, not too long ago, the IIS3 bug enabled Web users to retrieve the APS source by placing a dot at the end of the URL (e.g., www.mtesting.com/mycode/login.asp.) or, due to server misconfiguration, allowed directory browsing.
Testing for Information Leaks To test for information leaks, follow these guidelines: ■■ Test for comments in the HTMLcode that might reveal user ID and password information, code paths, or directory and executable file names. ■■ Test for error messages that reveal server name, root directory name, or other pertinent information about the servers. ■■ Check to make sure that the directory browsing option on the Web server is turned off (see Figure 18.12). ■■ Check to ensure that Access to Source configuration on the Web server is turned off. ■■ Check to ensure that the Write privilege to local path is blocked.
0/5000
ID và mật khẩu thử nghiệm Khi nói đến ID và mật khẩu thử nghiệm, hãy làm theo các hướng dẫn này: ■■ kiểm tra sử dụng sai của siêu người dùng tài khoản. Vì lợi ích của sự thuận tiện, nhà phát triển của bạn vô tình có thể sử dụng tài khoản này để procrastinate trong hoàn thành một thiết kế kỹ lưỡng và thực hiện để đối phó với quyền truy cập và quyền. Amajor nguyên tắc bảo mật thiết kế là để cung cấp cho người dùng (bao gồm cả ứng dụng của bạn như một người sử dụng) số tiền tối thiểu của truy cập như vậy mà họ có thể thực hiện tác vụ yêu cầu nhưng đang ngăn không cho thực hiện hoạt động bất hợp pháp. Với siêu người dùng truy cập, người dùng có thể tạo, xóa, thay đổi, hoặc viết thư cho bảng dữ liệu. Một người dùng cuối với đặc quyền siêu người dùng có thể thay đổi URL với SQLcode để làm nhiều công việc độc hại. ■■ Tìm kiếm ID và mật khẩu "trong rõ ràng" khi kết nối và truy cập vào máy chủ, thư mục, cơ sở dữ liệu, và các nguồn lực khác. Đây là những khả năng có thể khó mã trong trang chủ hoạt động (ASP), Java Server trang (JSP), hoặc một cấu hình dữ liệu tập tin được lưu trữ tại một vị trí không an toàn. Nếu một tập tin ASP, JSP, hoặc cấu hình mua sắm cứng mã hoá ID và mật khẩu có thể được lấy ra, nguy hiểm là nổi tiếng. Lấy những tập tin này có thể được thực hiện trong một số cách. Ví dụ, không quá lâu trước đây, các lỗi IIS3 cho phép người sử dụng Web để lấy nguồn APS bằng cách đặt một dấu chấm ở phần cuối của URL (ví dụ như, www.mtesting.com/mycode/login.asp.) hoặc do lỗi cấu máy chủ, cho phép thư mục trình duyệt.Kiểm tra cho rò rỉ thông tin để kiểm tra cho rò rỉ thông tin, hãy thực hiện theo các hướng dẫn: ■■ kiểm tra cho ý kiến trong HTMLcode có thể tiết lộ thông tin ID và mật khẩu của người dùng, đường dẫn mã, hoặc thư mục và tập tin thực thi tên. ■■ kiểm tra thông báo lỗi mà tiết lộ tên máy chủ, tên thư mục gốc, hoặc thông tin cần thiết về các máy chủ. ■■ kiểm tra để đảm bảo rằng thư mục xem các tùy chọn trên máy chủ Web tắt (xem hình 18.12). ■■ kiểm tra để đảm bảo quyền truy cập vào nguồn cấu hình trên máy chủ Web bị tắt. ■■ kiểm tra để đảm bảo rằng các đặc quyền viết để đường dẫn cục bộ bị chặn.
đang được dịch, vui lòng đợi..
ID và Password Testing
Khi nói đến ID và mật khẩu kiểm tra, làm theo các hướng dẫn sau:
■■ Kiểm tra việc lạm dụng tài khoản superuser. Vì lợi ích của sự tiện lợi, phát triển của bạn có thể vô tình sử dụng tài khoản này để trì hoãn trong việc hoàn thành một thiết kế kỹ lưỡng và thực hiện để đối phó với quyền truy cập và cho phép. Amajor nguyên tắc bảo mật thiết kế là để cung cấp cho người dùng (bao gồm cả ứng dụng của bạn như là một người sử dụng) số tiền tối thiểu của quyền truy cập như vậy mà họ có thể thực hiện các nhiệm vụ cần thiết nhưng bị ngăn cản thực hiện các hoạt động bất hợp pháp. Với truy cập superuser, người dùng cuối có thể tạo, xóa, thay đổi, hoặc viết thư cho các bảng dữ liệu. Một người dùng cuối với superuser đặc quyền có thể thay đổi các URL với SQLCODE để làm nhiều nhiệm vụ nguy hiểm. ■■ Hãy tìm các ID và mật khẩu "trong sạch" khi kết nối và truy cập các máy chủ, các thư mục, cơ sở dữ liệu, và các nguồn lực khác. Đây là những khả năng mã hóa cứng trong Active Server Pages (ASP), Java Server Pages (JSP), hoặc một tập tin cấu hình dữ liệu được lưu trữ trong một vị trí không an toàn. Nếu một ASP, JSP, hoặc tập tin cấu hình mà các cửa hàng ID cứng mã hóa và mật khẩu có thể được lấy ra, nguy hiểm là ưu việt. Lấy những tập tin này có thể được thực hiện theo nhiều cách khác nhau. Ví dụ, cách đây không quá lâu, các lỗi kích hoạt IIS3 người sử dụng Web để lấy nguồn APS bằng cách đặt một dấu chấm ở cuối URL (ví dụ, www.mtesting.com/mycode/login.asp.) Hoặc, do máy chủ . sai, duyệt thư mục cho phép
thử đối với thông tin Xì Để kiểm tra sự rò rỉ thông tin, làm theo các hướng dẫn sau: ■■ thử cho ý kiến trong HTMLcode có thể tiết lộ ID người dùng và mật khẩu thông tin, đường dẫn mã, hoặc thư mục và tên tập tin thực thi. ■■ thử nghiệm về thông báo lỗi tiết lộ tên máy chủ, tên thư mục gốc, hoặc các thông tin cần thiết khác về máy chủ. ■■ Kiểm tra để chắc chắn rằng tùy chọn duyệt thư mục trên máy chủ Web được tắt (xem hình 18.12). ■■ Kiểm tra để đảm bảo rằng truy cập vào cấu hình nguồn trên máy chủ Web được tắt. ■■ Kiểm tra để đảm bảo rằng các đặc quyền Write để con đường địa phương bị chặn.
Khi nói đến ID và mật khẩu kiểm tra, làm theo các hướng dẫn sau:
■■ Kiểm tra việc lạm dụng tài khoản superuser. Vì lợi ích của sự tiện lợi, phát triển của bạn có thể vô tình sử dụng tài khoản này để trì hoãn trong việc hoàn thành một thiết kế kỹ lưỡng và thực hiện để đối phó với quyền truy cập và cho phép. Amajor nguyên tắc bảo mật thiết kế là để cung cấp cho người dùng (bao gồm cả ứng dụng của bạn như là một người sử dụng) số tiền tối thiểu của quyền truy cập như vậy mà họ có thể thực hiện các nhiệm vụ cần thiết nhưng bị ngăn cản thực hiện các hoạt động bất hợp pháp. Với truy cập superuser, người dùng cuối có thể tạo, xóa, thay đổi, hoặc viết thư cho các bảng dữ liệu. Một người dùng cuối với superuser đặc quyền có thể thay đổi các URL với SQLCODE để làm nhiều nhiệm vụ nguy hiểm. ■■ Hãy tìm các ID và mật khẩu "trong sạch" khi kết nối và truy cập các máy chủ, các thư mục, cơ sở dữ liệu, và các nguồn lực khác. Đây là những khả năng mã hóa cứng trong Active Server Pages (ASP), Java Server Pages (JSP), hoặc một tập tin cấu hình dữ liệu được lưu trữ trong một vị trí không an toàn. Nếu một ASP, JSP, hoặc tập tin cấu hình mà các cửa hàng ID cứng mã hóa và mật khẩu có thể được lấy ra, nguy hiểm là ưu việt. Lấy những tập tin này có thể được thực hiện theo nhiều cách khác nhau. Ví dụ, cách đây không quá lâu, các lỗi kích hoạt IIS3 người sử dụng Web để lấy nguồn APS bằng cách đặt một dấu chấm ở cuối URL (ví dụ, www.mtesting.com/mycode/login.asp.) Hoặc, do máy chủ . sai, duyệt thư mục cho phép
thử đối với thông tin Xì Để kiểm tra sự rò rỉ thông tin, làm theo các hướng dẫn sau: ■■ thử cho ý kiến trong HTMLcode có thể tiết lộ ID người dùng và mật khẩu thông tin, đường dẫn mã, hoặc thư mục và tên tập tin thực thi. ■■ thử nghiệm về thông báo lỗi tiết lộ tên máy chủ, tên thư mục gốc, hoặc các thông tin cần thiết khác về máy chủ. ■■ Kiểm tra để chắc chắn rằng tùy chọn duyệt thư mục trên máy chủ Web được tắt (xem hình 18.12). ■■ Kiểm tra để đảm bảo rằng truy cập vào cấu hình nguồn trên máy chủ Web được tắt. ■■ Kiểm tra để đảm bảo rằng các đặc quyền Write để con đường địa phương bị chặn.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- Prior to the issuance of any permit that
- có những bóng cây xanh che cho học si
- Trời mưa rẩt to. Vì ngủ muộn nên anh ấy
- Hi I Did n't get your last statement. Yo
- Prior to the issuance of any permit that
- corporate intranet, and consisting of hu
- Proper management of rented referrals ca
- Introduction
- Never give upFreshFree your mind
- Why? Should I have kept it?
- Haha... sometimes I want to travel in Vi
- Never give upFreshFree your mind
- Are you smart? i think no
- Tếtlaf khoảng thời gian để gia đình quây
- sao lại ngại?
- provided
- I make a sandwich, so I am hungry
- provided
- Lựa chọn ngành nghề là việc rất quan trọ
- This makes life very difficult for the o
- 9 out of 10 Know their abuser
- Wifi keyboard
- một chút thôi
- We are now connected
