Pamiętaj, że baza internetowa to hipertekstowy język znaczników, czyli tzw. HTML ten Od początku był proponowany jako świetna alternatywa dla tworzenia stron internetowych. Na przestrzeni lat jego ewolucja poczyniła ogromne kroki. Tysiące bibliotek są dostępne dla programistów, aby dostosować strony internetowe zgodnie z ich pierwotnym celem projektowym. Niestety nie są one wolne od zagrożeń i zagrożeń bezpieczeństwa, zwłaszcza dla użytkowników końcowych.
Co to jest HTTP?
Podobnie musimy pamiętać i dokładnie rozważyć nacisk kładziony na zdefiniowanie protokołu HTTP. Więc po co. Jest to protokół komunikacyjny. Jego główną funkcją jest transmisja danych przez WWW (www) ten Jest to jeden z kluczowych elementów architektury sieci. W 1999 roku została wydana pierwsza wersja dokumentacji protokołu, wraz z RFC 2616, ten protokół został wydany w wersji 1.1. Na przestrzeni lat pojawiły się różne wersje, a najnowsza dostępna wersja to HTTP/3, która zastąpi dotychczasowy HTTP/2, który jest powszechnie używany w zdecydowanej większości stron internetowych.
Podstawowy schemat działania jest następujący: klient (internet) próbuje nawiązać połączenie poprzez żądanie. To żądanie wysyła wiadomość w określonym formacie do serwera WWW. Ten serwer sieciowy to serwer, na którym znajduje się witryna lub usługa, z której potrzebujemy informacji. Jeśli połączenie się powiedzie, serwer sieciowy odpowie pozytywnie na to żądanie. To coś, co zdarza się wiele razy dziennie, gdy odwiedzasz swoje ulubione witryny.
Podatności HTTP (+ HTML)
Pakiet HTML i HTTP zawiera kilka aplikacji, które są albo złośliwe, albo po prostu nie zachowują się tak, jak można by się spodziewać. Dlatego są wykonane luki w zabezpieczeniach ważny zagrażające integralności strony internetowej lub aplikacji internetowej. Zwłaszcza w odniesieniu do bezpieczeństwa tej strony internetowej lub aplikacji.
Ukryte pola formularzy
Jedną ze znanych cech HTML jest to, że istnieje atrybut formularza, który pozwala oznaczać pola lub obiekty jako ukryte ( ukryty ). Jak jest to odzwierciedlone na stronie? Podczas otwierania strony użytkownik będzie mógł wypełnić tylko widoczne pola, reszta jest ukryta. Oczywiście większość użytkowników nie zauważy, że istnieją tylko ukryte pola formularzy. Ryzyko polega na tym, że twórca strony mógłby użyć tej funkcji do zastosowania ukrytych pól w formacie, który umożliwiłby przechowywanie poufnych danych na serwerze sieciowym. W wielu przypadkach nie jest to konieczne.
Dlatego etyka zawodowa każdego programisty określi, czy użycie tej konkretnej funkcji jest właściwe.
<html>
<input type="hidden" id="precio" name="precio" value="200">
<html>
Poniżej znajduje się przykład użycia ukrytych pól formularza. Jest to rzekomo ukryte pole, które przechowuje informacje o cenie. Zwykle w sklepie internetowym zarządzają różnymi cenami po stronie serwera. W takim przypadku dane są przetwarzane przez użytkownika. To tak, jakby to ukryte pole działało jako rzekomy serwer sieciowy, który przechowuje wszelkiego rodzaju dane. Choć na pierwszy rzut oka jest to dość wygodne ze względu na ryzyko, głównie dlatego, że sam użytkownik będzie w stanie obsłużyć różne wartości po prostu z przeglądarki.
Pamiętaj, że kod źródłowy strony może być przeglądany przez Twoją przeglądarkę. Google Chrome jest najczęściej używaną przeglądarką, a skrót do konsoli programisty to „ CTRL + Shift + I ”. Pozwala to między innymi na zapisanie kopii witryny na komputerze lub użycie serwera proxy do obsługi danych witryny, zwłaszcza pól formularzy.
Wracając do przykładu, dzięki ukrytym polom możesz manipulować ceną od strony użytkownika i zastosować żądaną cenę przed sfinalizowaniem zakupu. Dlatego zaleca się, aby nie stosować tych typów funkcji do pól formularzy, zwłaszcza jeśli są to witryny do obsługi cen.
Magiczne adresy URL
NS’ URL to jedno z podstawowych pojęć HTML ten Jego akronim w języku angielskim oznacza Lokalizator pojedynczego zasobu ten Jak ludzie zwykle to nazywają zastaw lub link do dowolnej witryny. Istnieje ciekawy pomysł na tworzenie stron internetowych dla magicznych linków lub magicznych adresów URL. Standard HTTP umożliwia programiście internetowym dostarczenie dodatkowych podstawowych danych do adresu URL w postaci czasowników lub par kluczy. Te dodatkowe dane, czy to czasowniki, czy pary kluczy, są głównymi składnikami Magiczny adres URL ten To, co się robi, to zarządzanie poufnymi i / lub ważnymi danymi między klientem a serwerem WWW.
http://www.misitioweb.com?OpDEfgtRDBc&action=view
Powyżej widzimy przykład magicznego adresu URL. Oczywiście nie ma w tym nic złego. Ale to, co następuje po „.com / OpDEfgtR …” to czasownik lub para kluczy, która zawiera te dane, tak niezbędne do komunikacji między klientem a serwerem WWW. Jakie dane mogą być przechowywane w magicznych adresach URL? Mogą to być hasła, kody PIN, numery kont bankowych, karty kredytowe, pliki cookie dla różnych sesji na stronie internetowej i nie tylko.
To kolejny przykład, ale może być jeszcze bardziej niebezpieczny. Cyberprzestępca może przechwycić komunikację między klientem a serwerem sieciowym w celu odszyfrowania informacji dostępnych w tej parze czasowników lub kluczy w adresie URL. Przy dostępnych dziś zasobach nie będzie to bardzo trudne zadanie.
Przewidywalne ciasteczka
Chociaż trochę trudno uniknąć skojarzeń słownych precel do pysznych ciasteczek, które wszyscy znamy ciasteczka w sieci odgrywają istotną rolę w codziennej nawigacji. Zaprojektowane są w taki sposób, aby mogły na stałe przechowywać dane po stronie klienta, tj. z urządzenia klienta. Z poziomu naszej przeglądarki możemy w każdej chwili zarządzać naszymi plikami cookie, a to przede wszystkim pomaga nam zweryfikować naszą tożsamość w różnych serwisach internetowych.
from http import cookies
cookieVal= 0
def getCookie():
c = cookies.SimpleCookie()
c['usercookie'] = cookieVal
cookieVal += 1
return c
Problem zaczyna się, gdy pliki cookie są tworzone z przewidywalną logiką generowania. Obecnie bardzo trudno jest to zaimplementować, ale nie możemy wykluczyć, że wiele witryn może mieć tę lukę w zabezpieczeniach. Załóżmy, że witryna (patrz przykład powyżej) tworzy plik cookie sesji i każdy z nich jest tworzony, wzrost następuje jeden po drugim. To jest plik cookie o wartości „1”, plik cookie o wartości „2”, plik cookie o wartości „3” i tak dalej.
Przyglądając się bliżej przykładowemu kodowi, jest to wiersz, który nie wzmacniacz wartość pliku cookie przechowywanego w zmiennej cookieVal , o:
cookieVal += 1
Przewidywalne pliki cookie umożliwiają cyberprzestępcom dostęp do sesji online wielu użytkowników bez znajomości ich danych uwierzytelniających. Jeśli witryna wygenerowała 1000 plików cookie z logiką, którą właśnie zademonstrowaliśmy, jeśli cyberprzestępcom uda się przejąć nad nią kontrolę, będą mogli włamać się do 1000 sesji użytkowników tej witryny. Dlatego ważne jest, abyś jako twórca stron internetowych przestrzegał najlepszych praktyk podczas pracy z plikami cookie. Darmowe zasoby, takie jak te w sieci Mozilla Developer Network, są przydatne, wygodne i dostępne dla każdego, kto potrzebuje bezpieczeństwa plików cookie. Możesz uzyskać dostęp do tego zasobu internetowego w języku hiszpańskim pod adresem Plik cookie HTTP ten
Nie ma wątpliwości, że bez HTML i HTTP sieć, jaką znamy, nie istniałaby. Nie jest jednak podatny na luki. Oznacza to, że ważniejsze niż kiedykolwiek jest zrozumienie wyżej wymienionych luk w zabezpieczeniach i zarządzanie nimi, aby mieć nad nimi skuteczną kontrolę. Sprawi to, że tworzone przez Ciebie strony będą bardziej bezpieczne pod względem bezpieczeństwa i ostatecznie przełoży się na spokój i pewność użytkownika, który jest coraz bardziej podatny na cyberataki.