bog er kun omkring web-applikationer, og det ikke røre installation og konfiguration af server-software, brug af firewalls og antivirusprogrammer, sårbarheder i eksekverbare filer, og andre spørgsmål, der vedrører forebyggelse af hackere fra at opnå privilegier på en server uden godkendelse. Derfor er denne bog er for web-programmører snarere end systemadministratorer med ansvar for sikkerheden på en server.
Jeg demonstrerer, at forkerte webprogrammering resultater i de sårbare webapplikationer, der kan blive de svageste komponenter i server beskyttelse.
"Huller" i disse komponenter kan tillade en hacker at omgå en kompliceret beskyttelse og få privilegier på serveren til at undersøge serveren indefra
Ved beskyttelse mener jeg to typer beskyttelse:. Mod ændringer til information og imod uautoriseret adgang til oplysninger.
Forestil dig en lille websted, der kun indeholder statiske data. Man kan sige, at ejeren af dette websted ikke har noget at skjule. Der er ingen passwords eller adgangsrettigheder. Ifølge HTTP, serveren sender data til en klient uden forarbejdning.
Lækage af oplysninger om de filer, der ligger på hjemmesiden eller serveren ikke ville være afgørende. Selv hvis en hacker adgang filerne ved hjælp File Transfer Protocol (FTP), snarere end HTTP, ville han eller hun ikke drage fordel af det.
I denne situation mulighed for en uautoriseret bruger at ændre oplysninger er mere farlig end den pågældende persons evne til at få adgang til det, fordi serveren ikke gemme private data. Den eneste undtagelse kan være mapper beskyttet med en adgangskode ved hjælp af web-server værktøjer.
Forestil dig nu en mere kompliceret system som en e-shop. Server scripts er adgang til en database, der gemmer private data om kunder, leverandører og så videre. Desuden kan denne database gemme fortrolige oplysninger såsom brugernes kreditkortnumre.
Offentliggørelse af kildekoden på den server scripts ville også være farligt. Disse scripts vil sandsynligvis indeholde oplysninger tilstrækkelige til adgang til databasen, det vil sige, login og password. Selv hvis de ikke opbevares ukrypteret vil hackeren kunne udlevere dem.
Kildekoden af scripts kunne analyseres for sårbarheder, der ville gøre det muligt for hackeren at opnå høje privilegier og styre serveren.
Derfor lækage af oplysninger fra dette site ville være farligere end fra statisk websted. En hacker, som har fundet et hul i dette sys