База данных под прицелом

       

>>>> Врезка вскрытие скрипта


Нормально работающий WEB-сервер никогда не выдает исходный код скрипта, а только результат его работы. Между тем, вездесущие ошибки реализации приводят к тому, что код скрипта в некоторых случаях все-таки становится доступным, причем виновником может быть как сервер, так и обрабатываемый им скрипт. Естественно, в скриптах ошибки встречаются намного чаще, поскольку их пишут все кому не лень, порой не имея никакого представления о безопасности. Сервера же проходят более или менее тщательное тестирование и основные дыры обнаруживаются еще на стадии бета-тестирования.

Подробнее об этом можно прочитать в моей статье "Безопасное программирование на языке Perl" (kpnc.opennet.ru/safe.perl.zip), здесь же мы сосредоточимся непосредственно на взломе самой БД. Исследуя тело скрипта, можно нарыть немало интересного. Например, имена полей, названия таблиц, мастер-пароли, хранящиеся открытым текстом и т.д.

if ($filename eq "passwd")    #проверка имени на корректность

Листинг 2 мастер-пароль к БД, хранящийся в теле скрпита открытым текстом



Содержание раздела