Trong thời đại hiện nay khi internet được phổ biến rộng rãi, các tổ chức, cá nhân đều có nhu cầu giới thiệu thông tin của mình trên xa lộ thông tin cũng như thực hiện các cuộc giao dịch buôn bán online. Vấn đề nảy sinh là khi phạm vi ứng dụng của các web application ngày càng phổ biến thì khả năng xuất hiện lỗi và bị tấn công càng cao. Trong các lĩnh vực hacking, hack web application là sân chơi khá lý thú cho những ai yêu thích computer security. . | Web Hacking Brief Introduction Trong thời đại hiện nay khi internet được phổ biến rộng rãi các tổ chức cá nhân đều có nhu cầu giới thiệu thông tin của mình trên xa lộ thông tin cũng như thực hiện các cuộc giao dịch buôn bán online. Vấn đề nảy sinh là khi phạm vi ứng dụng của các web application ngày càng phổ biến thì khả năng xuất hiện lỗi và bị tấn công càng cao. Trong các lĩnh vực hacking hack web application là sân chơi khá lý thú cho những ai yêu thích computer security. Thông thường những bước cơ bản khi thực hiện hack web bao gồm như sau - các bước này không nhất thiết phải thực hiện tuần tự mà tùy vào điều kiện của chúng ta. 1. Thu thập thông tin ở mức trên về hạ tầng của mục tiêu Bước này ta cần thu thập một số thông tin quan trọng như có bao nhiêu server mô hình của các web server các client nào sẽ tương tác với ứng dụng web kiểu giao tiếp thông tin transport và thông qua các cổng port nào những site liên quan đến việc thực hiện chức năng của site mục tiêu. 2. Khảo sát ứng dụng web Ở đây tôi chỉ mô tả một trong những phương pháp khảo sát khá phổ biến từ trước đến giờ đó là Xem mã nguồn và lợi dụng các lỗi cho phép xem mã số ngôn ngữ web thông dụng hiện nay có nhiều lỗi này như Active Server Pages ASP Common Gateway Interface CGI ColdFusion Server CFM Hypertext Preprocessor PHP . Bài viết này tôi chỉ đề cập đến 1 bug đã có từ lâu nhưng thấy vẫn còn nhiều site mắc phải đó là lỗi liên quan đến CGI design cho phép view source và file system traversal. Hãy xem ví dụ sau http page Ở đây được gọi với tham số truyền vào là trang HTML file nó sẽ đọc và hiện nội dung của trang này lên client browser. Tuy nhiên nếu người viết cgi không kiểm tra kĩ lưỡng ta có thể lợi dụng để xem chính nội dung của file hay các trang khác. Ví dụ sau ta sẽ thay bằng http page Ở đây ta gặp 1 thông báo lỗi error No such file or .