V. Các ứng dụng bảo mật
1.6.7.Xác định ứng dụng máy chủ Mô tả
Biện pháp đối phó
+ Xác nhận truy vấn ở phía máy chủ trước khi gửi đến máy chủ + Sử dụng thủ tục lưu trữ tại chỗ của các truy vấn lựa chọn
+ Bắt lỗi ở phía máy chủ và sử dụng tùy chỉnh trang 404. Không bao giờ hiển thị máy chủ bên lõi cho khách hàng
1.6.7. Xác định ứng dụng máy chủMô tả Mô tả
Một ứng dụng web có thể được sử dụng một ứng dụng máy chủ. Điều quan trọng là xác định ứng dụng máy chủ đang chạy trên một máy tính từ xa. Có hai cách để xác định một ứng dụng máy chủ.
1) Đọc báo lỗi
Đây là phương pháp đáng tin cậy hơn và thường xuyên được sử dụng để xác định ứng dụng máy chủ. Trong phương pháp này, yêu cầu cần được gửi đến máy chủ mà thông qua một ứng dụng máy chủ lỗi cho trình duyệt. Yêu cầu phổ biến nhất là một trang jsp hoặc trang asp được phục vụ đối với web client.
2) Thư mục mặc định
Hầu hết các máy chủ ứng dụng như các máy chủ web có thư mục mặc định và các tập tin được tao ra như là một phần của cài đặt mặc định đã được thực hiện. Những thư mục mặc định và các tập tin có thể truy cập từ bên ngoài. Vì các máy chủ ứng dụng chạy đằng sau một trang máy chủ web, các quản trị viên có xu hướng bỏ qua các khía cạnh bảo mật liên quan đến các ứng dụng máy chủ và cài đặt mặc định. Ví dụ phổ biến nhất là thư mục quản trị Tomcat
Ví dụ/ kết quả
1) Lỗi
Biện pháp đối phó
Thay đổi hành vi mặc định của ứng dụng máy chủ để một trang tùy chỉnh được phục vụ cho máy khách trong trường hợp có lỗi xảy ra
Công cụ hỗ trợ
Browser