Video: AEGIS project video 2024
Slecht geschreven webprogramma's, zoals Hypertext Preprocessor (PHP) en Active Server Pages (ASP-scripts), kunnen hackers toestaan bestanden op een webserver te bekijken en te manipuleren en andere dingen doen waarvoor ze niet zijn geautoriseerd.
Deze fouten komen ook vaak voor in content management-systemen (CMS's) die door ontwikkelaars, IT-personeel en marketingprofessionals worden gebruikt om de inhoud van een website te onderhouden. Standaard scriptaanvallen komen vaak voor omdat zoveel slecht geschreven code vrij toegankelijk is op websites. Hackers kunnen ook profiteren van verschillende voorbeeldscripts die op webservers worden geïnstalleerd, met name oudere versies van de IIS-webserver van Microsoft.
Veel webontwikkelaars en webmasters gebruiken deze scripts zonder te weten hoe ze echt werken of zonder ze te testen, wat ernstige beveiligingskwetsbaarheden kan introduceren.
Om te testen op scriptkwetsbaarheden, kunt u scripts handmatig doornemen of een tekstzoekfunctie gebruiken om hard-gecodeerde gebruikersnamen, wachtwoorden en andere gevoelige informatie te vinden. Zoek naar admin, root, user, ID, login, signon, password, pass, pwd, enzovoort. Gevoelige informatie die is ingesloten in scripts zoals deze is zelden nodig en is vaak het gevolg van slechte codeermethoden die voorrang geven aan gemak boven beveiliging.
U kunt als volgt aanvallen tegen standaardwebscripts helpen voorkomen:
-
weten hoe scripts werken voordat ze in een webomgeving worden geïmplementeerd.
-
Zorg ervoor dat alle standaard- of voorbeeldscripts van de webserver worden verwijderd voordat u ze gebruikt.
Gebruik geen publiek toegankelijke scripts die vertrouwelijke hard-codegegevens bevatten. Ze zijn een veiligheidsincident in wording.
-
Stel bestandsrechten in voor gevoelige delen van uw site / applicatie om openbare toegang te voorkomen.