livre est seulement sur les applications Web, et il ne touche pas l'installation et la configuration du logiciel serveur, l'utilisation de pare-feu et antivirus, les vulnérabilités dans les fichiers exécutables, et d'autres questions qui se rapportent à empêchant les pirates d'obtenir des privilèges sur un serveur sans authentification. Par conséquent, ce livre est pour les programmeurs Web plutôt que les administrateurs responsables de la sécurité d'un serveur du système.
je démontre que les résultats de la programmation Web inappropriés dans les applications Web vulnérables qui peuvent devenir les éléments les plus faibles de la protection du serveur. «Trous» dans ces composants peuvent permettre à un pirate de contourner une protection complexe et obtenir des privilèges sur le serveur d'enquêter sur le serveur de l'intérieur
Par la protection que je veux dire deux types de protection:. Contre des changements à l'information et contre l'accès non autorisé à l'information.
Imaginez un petit site Web qui contient uniquement des données statiques. Vous pourriez dire que le propriétaire de ce site n'a rien à cacher. Il n'y a pas de mots de passe ou des droits d'accès. Selon HTTP, le serveur envoie des données à un client sans traitement.
Fuite d'informations sur les fichiers situés sur le site ou le serveur ne serait pas crucial. Même si un attaquant d'accéder les fichiers en utilisant le protocole de transfert de fichiers (FTP), plutôt que HTTP, il ou elle ne serait pas en bénéficient.
Dans cette situation, la capacité d'un utilisateur non autorisé de modifier les informations est plus dangereux que la capacité de cette personne d'y accéder parce que le serveur ne pas stocker des données privées. La seule exception pourrait être répertoires protégés avec un mot de passe en utilisant les outils de serveur Web.
Maintenant, imaginez un système plus complexe tel qu'un e-shop. Scripts Server accèdent à une base de données qui stocke les données privées sur les clients, les fournisseurs, et ainsi de suite.
En outre, cette base de données peut stocker des informations confidentielles telles que les numéros de carte de crédit des utilisateurs.
divulgation du code source des scripts de serveur serait également dangereux. Ces scripts sont susceptibles de contenir des informations suffisantes pour l'accès à la base de données, qui est, le login et le mot de passe. Même si elles ne sont pas stockés en