Vidéo: iOS 8 - Activation de la lecture "Flash" sur Safari 2024
Programmes Web mal écrits, tels que Hypertext Preprocessor (PHP) et Active Server Pages (ASP), peut permettre aux pirates d'afficher et de manipuler des fichiers sur un serveur Web et de faire d'autres choses qu'ils ne sont pas autorisés à faire.
Ces failles sont également courantes dans les systèmes de gestion de contenu (CMS) utilisés par les développeurs, le personnel informatique et les professionnels du marketing pour gérer le contenu d'un site Web. Les attaques de script par défaut sont courantes parce que beaucoup de code mal écrit est librement accessible sur les sites Web. Les pirates informatiques peuvent également tirer parti de différents exemples de scripts installés sur des serveurs Web, en particulier les anciennes versions du serveur Web IIS de Microsoft.
De nombreux développeurs Web et webmasters utilisent ces scripts sans comprendre comment ils fonctionnent vraiment ou sans les tester, ce qui peut introduire de graves failles de sécurité.
Pour tester les vulnérabilités des scripts, vous pouvez parcourir les scripts manuellement ou utiliser un outil de recherche de texte pour rechercher les noms d'utilisateur codés en dur, les mots de passe et autres informations sensibles. Recherchez admin, root, utilisateur, ID, login, code d'accès, mot de passe, pass, pwd, et ainsi de suite. Les informations sensibles intégrées dans des scripts comme celui-ci sont rarement nécessaires et sont souvent le résultat de mauvaises pratiques de codage qui préfèrent la commodité à la sécurité.
Vous pouvez aider à prévenir les attaques contre les scripts Web par défaut comme suit:
-
Sachez comment les scripts fonctionnent avant de les déployer dans un environnement Web.
-
Assurez-vous que tous les scripts par défaut ou exemples sont supprimés du serveur Web avant de les utiliser.
N'utilisez pas de scripts accessibles au public contenant des informations confidentielles codées en dur. Ils sont un incident de sécurité en cours.
-
Définissez les autorisations de fichiers sur les zones sensibles de votre site / application pour empêcher l'accès du public.
