61 8 Глава 12. Безопасность и производительность





ственным файлом. И в зависимости от назначения сценария хакера, администра- торы сайта могут потрать немало времени на обнаружение изменении. Напри —

мер, сценарий хакера может просто содержать одну дополнительную строку, ко — торая передает по электронной почте на адрес хакера копию данных о кредитных карточках.

Часто читая сообщения об атаках хакеров можно встретить данные об атаках переполнения буфера, которые позволяют хакерам взламывать сценарии для по — лучения доступа к серверу с возможностью запуска любой установленной на сер — вере программы! Так, в главе 3 при создании HTML-форм вы создавали поля ввода текста, которые давали возможность посетителям вводить только опреде — ленное количество символов. Переполнение буфера возникает тогда, когда пользователь (не обязательно хакер) передает большее количество данных, чем

ожидает получить сценарий. Например, предположим, что HTML-форма позво- ляет посетителю вводить адрес, длина которого составляет до 128 символов. Тем

не менее, вследствие наличия ошибок программирования сценарий предоставля —

ет место только для 64 символов. Поскольку большинство посетителей в каче — стве своего адреса вводят меньше чем 64 символа, сценарий может довольно дол —

го работать без ошибок. Тем не менее, когда один из посетителей введет адрес,

длина которого превышает 64 символа, сценарий вызовет ошибку переполнения буфера.

Проблема с переполнением буфера состоит в том, что некоторые языки сце — нариев (как правило, скомпилированные программы) вызывают ошибку в про —

цессоре сценариев (т. е. программе, которая на сервере выполняется содержащие —

ся в сценарии операторы). В зависимости от операционной системы, на которой выполняет программное обеспечение сервера, подобного рода ошибки могут от — крыть доступ хакеру к серверу и содержащимся на нем файлам. Для использова- ния ошибок переполнения буфера хакер сначала вызывает ошибку процессора

сценариев. Затем, после. получения доступа к серверу хакер копирует или уделяет файлы или запускает программы, находящиеся на сервере.

Как вы уже знаете, при передаче сообщений по сети Internet хакер может их перехватывать и, возможно, изменять их содержимое. Если хакер знает, что сер —

вер работает под управлением операционной системы и с процессором сценари — ев, подверженным ошибкам переполнения буфера, он может перехватить коррек — тное сообщение, предназначенной для этого сайта, и изменить содержимое сообщения таким образом, что передаваемые данные вызовут ошибку переполне — ния буфера.