Вопросы Теги

Сканирование веб-сайта для уязвимостей

Я использовал системный спасательный cd TestDisk и после выполнения быстрого сканирования, это перечисляет все мои разделы, и я зеркально отразил L к P, затем переписал таблицу разделов

это было грязно, но это работало

3
задан 19 March 2010 в 21:26
5 ответов

Что точно Ваши отношения в школу? Это кажется на просьбу других способы найти, что уязвимости в их системе затем берут его им, но если бы Вы не работаете на них или не являетесь частью их системы, я подверг бы сомнению - ли это Ваше место для следования этим маршрутом, чтобы сделать это. Многие организации осуждают белых хакеров шляпы, взламывающих их системы как параллельный проект.

Если Вы хотите работать с ними, Вы могли бы хотеть связаться с их отделом ИТ и обсудить его с ними, или говорить с Вашими представителями школьного совета и видеть, могут ли они расположить что-то (или руководитель). Объясните свои заботы и посмотрите, можно ли работать с ними, решая проблемы в букве.

Существует много сканеров уязвимости там к Google, но я уверен что, если их район типичен для других школьных округов (действительно ли это - государственная школа в США?) затем они коротки укомплектованный и короткий на бюджете. Они не будут счастливы с людьми, намеренно выступающими с критикой их систем и затем махающими знаком им высказывание, "эй, посмотрите то, что я сделал к Вашей системе!"

Свяжитесь с ними. Свяжитесь с их людьми IT (у них должны быть доступные адреса). Работа с ними. Если бы они не интересуются наличием оценки их безопасности, и школьный совет не интересуется им, то, как я сказал бы, позволяют ему пойти, потому что существуют лучшие вещи для Вас инвестировать Ваше время на, и они извлекут урок, когда аудитор состояния пройдет их конфигурации, или что-то плохо происходит. И Вы не хотите быть вовлеченными в любое из этого. Очень плохо, чтобы быть обернутым в нем, если это происходит.

7
ответ дан 3 December 2019 в 05:01
  • 1
    точно, что я хотел сказать, хотя I' d были более грубыми об этом, lol. Звучит довольно подозрительным по меньшей мере –  HannesFostie 19 March 2010 в 17:24
  • 2
    У меня есть ребенок в школе, я предоставляю пакет программного обеспечения школам (который эта школа использует), и я был сохранен регуляторами школ для обеспечения технического мнения о новом (" marketing") сайт, который уполномочила школа; это было смонтировано на существующем дешево размещающем сайте со всем предыдущим мусором все еще на месте :( Я работал с их отделом ИТ по различным проблемам в течение почти 4 лет. Таким образом, надо надеяться, Ваши проблемы помещаются в покое. Моя цель, прежде, чем сказать им они должны переформатировать и запуститься, должен установить дыхание любых возможных взломов до настоящего времени. –  Kristen 19 March 2010 в 17:25
  • 3
    Требуемый для предоставления презумпции невиновности. Я don' t знают, почему OP имел бы эту фиксацию на их веб-сайте, that' s, почему я спросил. Лично, если it' s не у моего и меня нет бизнеса с ними, I' d остаются #% $ далеко от него, начиная с того, чтобы быть обернутым ими средства, если что-то делает , происходят, предполагают who' s дверь они стучат в сначала?... –  Bart Silverstrim 19 March 2010 в 17:27
  • 4
    @Kristen: А-ч! Разумное объяснение :-) Хорошо, как системный администратор, если система была взломана, они должны вытереть ее так или иначе. Вы не можете доверять системе, которая была взломана, период. Большинство администраторов здесь скажет Вам что... особенно если they' ve пропустил сайт. They' d быть более обеспеченным, если они обновили и повторно запустили все с нового сервера, но that' s получение пути вне темы от вопроса. –  Bart Silverstrim 19 March 2010 в 17:30
  • 5
    Разъясниться: Когда новый " marketing" веб-сайт пошел живой, я предположил, что он был перемещен в средства, которыми дизайнерское бюро управляло (примите, опасно, конечно). Поскольку ссылки на старую грязь начали исчезать из Google, я заметил, что ссылки на этот Календарный материал остались - и на расследовании затем обнаружил, что хостинг не переместился, и только очевидный HTML/изображения был удален - cgi-мусорное-ведро и т.д. было нетронутым :( –  Kristen 19 March 2010 в 17:31

Одна вещь, которую я нахожу полезными, выводит всю базу данных к текстовому файлу и выполняет поиски по ключевым словам на ней для поиска интриг. При использовании достойного текстового редактора (например, Блокнот ++), можно стать много сделанными тот путь.

В конце, хотя, это - почти всегда лучшая идея произвести чистку и запуститься. Если Вы не делаете его профессионально, на ежедневной основе, чрезвычайно трудно не отставать от взломщиков, которые делают это для жизни.

2
ответ дан 3 December 2019 в 05:01

Не эксперт по сканированию уязвимости, таким образом, я не отвечу на основную сторону. Но я предостерег бы Вас, чтобы быть тщательным сканированием выполнения на сервере хостинговой компании без их записанного разрешения. Они будут оправданно сердиты, если сканирование будет влиять на их других клиентов.

Если Вы не уверены в способности поставщиков обслужить защищенную систему (демоны сервера и связанное программное обеспечение как phpmyadmin, который совместно использованные хосты обеспечивают), то необходимо переместить хосты.

(Штопка! Bart победил меня для первого ответа.)

0
ответ дан 3 December 2019 в 05:01
  • 1
    Извините :-) Вопрос казался, что OP напрашивался на неприятности в выполнении этого. Люди становятся действительно раздражительными, даже если намерения являются благими. Спросите любого ребенка, который загружается из школы для указания на дефект безопасности, который они обнаружили на сетевом ресурсе, который I' чтение ve произошло. –  Bart Silverstrim 19 March 2010 в 17:18
  • 2
    Положительная сторона, hadn' t рассмотрел эффекты на любых других пользователей. Сама школа является небольшой и получает только горстку посетителей в день, как Вы могли бы ожидать. Но поскольку Вы справедливо указываете, что я понятия не имею, что еще находится на том поле. –  Kristen 19 March 2010 в 17:28

Bart является пятном на. Все поставщики сканирования веб-сайта требуют разрешения от владельца сайта или администратора прежде, чем сделать сканирование (или они должны!).

Но если у Вас есть ребенок в той школе, Вы имеете право настоять, чтобы они действительно протестировали на и разрешили серьезные уязвимости веб-сайта.

Я работаю на Вне безопасности и могу подтвердить, что тестовый механизм, используемый для нашего веб-сканера, является тем же механизмом, используемым в нашем корпоративном решении VA/VM и что мы поддерживаем тот же уровень конфиденциальности и безопасности для наших веб-клиентов что касается наших корпоративных клиентов и правительственных клиентов. Прежде чем фактическое сканирование сделано, владелец веб-сайта должен доказать владение на сервере (путем изменения чего-то на странице, или помещая специальный файл для маркировки этого у них есть фактический доступ).

0
ответ дан 3 December 2019 в 05:01

Следующий Bart и ответы Aviram: сканирование/тестирование среды для слабых мест безопасности требует разрешения от владельца.

Если у Вас есть ребенок в той школе или налоги платы, которые поддерживают ту школу, в этом отношении, можно иметь право настоять, чтобы они действительно протестировали на и разрешили серьезные уязвимости. Сначала приблизьтесь к IT, затем школьное управление: покажите им историю дефектов, вывод версии Apache и т.д., и попросите, чтобы они проверили безопасность. Если они не готовы, Вы могли бы всегда писать букву регулятору (школьный округ, или однако он настраивается в Вашей среде).

0
ответ дан 3 December 2019 в 05:01

Теги

Похожие вопросы