Ко второй ошибок относят динамическую генерацию интерактивных web-страниц. Их можно подразделить на несколько подкатегорий:
– страницы доступные большинству пользователям;
– страницы доступные только тем клиентам, для которых были сгенерированы страницы.
Первые – гостевые книги и чаты, а вторые – результат деятельности поисковых машин.
Страницы в основном динамически сгенерированы в ответ на запросы пользователей, и содержат в себе и сам запрос. В этом дает возможность использовать HTML-теги, одним из самых опасных считаются директивы SSI (Server Side Include), так как они могут включать в страницы содержимое других файлов, результаты работы вызванных программ, переменные окружения и т.д.
Страницы также подвержены созданию т.н. фальшивых полей ввода (требующих от пользователей указания своих паролей или номеров кредитных карточек), способных передавать секретную информацию злоумышленникам. Могут разместить и вредоносный Java скрипт (Visual Basic и Java) способный открывать у пользователя большое количество окон с размерами 1 млн. на 1 млн. пикселей или зацикливающий браузер. Существует также вероятность перенаправления клиента на страницы злоумышленников или на сайты баннерных спонсоров, плюс похищение файлов через “дыры” в Netscape Navigator, Internet Explorer.
Для корректной работы написанного скрипта потребуются весьма значительные процессорные ресурсы. Инициированные злоумышленниками шквал запросов, ведет к отказу в обслуживании, особенно это эффективно, если скрипты работают с файловой системой и неэкономно растрачивают память. Увеличение выносливости сервера возможно при переходе на компилируемые языки, отказаться от использования скриптов, где это допустимо и установить быстрый процессор.
Подводя итоги, размещение скриптов на серверах создает определенную опасность и таит потенциальную угрозу для его нормальной работы.
