dokumentasi<Sebelum | Contents [show] | Seterusnya>
11.4.3. Kerentanan Web
Disebabkan tapak web moden bukan lagi halaman statik, sebaliknya dijana secara dinamik untuk pengguna, rata-rata laman web agak kompleks. Kerentanan web mengambil kesempatan daripada kerumitan ini dalam usaha untuk menyerang sama ada logik penjanaan halaman hujung belakang atau pembentangan kepada pelawat tapak.
Serangan semacam ini adalah sangat biasa, kerana banyak organisasi telah mencapai tahap di mana mereka mempunyai sangat sedikit perkhidmatan yang berhadapan dengan luaran. Dua daripada jenis serangan aplikasi web yang paling lazim31 adalah suntikan SQL dan skrip tapak silang (XSS).
• Suntikan SQL: Serangan ini mengambil kesempatan daripada aplikasi yang tidak diprogramkan dengan betul yang tidak membersihkan input pengguna dengan betul, yang membawa kepada keupayaan untuk mengekstrak maklumat daripada pangkalan data atau bahkan pengambilalihan lengkap pelayan.
• Skrip merentas tapak: Seperti suntikan SQL, serangan XSS berpunca daripada pembersihan input pengguna yang tidak betul, membenarkan penyerang memanipulasi pengguna atau tapak untuk melaksanakan kod dalam konteks sesi penyemak imbas mereka sendiri.
Aplikasi web yang kompleks, kaya dan rumit adalah sangat biasa, memberikan permukaan serangan yang dialu-alukan untuk pihak yang berniat jahat. Anda akan menemui sejumlah besar alat berguna dalam Analisis Aplikasi Web kategori menu dan kali-linux-web pakej meta.