Исследование koдa HTML

Итак, поработав, спайдер принес вам целую кучу файлов, создав локальную копию Web-сайта. Что же следует искать в коде HTML этой локальной копии Web-сайта? Как правило, создающие Web-сайт люди мало задумываются, насколько информативными могут оказаться сведения, которые они оставляют в своих Web-страничках. Эти сведения не видны пользователю, просматривающему страничку в браузере Web, но прекрасно видны в коде HTML. Что же там можно найти?

Во-первых, это комментарии - пометки, оставляемые в коде для самого себя или для других разработчиков сайта. Комментарии могут содержать фамилии, телефоны, адреса электронной почты, сведения технического характера - в общем, что угодно. Для хакера все это интересно, поскольку любая информация подобного рода - это зацепка для начала хакинга.

Во-вторых, это ссылки на ресурсы сайта - пути к каталогам с документами, сценариями, рисунками - зная все это, легче построить план атаки на сервер, поскольку яснее становится его организация и используемые средства. Например, в Приложении В, содержащем описание протокола CGI, описано, как выполняется обработка форм, помещенных в Web-страничку. Для этого в коде HTML следует указать путь к CGI-сценарию, которому передаются все сведения из формы для последующей обработки. Эти сценарии могут быть испытаны на «надежность» отправкой специально сформированных запросов, в которых сценарию в качестве параметров передается исполняемый код. И если сценарий не проверяет переданные параметры, то вполне вероятно обнаружение дыры в системе защиты. Конечно, все это - путь для весьма квалифицированного хакера.

Наилучшим путем для исключения ошибок такого рода, приводящим к нарушению системы защиты, следует признать использование только проверенных сценариев, лучше всего последних версий, а также испытание созданного Web-сайта на безопасность с помощью специальных средств тестирования, например, приложения Retina (http://www.eeye.com/html/Products/Retina/). Далее, на сайте программы Teleport Pro (http://www.tenmax.com) предоставляется для бесплатной загрузки и использования утилита очистки HTML-кода от всякой уязвимой информации, помогающей хакеру в реализации планов атаки на сайт Web.