livro é apenas sobre aplicativos da Web, e não tocar a instalação e configuração do software de servidor, a utilização de firewalls e antivírus, vulnerabilidades em arquivos executáveis, e outras questões que dizem respeito a prevenção de hackers de obter privilégios em um servidor sem autenticação. Por isso, este livro é para programadores Web, em vez de administradores de sistema responsáveis pela segurança de um servidor.
Eu demonstrar que impróprios programação Web resulta em aplicações Web vulneráveis que podem se tornar os componentes mais fracos da proteção do servidor. "Holes" nestes componentes pode permitir que um hacker para ignorar a proteção complicado e obter privilégios no servidor para investigar o servidor a partir do interior
Por protecção quero dizer dois tipos de proteção:. Contra alterações à informação e contra acesso não autorizado à informação.
Imagine um site pequeno que contém apenas dados estáticos.
Pode-se dizer que o proprietário deste site não tem nada a esconder. Não há senhas ou direitos de acesso. De acordo com HTTP, o servidor envia dados para um cliente sem processamento.
O vazamento de informações sobre os arquivos localizados no site ou o servidor não seria crucial. Mesmo que um invasor acessou os arquivos usando o File Transfer Protocol (FTP), em vez de HTTP, ele ou ela não iria se beneficiar dele.
Nesta situação, a capacidade de um usuário não autorizado para alterar a informação é mais perigoso do que a capacidade da pessoa para acessá-lo porque o servidor não armazena dados particulares. A única exceção pode ser diretórios protegidos com uma senha usando as ferramentas de servidor Web.
Agora, imagine um sistema mais complicado, como um e-shop. Scripts do servidor está acessando um banco de dados que armazena dados particulares sobre clientes, fornecedores e assim por diante.
Além disso, esta base de dados pode armazenar informações confidenciais, como números de cartões de crédito dos usuários.
A divulgação do código fonte dos scripts de servidor também poderia ser perigosa. Esses scripts são susceptíveis de conter informações suficientes para o acesso ao banco de dados, ou seja, o login ea senha. Mesmo que eles não são armazenados sem criptografia, o atacante seria capaz de revelá-los.
O código fonte dos scripts poderiam ser analisados em busca de vulnerabilidades que permitiriam o atacante para obter privilégios elevados e controlar o servi