LF №02(167), Февраль 2013:
Безопасность: Осознайте подлые трюки злых хакеров и храните свои серверы в целости
С разрешения редакции журнала «LinuxFormat» предлагаю вашему вниманию статью Бена Эверарда «DVWA: Взлом web-приложений», часть II, вышедшую в «LinuxFormat» №02 (167) Февраль 2013.
На свете много гнусных типов, влезающих в web-приложения потехи ради и для заработка.Бен Эверард покажет, как они норовят употреблять сайты.
Как боевые искусства можно применять для самозащиты, так и навыки взлома пригодятся для идентификации слабых мест ваших серверов и их защиты. Слабые места есть у любой компьютерной системы; искусство заключается в том, чтобы найти их раньше взломщика. Во второй части нашего курса чёрной магии мы рассмотрим web-приложения и вносимые ими потенциальные опасности.
Web-приложения — благодатная почва для уязвимостей, так как им уделяют меньше внимания, чем другим областям. К примеру, сотни — если не тысячи — людей видели исходный код Apache и работали с ним, то есть он отлично изучен на предмет ошибок. А сколько людей видели исходный код среднего web-приложения? 10? 20? Меньше? При взрывном росте числа людей, именующих себя web-разработчиками, многие ли из них действительно разбираются в практике безопасного программирования?
Для выявления возможных проблем безопасности существуют специально разработанные web-приложения. Ранее, в LXF159, мы рассмотрели WebGoal, а сейчас собираемся использовать Damm Vulnerable Web Application [Чертовски уязвимое web-приложение], DVWA. В отличие от WebGoal, это не набор уроков, а незащищённый сайт,и на нём мы будем оттачивать наши навыки.