Заметка о дебагах

Заметка о дебагах

Привет тебе %username%!

На полноценный пост не тянет, так что назовём это заметкой.PЧасто, в процессе разработки, особенно на крупных проектах, кодеры оставляют возможность включить дебаг, включают вывод ошибок, создают тестовые учётки. Обычно для этого создают отдельный стенд, например на поддоменах beta, alpha, test. Кстати говоря, многие часто забывают закрыть доступ, естественно это не безопасно. Тем более зачем ставить сложный пароль для администратора на тестовом стенде?)


А иногда, интересные дебаги встроены прямо в веб-приложение и ждут не дождутся, когда тестировщик включит его, поэтому полезно добавить debug=1 или debug=true в запрос.PИногда это безобидные логи, на подобииPhttps://twitter.com/?debug=1 (или cookie:Ptw_debug=true), а иногда нечто более серьёзное.


debug в twitter

debug в twitter


debug в vk

debug в vk


Некоторые ресурсы включатPvar_dump (информацию о переменных в PHP), что позволяют злоумышленнику лучше изучить ресурс, некоторые просто выводят на страницу пользовательские данные, которые часто данные не фильтруются.


Дебаг в skype

Дебаг в skype


А ведь всего лишь достаточно добавить переменную дебага в параметр.PА может быть встречали окно дебага у Google или параметрPym_debug у Яндекса?


Покупаем журнал xakep тестовой учёткой

Покупаем журнал xakep тестовой учёткой


Для тестировщиков (чтоб не копипастить по 10 раз) иногда вводят параметр, который делает автозаполнение в поля с данными для тестирования. Да во многих сайтах можно попробовать восстановить аккаунт по email’у test@test.ru или для домена example.com. Если говорит, что ссылка для восстановления пароля ушла — значит аккаунт есть, а пароль скорее всего не сложный.


Мораль сей басни такова — не при в продакшн ты дебаг.


Заметка о дебагах данный пост отсюда: Bo0oM.ru


Безопасность debug
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.