Вы пытались указать, что он находится в том же каталоге, что и ваш файл server.js, то есть
const java = fs.readFileSync('./javascript.js');
Кажется, есть проблема с поиском файла, этот ссылка должна помочь вам с этой проблемой. Я надеюсь, что это поможет вам.
Список на этом довольно длинен; существует много методов, которые могут использоваться, чтобы сделать это; обратите внимание, что некоторые из них очень недопустимы:
И так далее... Вы - очень более обеспеченное нападение на человеческую сторону проблемы безопасности, чем попытка войти по сети, если Вы не находите некоторое очевидное использование сразу. Офисные работники гораздо менее вероятны для создания отчетов об уязвимости и часто невероятно неаккуратны в их привычках безопасности - пароли помещаются в wikis и записанные на ней, примечания придерживались монитора, коммивояжеры не шифруют свои жесткие диски для ноутбуков и так далее.
Самый типичный вектор атаки попытался бы найти известное применение, как, например, /webstats/
или /phpMyAdmin/
, ищите некоторые типичные файлы, что неопытный пользователь мог бы оставленный в производственном ENV (например. phpinfo.php
). И самый опасный: файлы резервных копий текстового редактора. Много текстовых редакторов оставляют копию исходного файла с '~' добавленной или perpended. Поэтому предположите, что Вы имеете whatever.php~
или whatever.apsx~
. Поскольку они не выполняются, взломщик мог бы получить доступ к исходному коду.
Скот, вызывающий для файлов и каталогов, обычно отнесенных как "Принудительный Просмотр", мог бы помочь Вам поиски Google.
Путь к файлам ресурсов как CSS, JavaScript, изображения, видео, аудио, и т.д. может также показать каталоги, если они используются на общедоступных страницах. CSS и JavaScript могли содержать выразительные URL в их коде также.
При использовании CMS некоторый CMS поместил метатег в голову каждой страницы, которая указывает, что страница была сгенерирована CMS. Если Ваш CMS небезопасен, это мог бы быть вектор атаки.
Файл "robots.txt" может дать Вам (если он существует, конечно), некоторая информация о том, что files\directories там (Экс-клен).
Это обычно - хорошая идея настроить Вашу обороноспособность способом, который предполагает, что взломщик может перечислить все файлы, подаваемые, если не защищено HTTP AUTH (aspx, автор не достаточно силен с этой целью).
Править: в более общем плане Вы, как предполагается, предполагаете, что взломщик может определить все публично доступные персистентные ресурсы. Если ресурс не имеет подлинной проверки, предполагает, что взломщик может считать его.
При присоединении нового ящика к «сетям» я всегда запускаю (ze) nmap , (Я знаю, что сайт выглядит зловеще - это признак качества в этом контексте, я думаю ...)
Это довольно много кнопок и дает вам подробное объяснение того, насколько уязвима цель (читай: «ваш сервер») есть.
a) Попытайтесь думать как немой разработчик ;)
b) Надеюсь, что разработчик домена является немым.
Если Вы используете mod_rewrite
на Вашем сервере Вы могли что-то как этот:
Весь запрос, который не соответствует шаблонам, может быть перенаправлен к специальной странице. Там IP или независимо от того, что будет прослежено. Вы у Вас есть определенное число "нападений", можно запретить этого пользователя / IP. Самым эффективным путем Вы быть автоматически добавляете, что специальное предложение переписывает условие на Вас mod_rewrite
.
Вы говорите об этическом взламывании?
Можно загрузить сайт инструментами SurfOffline и иметь симпатичную идею папок, архитектуры, и т.д.
С уважением!
Чтобы защитить сайт от атак, вызовите высшее руководство на совещание по безопасности и попросите его никогда не использовать рабочий пароль где-либо еще. Большинство мастеров везде будут небрежно использовать один и тот же пароль: работа, дом, pr0n сайты, азартные игры, публичные форумы, википедия. Они просто не знают о том, что не все сайты заботятся о том, чтобы не просматривать пароли пользователей (особенно когда сайты предлагают «бесплатные» материалы).
Действительно хороший первый шаг должен попробовать доменную передачу против их серверов DNS. Многие неправильно конфигурируются и дадут Вам полный список хостов.
Жестокий доменный сканер делает просто что: http://ha.ckers.org/fierce/
Это также предполагает общие имена хостов из словаря, а также, после нахождения живой хост, проверяя численно закрывает IP-адреса.