Boken er bare om web-applikasjoner, og det ikke berører installasjon og konfigurasjon av serverprogramvaren, bruk av brannmurer og antiviruses, sårbarheter i kjørbare filer, og andre problemer som er knyttet til å hindre hackere fra å få privilegier en server uten godkjenning. Derfor er denne boken for Web programmerere i stedet for systemadministratorer som er ansvarlige for sikkerheten til en server.
Jeg viser at feil Web programmering resultater i sårbare webapplikasjoner som kan bli de svakeste komponentene i serveren beskyttelse.
"Hull" i disse komponentene kan tillate at en hacker å omgå en komplisert beskyttelse og få rettigheter på serveren for å undersøke serveren fra innsiden
Av beskyttelse mener jeg to typer beskyttelse:. Mot endringer til informasjon og mot uautorisert tilgang til informasjon.
Tenk deg en liten webområde som inneholder bare statiske data. Du kan si at eieren av dette området har ingenting å skjule. Det er ingen passord eller tilgangsrettigheter. Ifølge HTTP, sender serveren data til en klient uten behandling.
Lekkasje av informasjon om filene som ligger på nettstedet eller serveren ikke ville være avgjørende. Selv om en angriper tilgang til filene ved hjelp av File Transfer Protocol (FTP), i stedet for HTTP, vil han eller hun ikke dra nytte av det.
I denne situasjonen er mer muligheten for en uautorisert bruker å endre informasjon farligere enn den personens evne til å få tilgang til det fordi serveren ikke lagre private data. Det eneste unntaket kan være kataloger som er beskyttet med et passord ved hjelp av Web server verktøy.
Nå forestille seg en mer komplisert system for eksempel en e-shop. Server skript er tilgang til en database som lagrer private data om kunder, leverandører og så videre. I tillegg kan denne databasen lagrer konfidensiell informasjon som brukernes kredittkortnumre.
Avsløring av kildekoden til serveren skript vil også være farlig. Disse skriptene er sannsynlig å inneholde tilstrekkelig informasjon for å få tilgang til databasen, det vil si, login og passord. Selv om de ikke er lagret ukryptert, ville angriper kunne avsløre dem.
Kildekoden av skript kunne analyseres for sårbarheter som ville tillate angriperen å oppnå høye privilegier og styre serveren.
Derfor, lekkasje av informasjon fra dette nettstedet vil være farligere enn fra statisk nettsted. En hacker som har funnet et hull i dette systemet er neppe til å endre data i den