Михаил Евгеньевич Флёнов - Web-сервер глазами хакера

Санкт-Петербург
«БХВ-Петербург»
2021

УДК 004.451
ББК 32.973.26-018.2
Ф71

Фленов М. Е.
Ф71

Web-сервер глазами хакера. — 3-е изд., перераб. и доп. — СПб.:
БХВ-Петербург, 2021. — 256 с.: ил. — (Глазами хакера)
ISBN 978-5-9775-6795-4
Рассмотрена система безопасности web-серверов и типичные ошибки, совершаемые web-разработчиками при написании сценариев на языках PHP, ASP и Perl.
Приведены примеры взлома реальных web-сайтов, имеющих уязвимости, в том
числе и популярных. В теории и на практике рассмотрены распространенные хакерские атаки: DoS, Include, SQL-инъекции, межсайтовый скриптинг, обход аутентификации и др. Представлены основные приемы защиты от атак и рекомендации
по написанию безопасного программного кода, настройка и способы обхода каптчи.
В третьем издании рассмотрены новые примеры реальных ошибок, приведены
описания наиболее актуальных хакерских атак и методов защиты от них.
Для web-разработчиков и системных администраторов

УДК 004.451
ББК 32.973.26-018.2

Группа подготовки издания:
Руководитель проекта
Зав. редакцией
Редактор
Компьютерная верстка
Дизайн серии
Оформление обложки

Павел Шалин
Людмила Гауль
Наталья Смирнова
Натальи Смирновой
Марины Дамбиевой
Карины Соловьевой

"БХВ-Петербург", 191036, Санкт-Петербург, Гончарная ул., 20.

ISBN 978-5-9775-6795-4

© ООО "БХВ", 2021
© Оформление. ООО "БХВ-Петербург", 2021

Оглавление

Введение............................................................................................................................ 7
Обо мне............................................................................................................................................ 8
Требования ...................................................................................................................................... 9
Что не вошло в книгу...................................................................................................................... 9
Интернет ........................................................................................................................................ 10
Благодарности ............................................................................................................................... 10

Глава 1. Основы безопасности ................................................................................... 11
1.1. Социальная инженерия.......................................................................................................... 11
1.2. Природа взлома...................................................................................................................... 15
1.3. Исследование ......................................................................................................................... 17
1.3.1. Определение типа операционной системы.............................................................. 20
1.3.2. Определение имен работающих служб.................................................................... 21
1.3.3. Используемые фреймворки....................................................................................... 24
1.3.4. Использование эксплоитов ....................................................................................... 28
1.3.5. Автоматизация ........................................................................................................... 29
1.4. Взлом web-сайтов .................................................................................................................. 32
1.4.1. Анализатор web-уязвимостей ................................................................................... 34
1.4.2. Взлом с помощью поисковой системы .................................................................... 37
1.5. Подбор паролей...................................................................................................................... 40
1.6. Троянские программы ........................................................................................................... 44
1.7. Denial of Service (DoS)........................................................................................................... 44
1.7.1. Distributed Denial of Service (DDoS) ......................................................................... 47
1.7.2. Защита от распределенной атаки.............................................................................. 48
1.8. Меры безопасности................................................................................................................ 49
1.8.1. Защита web-сервера ................................................................................................... 50
1.8.2. Модули безопасности Apache................................................................................... 51
1.9. Права доступа......................................................................................................................... 53
1.9.1. Права сценариев web-сервера................................................................................... 53
1.9.2. Права системных сценариев ..................................................................................... 54
1.9.3. Права доступа к СУБД .............................................................................................. 55
1.10. Не все так безнадежно ......................................................................................................... 57

4

Оглавление

1.11. Ошибки есть, их не может не есть...................................................................................... 59
1.11.1. Самостоятельно написанные программы .............................................................. 59
1.11.2. Готовые решения ..................................................................................................... 60
1.11.3. Программы, написанные под заказ ........................................................................ 62
1.11.4. Золотая --">