Реферат Курсовая Конспект
Тестирование WEB сервера на безопасность - раздел Информатика, Основные задачи контроля и диагностики ЭВМ Для Запуска Модуля Тестирования Безопасности Выберите Пункт Меню Test...
|
Для запуска модуля тестирования безопасности выберите пункт меню Test WEB server security из меню Security или нажмите кнопку . Программа запустит модуль тестирования, котрый вы можете увидеть на следующем рисунке:
Введите URL адрес WEB сервера в поле WEB site URL . Например, адрес сайта может выглядеть следующим образом: http://www.servername.com/index.php
Нажмите кнопку Test WEB Servers для начала теста. Программа отобразит окно параметров теста безопасности, как показано на следующем рисунке:
В этом окне вы можете выбрать ошибки, которые нужно искать на WEB сайте. Чем больше вариантов ошибок вы выберите, тем дольше будет проходить тест. Для выбора доступны: SQL Injection (инъекция SQL), XSS (Cross Site Scripting), Include и Broken links (битые ссылки). Больше всего времени и трафика занимает тест инъекции (SQL Injection).
Нажмите OK чтобы начать тест. Пример результата тестирования можно увидеть на следующем рисунке:
Что означает следующее сообщение в окне результата?:
WARNING: http://www.mnthunder.com/igsbase/igstemplate.cfm May be have SQL Injection error in param:SRC
Оно говорит нам, что скрипт http://www.mnthunder.com/igsbase/igstemplate.cfm может содержать ошибку SQL Injection в параметре SRC. Свяжитесь с разработчика скрипта, чтобы убедиться, что ошибки там нет или чтобы исправить ошибку.
Подбор паролей или Brute force:
Когда все попытки взлома сервера используя знания и умения не приводят к положительному результату, хакеры начинают использовать грубый и самый глупый метод – Brute-force. Это метод грубой силы, который банально перебирает все возможные пароли с целью проникнуть на сервер.
Посмотрим на статистику. Большинство исследовательских компаний в сфере безопасности приходят к одному и тому же заключению, что большинство пользователей используют простые пароли, номера телефонов, дни рождения и так далее. Я сам использую простые пароли для учетных записей в Интернете, которые не несут никакой важной пользы для меня, например, для форумов. Для учетных записей, связанных с финансами и администраторскими привилегиями я все же использую более сложные пароли, которые не несут в себе никакого смысла и состоят из 10 символов минимум в разном регистре и цифрами.
Если большинство пользователей используют простые пароли, то это может значить, что хорошо подготовленный справочник наиболее употребляемых паролей может взломать большинство пользовательских учетных записей? Да, и иногда даже администраторских, потому что администраторы тоже люди и иногда выбирают простые пароли, чтобы не запоминать имена котов в стиле Hs7^&sf8. Самое страшное, если учетная запись, к которой подбирается пароль, будет обладать расширенными привилегиями в системе.
Неужели модуль подбора паролей нужен только хакерам? Нет, он нужен и администраторам тоже. Иногда нужно вспомнить свой забытый пароль и тогда администратор может настроить словарь паролей так, чтобы быстрее и эффективнее подобрать пароль на свою утерянную учетную запись. Иногда возникает необходимость проверить свою учетную запись или все учетные записи сервера на стойкость к подбору по словарю. В этом случае, вы можете запустить программу подбора паролей на собственно сервере и проверить учетные записи на популярные пароли. Если вы не смогли подобрать пароль, то хакер тоже не сможет это сделать с помощью того же словаря. Если же пароль подобран вами, то любой хакер сможет повторить эти же действия и лучше поменять пароль.
Программа сетевых утилит от CyD Software включает быстрый модуль подбора паролей (brute force). Для запуска модуля выберите меню Brute force из меню Security или нажмите кнопку . В результате вы увидите окно модуля подбора паролей (Brute force):
Нажмите кнопку внутри модуля Brute force для запуска подбора пароля. Перед вами откроется окно свойств подбора паролей Brute force properties где вы должны указать используемый вам словарь паролей:
Выберите Default dictionary чтобы использовать встроенный в программу словарь имен и паролей. Выберите Specified dictionary для использования вашего собственного словаря. Если вы пытаетесь подобрать пароль к почтовому e-mail аккаунту, то необходимо выбрать опцию Specified dictionary. При этом, в поле Users укажите имя файла, который содержит корректное имя пользователя для учетной записи почты, пароль которой вы хотите подобрать. Для большинства почтоных серверов, почтовое имя для e-mail адреса – это полный адрес или весь текст до символа @. Например, для почтового адреса john@mailserver.com имя пользователя будет john или john@mailserver.com .
Кнопки панели модуля подбора паролей:
- запустить подбор паролей;
- отменить подбор паролей;
- сохранить результат в файл;
– Конец работы –
Эта тема принадлежит разделу:
Введение... Быстро увеличивается число ЭВМ находящихся в эксплуатации и возрастает их... Современная вычислительная техника решает эту проблему путем создания систем автоматического диагностирования...
Если Вам нужно дополнительный материал на эту тему, или Вы не нашли то, что искали, рекомендуем воспользоваться поиском по нашей базе работ: Тестирование WEB сервера на безопасность
Если этот материал оказался полезным ля Вас, Вы можете сохранить его на свою страничку в социальных сетях:
Твитнуть |
Новости и инфо для студентов