11 EYLÜL 2014, PERŞEMBE

Müdür Kastetmek Ve Komut Enjeksiyon - Sık Güvenlik + Sy0-401: 3.5

Bir web sunucusu nispeten kapalı bir ortamdır. Biz sunucuya olsun biz erişim Belirli sayfaları ve bazı uygulamalar için, ve genellikle bu kadar. Bundan daha fazla bir erişim yok. Tabii ki perde arkasında tam şişmiş bir bilgisayar var, o, bir işletim sistemi çalışıyor çok sayıda dosya ve dizinleri birçok var ve bu makine muhtemelen erişimi vardır ortamınızda diğer makinelere. Ama bunu erişiminiz olması gerekiyordu değil. Siz sadece web erişimi zannediyorsunuz Sunucu parçası. Bu durum böyle değil Tabii ki zamanlar vardır ve bunu o bilgisayarın diğer bölgelerine erişimi Bu normalde o

lmamalıdır. Bir yanlış web var çünkü Ve muhtemelen sunucu veya web sunucusu kendisi bazı savunmasız kodu vardır ya da belki uygulamalar bu web sunucusu kullanıyorsanız Sana söz konusu web sunucusu bilgisayara

erişimi veriyoruz normalde olması gerektiğini söyledi. Bu genellikle kötü bir şey kötü adamlar olsun çünkü eğer Bu bir tutma, onlar orada kendi programlarını çalıştırabilirsiniz web sunucusuna onlar istiyorum.

“Http://www.FreeSecurityPlus.com CompTIA Security + videoları benim tüm indeksi bak Kötü adamlar kötü yapılandırılmış web sunucusu almak ve sunucunun tüm dosya si...”
Professor Messer

Ve onlar dizin geçişi kullanıyorsanız Normalde web sitenizin ne olacağını etrafında almak için, onlar bilgisayarınızda bulunan programları çalıştırabilirsiniz normalde onlar erişimi olmamalıdır. Biz web sunucusu dizinleri bakıyoruz ne Bu gibi bir şey. Bu şimdi nerede sağ koşuyorum biridir Sağ kök kapalı burada farklı klasörler bir sürü var. Benim web sunucusu klasör lamba altında aslında P HT docs dizini ve içindeki web sunucusudur. Bu yeşil, gerçekten,

Müdür Kastetmek Ve Komut Enjeksiyon - Sık Güvenlik + Sy0-401: 3.5 Resim 1 Müdür Kastetmek Ve Komut Enjeksiyon - Sık Güvenlik + Sy0-401: 3.5 Resim 2 Müdür Kastetmek Ve Komut Enjeksiyon - Sık Güvenlik + Sy0-401: 3.5 Resim 3 Müdür Kastetmek Ve Komut Enjeksiyon - Sık Güvenlik + Sy0-401: 3.5 Resim 4

sadece bir parçası Eğer web sunucusuna gitti eğer görürdünüz. Sen gitmek mümkün olması gerekiyordu değil Buraya bu dizinlere herhangi. Sadece bu küçük dünyayı görmek gerekiyor. Bu klasörlerin bazıları erişebilirsiniz Yani ne olur ve orada uygulamaları ve bu komutu çalıştırabilirsiniz Enjeksiyon? En kendimiz biraz yapıyor deneyelim ve biz neler yapabileceğini görmek. En bir yanlış web kullanımı ne olur görelim Sunucu ve bazı hassas uygulamalar dizinleri bazı aşmanın, Bu geçiş ve enjekte edebilmek için Bu uygulamaların

içine kendi komutları. Ben DVWA denilen bu uygulamayı kullanıyorum. Google'a gidip DVWA arayabilirsiniz. Bu testin belirlenen bir savunmasız web uygulaması var Eğer yapabilirsiniz. Yani kendi sunucularında bu çalıştırabilir ve ben burada yapıyorum aynı şeyi yapmak. Dosya kapanım bir dizi ben çalıştırabilir burada var ve bana bilgi verir nerede Ekranda sadece bir dosyada ne çıktılar. Peki, bu çok kötü ifadeli komut dosyası kullanmak için gidiyorum Çıktı başka sunucuda bulunan bir dosyayı için. Peki ne yapacağım kurtulmak olduğunu Bu dahil ediliyor PHP ekleyin. Bunun yerine ETC dizinine gitmek istiyorum gidiyorum ve sadece şifre dosyası yazmak ve butonu tıklayın. Linux Unix aşina Ve eğer görebilirsiniz şifre dosyası, bu dosyadır. Yani bu kötü uygulama ya da bu kötü senaryoyu alabilmesi için been Bu web sunucusu üzerinde çalışır, web sunucusu I bir bölüme gitmek Bir dosya erişimi ve çıkışı var olmamalıdır bu sunucuda ne hakkında hassas bilgileri yer alır. O dizinleri geçme sadece bir yolu var Bu bilgileri görmek mümkün. Şimdi bu işe kendi komutları enjekte edelim. Bir komut yürütme olduğunu bunlardan bir tane daha var normalde buradan ping mümkün olurdu. Yani bir IP adresine koyabilirsiniz ve teslim vurdu ve orada ping ve size verecektir O Ping komutu sonuçları. Ve orada benim sunucu üzerinde. Sonuçlar var. Ama iri yapılı yazılı başvuru var ve ben bu bazı şeyleri etrafında kaçabilir ve ifconfig gibi, orada benim kendi komutları koymak Komut yapılandırması ne olduğunu görmek için Bu sunucunun. Yani web sunucusu çalıştırabilirsiniz şey, Bu web sunucusu tarafından çalıştırılabilir tüm uygulamalar, Ben web tarayıcısında burada çalıştırmak mümkün. Açıkçası, bu dizin kastetmek sahip ve bu içine kendi komutlarını enjekte edememek riske bunu bu belirli sunucu koyar. Ve bu bizim olur şeylerdir Bizim web yapılandırırken yaparken önlemek denemek ister sunucular ve uygulamaları.

Açıklama

Http://www.FreeSecurityPlus.com CompTIA Security + videoları benim tüm indeksi bak Kötü adamlar kötü yapılandırılmış web sunucusu almak ve sunucunun tüm dosya sistemine erişim elde edebilirsiniz. Bu videoda, dizin geçişi ve nasıl komut enjeksiyonları karşı web sunucusu korumak için öğreneceksiniz.

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

Professor Messer

Professor Messer

Profesör Messer CompTIA A +, Network +, Güvenlik +, Linux + ve diğer BT sertifikalar için internetin en kapsamlı bir seçimdir. Profesör Messer sertifikasyon tüm videoları çevrimiçi yayınlanmıştır ve burada YouTube'da her videonun her dakika izleyebilirsiniz.

YORUMLAR



10/10

  • 5
    Olumlu
  • 0
    Olumsuz
  • 0
    Yorum
  • 3965
    Gösterim

SPONSOR VİDEO

Rastgele Yazarlar

  • Angry Paintballer

    Angry Paintb

    8 Ocak 2012
  • ETrade Supply

    ETrade Suppl

    23 Temmuz 2011
  • SolidWorksTutoriels

    SolidWorksTu

    14 Kasım 2013

ANKET



Bu sayfa işinize yaradı mı?