Რა არის ინექცია SQL?

რაოდენობის საიტებზე და გვერდებზე ვებ სტაბილურად იზრდება. მიღებული განვითარების ყველა, ვინც შეუძლია. და ახალბედა ვებ დეველოპერები ხშირად იყენებენ სახიფათო და ძველი კოდი. და ეს ქმნის ბევრი loopholes დამნაშავეები და ჰაკერები. ვიდრე ისინი. ერთ-ერთი ყველაზე კლასიკური ხარვეზებს - SQL ინექცია.

ცოტა თეორია

ბევრი ადამიანი ვიცი, რომ უმრავლესობა საიტები და მომსახურების ქსელის გამოყენებით SQL მონაცემთა შენახვის. ეს არის სტრუქტურირებული შეკითხვის ენა , რომელიც საშუალებას გაძლევთ კონტროლი და მართვა, შენახვა მონაცემები. არსებობს ბევრი სხვადასხვა ვერსიებს მონაცემთა ბაზის მართვის სისტემის მონაცემთა ბაზა - Oracle, MySQL, Postgre. მიუხედავად იმისა, რომ სახელი და ტიპის, ისინი იყენებენ იგივე შეკითხვაზე მონაცემები. ეს აქ, რომ დევს პოტენციალი დაუცველობაზე. თუ დეველოპერი ვერ უმკლავდება სწორად და უსაფრთხოდ მოითხოვოს, თავდამსხმელი შეუძლია ისარგებლოს და გამოიყენოს სპეციალური ტაქტიკა, რათა მოიპოვოს წვდომა ბაზაში, ხოლო შემდეგ - და ყველა საიტი მართვა.

თავიდან აცილების მიზნით, ასეთ სიტუაციაში, თქვენ უნდა სათანადოდ ოპტიმიზაცია კოდი და ყურადღებით დააკვირდება ამ წესით, რომელშიც მოთხოვნა მუშავდება.

შეამოწმეთ SQL ინექცია

იმისათვის, რომ შექმნან თანდასწრებით დაუცველობის ქსელში აქვს წონა დასრულდა ავტომატიზირებული პროგრამული სისტემები. მაგრამ ეს შესაძლებელია განახორციელოს მარტივი გამშვები ხელით. ამისათვის, წასვლა ერთი ტესტი საიტები და სამისამართო ცდილობენ გამოიწვიოს მონაცემთა ბაზის შეცდომა. მაგალითად, დამწერლობის საიტზე ვერ უმკლავდება მოთხოვნით და არ მორთვა მათ.

მაგალითად, არსებობს nekiy_sayt / index.php? Id = 25

იოლი გზა - იმისათვის, რომ 25 შემდეგ ციტირება და გაგზავნის თხოვნით. თუ არ მოხდა შეცდომა, ან საიტზე და ფილტრის ყველა მოთხოვნა სწორად, ან გამორთულია პარამეტრების მათი გამომუშავება. თუ გვერდი Reloaded პრობლემა, მაშინ დაუცველობის SQL ინექცია არის.

მას შემდეგ, რაც გაირკვა, შეგიძლიათ ცდილობენ თავი დაეღწია ეს.

განახორციელოს ამ დაუცველობის უნდა იცოდეს, ცოტა შესახებ SQL-შეკითხვებს გუნდი. ერთ-ერთი მათგანი - UNION. იგი აერთიანებს რამდენიმე შეკითხვაზე შედეგების ერთ. ასე რომ, ჩვენ შეგვიძლია გამოვთვალოთ ხმების დარგების მაგიდასთან. მაგალითად, პირველ შეკითხვაზე არის:

• nekiy_sayt / index.php? id = 25 UNION SELECT 1.

უმეტეს შემთხვევაში, ამ ჩანაწერის უნდა გენერირება შეცდომა. ეს ნიშნავს, რომ რიგ სფეროებში არ უდრის 1. ასე რომ, არჩევის ვარიანტი 1 ან მეტი, არ არის გამორიცხული, რომ შეიქმნას მათი ზუსტი რაოდენობა:

• nekiy_sayt / index.php? id = 25 UNION SELECT 1,2,3,4,5,6.

ეს არის ის, როდესაც შეცდომა აღარ გამოჩნდება, ეს იმას ნიშნავს, რომ ნომერი სფეროებში მისახვედრია.

ასევე არსებობს ალტერნატიული გამოსავალი ამ პრობლემას. მაგალითად, როდესაც დიდი რაოდენობით სფეროებში - 30, 60 ან 100. ეს ბრძანება GROUP BY. ეს ჯგუფები შედეგები შეკითხვის რაიმე ნიშნით, მაგალითად id:

• nekiy_sayt / index.php? id = 25 GROUP 5.

თუ შეცდომა არ იქნა მიღებული, მაშინ სფეროებში უფრო მეტია, ვიდრე 5. ამგვარად, შემცვლელი პარამეტრები საკმაოდ ფართო სპექტრი, შესაძლებელია გამოვთვალოთ რამდენი მათგანი რეალურად.

ეს მაგალითი SQL ინექცია - დამწყებთათვის, ვისაც სურს ცდილობენ თავი ტესტირება თავისი საიტი. მნიშვნელოვანია, უნდა გვახსოვდეს, რომ არასანქცირებული წვდომის სხვა ხელმისაწვდომი მუხლის სისხლის სამართლის კოდექსი.

ძირითადი ტიპის ინექცია

განახორციელოს რისკების SQL ინექცია რამდენიმე embodiments. შემდეგი ყველაზე პოპულარული მეთოდები:

• კავშირი შეკითხვის, SQL ინექცია. მარტივი მაგალითი ამ ტიპის უკვე განხილული ზემოთ. იგი მიხვდა, შეცდომის გამო, შემოწმების შემომავალი მონაცემები, რომლებიც არ არის გაფილტრული.

• შეცდომა დაფუძნებული SQL ინექცია. როგორც სახელი გულისხმობს, ამ ტიპის ასევე იყენებს შეცდომა, გაგზავნის გამონათქვამები შედგება სინტაქსურად არასწორია. მერე მოხსნა პასუხი headers, ანალიზი, რომელიც შეიძლება განხორციელდეს მოგვიანებით SQL ინექცია.

• დაგროვების შეკითხვა SQL ინექცია. ეს მგრძნობიარობა განისაზღვრება ასრულებენ თანმიმდევრული მოითხოვს. იგი ხასიათდება დამატებით ბოლოს ნიშანი ",". ეს მიდგომა ხშირად ხორციელდება, რათა შეამოწმონ განხორციელების წაკითხვის და ჩაწერის მონაცემების ან ოპერაციული სისტემა ფუნქციები, თუ პრივილეგიები საშუალებას იძლევა.

პროგრამული უზრუნველყოფის მოძიება SQL-ხარვეზებს

იქ SQL ინექცია, პროგრამა როგორც წესი აქვს ორი კომპონენტი - საიტი სკანირების შესაძლო მოწყვლადი და მათი გამოყენება, რათა მოიპოვოს წვდომა მონაცემები. არსებობს ინსტრუმენტები თითქმის ყველა ცნობილი პლატფორმების. მათი ფუნქციონირება მნიშვნელოვნად ამარტივებს შემოწმების ნახვა ბზარი თქვენი SQL ინექცია.

Sqlmap

ძალიან ძლიერი სკანერი, რომელიც მუშაობს ყველაზე ბაზაში. იგი მხარს უჭერს სხვადასხვა მეთოდები განხორციელების SQL ინექცია. მას აქვს უნარი ავტომატურად ცნობს ტიპის დაგავიწყდათ hash cracking და ლექსიკონი. აწმყო და ფუნქციური ფაილი ატვირთვა და ჩამოტვირთვა სერვერზე.

დაყენების Linux ხორციელდება გამოყენებით ბრძანებები:

• git clone https://github.com/sqlmapproject/sqlmap.git sqlmap-dev,
• cdsqlmap-dev /,
• ./sqlmap.py --wizard.

For Windows ხელმისაწვდომია როგორც ვარიანტი ბრძანების და გრაფიკული ინტერფეისი.

jSQL ინჟექტორი

jSQL Injection - ჯვარი პლატფორმა ინსტრუმენტი ტესტირების გამოყენება SQL ხარვეზებს. წერილობითი ჯავაში, ასე რომ სისტემა უნდა დამონტაჟდეს JRE. შეუძლია გაუმკლავდეს GET ითხოვს, POST, header, cookie. მას აქვს მოსახერხებელი გრაფიკული ინტერფეისი.

დამონტაჟება ამ პროგრამული პაკეტი ასეთია:

wget https://github.com/`curl -s https: //github.com/ron190/jsql-injection/releases | grep-E-O '/ron190/jsql-injection/releases/download/v[0-9]{1,2}.[0-9]{1,2}/jsql-injection-v[0-9] . {1,2} [0-9] {1,2} .jar '| ხელმძღვანელი-n 1`

კამპანიის გამოყენებით ბრძანება java -jar ./jsql-injection-v*.jar

იმისათვის, რომ დაიწყოს გამოცდა საიტზე SQL-დაუცველობაზე, თქვენ უნდა მიუთითოთ მისამართი დაბრუნება სფეროში. ისინი ცალკე GET და POST. დადებითი შედეგი, სიაში არსებული მაგიდები გამოჩნდება მარცხენა ფანჯარა. თქვენ შეგიძლიათ ნახოთ და ვისწავლოთ ზოგიერთი კონფიდენციალური ინფორმაცია.

tab «Admin გვერდი» გამოიყენება, რათა იპოვოს ადმინისტრაციული პანელები. მასზე საშუალებით სპეციალური თარგები ავტომატურად ეძებს სისტემა ჩანაწერს პრივილეგირებული მომხმარებლებს. მათ შეგიძლიათ მიიღოთ მხოლოდ hash დაგავიწყდათ. მაგრამ მას აქვს ყუთისთვის პროგრამა.

შემდეგ მოძიებაში ყველა ხარვეზებს და ინექციური აუცილებელი მოთხოვნების, ინსტრუმენტი საშუალებას სერვერზე შეავსოთ თქვენი ფაილი, ან პირიქით გადმოწეროთ არსებობს.

SQLi თვითსაცლელი v.7

ეს პროგრამა - მარტივი ინსტრუმენტი მოძიების და განხორციელებაში SQL ხარვეზებს. იგი აწარმოებს გაეროს ეფუძნება ე.წ. ქურციკს. მათი ჩამონათვალი შეგიძლიათ იხილოთ ინტერნეტში. Dorca for SQL ინექცია - ეს არის სპეციალური თარგები საძიებო. მათი დახმარებით, შეგიძლიათ პოტენციურად დაუცველი საიტის მეშვეობით ნებისმიერი საძიებო სისტემა.

ინსტრუმენტები სასწავლო

Itsecgames.com ადგილზე არ არსებობს სპეციალური კომპლექტი ინსტრუმენტები, რომელიც საშუალებას აძლევს მაგალითი გვიჩვენებს, თუ როგორ უნდა გავაკეთოთ SQL ინექცია და ტესტირებაში. იმისათვის, რომ ისარგებლოს, აუცილებელია ჩამოტვირთოთ და დააყენოთ. არქივი შეიცავს კომპლექტი ფაილი, რომელიც არის საიტის სტრუქტურის. დააინსტალირეთ მოგიწევთ არსებული სისტემის კომპლექტი Apache სერვერზე, MySQL და PHP.

დაქაჩეთ და ამოაარქივეთ ვებგვერდი სერვერზე საქაღალდეში, თქვენ უნდა წავიდეს მისამართი შევიდა, როდესაც დააყენებთ ამ პროგრამული უზრუნველყოფა. გვერდზე მომხმარებლის რეგისტრაცია. აქ თქვენ უნდა მიუთითოთ თქვენი მონაცემები და დააჭირეთ «შექმნა». მოძრავი მომხმარებელს ახალი ეკრანი მოთხოვნა აირჩიოთ ერთი ტესტის. მათ შორის არიან როგორც აღწერილი ინექცია, და სხვა მრავალი ტესტი ნივთები.

ღირს თუ გავითვალისწინებთ მაგალითია SQL ინექცია ტიპის GET / ძებნა. აქ თქვენ უნდა მონიშნეთ იგი და დააჭირეთ «Hack». სანამ შესახებ გამოჩნდება და ძებნის სიმებიანი იმიტაცია ფილმი საიტზე. დასალაგებლად ფილმები შეიძლება იყოს ხანგრძლივი. მაგრამ არსებობს მხოლოდ 10. მაგალითად, შეგიძლიათ ცდილობენ შესვლის Iron Man. იგი მიუთითებს, ფილმი, მაშინ საიტი მუშაობს და მაგიდები შეიცავს. ახლა ჩვენ უნდა შეამოწმოს თუ სპეციალური სიმბოლოების script ფილტრები, კერძოდ გაცემა. ამისათვის, დაამატოთ 'სამისამართო ". უფრო მეტიც, ეს უნდა გაკეთდეს მას შემდეგ, რაც ფილმის სათაური. საიტის მისცემს შეცდომა შეცდომა: თქვენ არ შეცდომა თქვენი SQL syntax; შემოწმება სახელმძღვანელო, რომელიც შეესაბამება თქვენი MySQL სერვერის ვერსია უფლება სინტაქსი გამოიყენოს ახლოს '%' 'at line 1, სადაც ნათქვამია, რომ გმირები მაინც არ სიფრთხილით სწორად. ასე რომ, შეგიძლიათ ცდილობენ შეცვალონ თქვენი მოთხოვნა. მაგრამ ჩვენ უნდა გამოვთვალოთ რაოდენობის სფეროებში. იგი გამოიყენება ამ მიზნით მიერ, რომელიც შემოღებულ იქნა მას შემდეგ შეთავაზებები: http://testsites.com/sqli_1.php?title=Iron+Man 'შეკვეთა 2 - & action = search.

ეს ბრძანება მხოლოდ აჩვენებს ინფორმაციას ფილმი, რომელიც, რიგ სფეროებში მეტია 2. ორმაგი დეფისი ეუბნება სერვერზე, რომ სხვა მოთხოვნები უნდა განადგურდეს. ახლა ჩვენ უნდა დასალაგებლად out, აყენებს გაზრდის მნიშვნელობაზე, რადგან შეცდომა არ არის დაბეჭდილი. და ბოლოს, გამოდის, რომ სფეროებში იქნება 7.

ახლა დროა, რომ რაღაც სასარგებლო out of ბაზაზე. ოდნავ შეცვალოს მოთხოვნით სამისამართო, შემოტანა მას ფორმა: http://testsites.com/sqli_1.php?title=Iron+Man კავშირის აირჩიოთ 1, მონაცემთა ბაზის () შესახებ (), 4, დაგავიწყდათ, 6, 7 წევრებს - & action = search. შედეგად მისი განხორციელება ცარიელია სიმებიანი დაგავიწყდათ ჰეშები, რომელიც შეიძლება ადვილად გარდაიქმნება გასაგები სიმბოლოების გამოყენებით ერთი ონლაინ მომსახურება. Conjured პატარა და აიყვანეს სფეროში სახელი ლოგინი, თქვენ შეუძლია მოიპოვოს წვდომა სხვისი შესვლის, როგორიცაა admin საიტი.

პროდუქტის წონა სახეობის ინექცია სახის, რომლის პრაქტიკაში. უნდა გვახსოვდეს, რომ განაცხადი ამ უნარების ქსელის რეალური საიტები შეიძლება იყოს სისხლის სამართლის დანაშაულია.

ინექცია და PHP

როგორც წესი, PHP კოდი და პასუხისმგებელია საჭირო დამუშავება მოითხოვს მოდის შესახებ. აქედან გამომდინარე, ამ ეტაპზე, თქვენ უნდა ავაშენოთ თავდაცვის წინააღმდეგ SQL ინექცია in PHP.

პირველ რიგში, მოდით, რამდენიმე მარტივი სახელმძღვანელო პრინციპებს, საფუძველზე, რომელიც აუცილებელია ამის გაკეთება.

• მონაცემები ყოველთვის უნდა იყოს დამუშავებული სანამ მოთავსებული მონაცემთა ბაზაში. ეს შეიძლება გაკეთდეს ან გამოყენებით არსებული გამონათქვამები თუ ორგანიზებით შეკითხვებს ხელით. აქ, ძალიან, უნდა გავითვალისწინოთ, რომ რიცხვითი ღირებულებებს მოაქცია ტიპის, რომ საჭიროა;
• თავიდან აცილება აიძულა სხვადასხვა კონტროლის სტრუქტურებში.

ახლა ცოტა წესების შესახებ შედგენის შეკითხვებს MySQL, რათა დაიცვას SQL ინექცია.

შედგენის ნებისმიერი გამონათქვამები შეკითხვის იგი მნიშვნელოვანია ცალკეული მონაცემების SQL keywords.

• SELECT * FROM table WHERE name = Zerg.

ამ კონფიგურაციის, სისტემა შეიძლება ვიფიქროთ, რომ Zerg - სახელით ნებისმიერ სფეროში, ასე რომ თქვენ უნდა დაურთოს მას quotes.

• SELECT * FROM table WHERE name = 'Zerg ".

თუმცა, არსებობს დრო, როცა მნიშვნელობა თავისთავად შეიცავს ციტატას.

• SELECT * FROM table WHERE name = 'კოტ დ' ივუარი ".

აქ მხოლოდ გაუმკლავდეს ნაწილი კოტ დ, და დანარჩენი შეიძლება იქნას აღქმული, როგორც გუნდი, რომელიც, რა თქმა უნდა, არა. აქედან გამომდინარე, შეცდომა ხდება. მაშინ თქვენ უნდა ამ სახის სკრინინგის მონაცემები. ამისათვის, გამოიყენოთ წარმატებული - \.

• SELECT * FROM table WHERE name = 'cat-d \' ივუარი ".

ყველა ზემოხსენებული ეხება რიგები. იმ შემთხვევაში, თუ მოქმედება ხდება რიგი, მაშინ ეს არ სჭირდება შეთავაზებები და ირიბი. თუმცა, მათ უნდა ძალით გამოიწვიოს სასურველი მონაცემები ტიპის.

არსებობს რეკომენდაციები, რომ სფეროში სახელი უნდა ჩაისვას backquotes. ეს სიმბოლო არის მარცხენა მხარეს კლავიატურის ერთად tilde "~". ეს არის იმის უზრუნველყოფა, რომ MySQL შეიძლება ზუსტად გამოიყოს სახელი სფეროში თქვენი სიტყვით.

Dynamic მუშაობის მონაცემები

ძალიან ხშირად, მიიღოს ნებისმიერი მონაცემთა ბაზიდან გამოყენებით შეკითხვებს, გენერირებული დინამიურად ვითარდება. მაგალითად:

• SELECT * FROM table WHERE ნომერი = '$ ნომერი ".

აქ, ცვლადი $ ნომერი გადაეცემა განსაზღვრის ღირებულების სფეროში. რა მოხდება, თუ იგი იღებს "კოტ დ 'ივუარი? შეცდომა.

იმისათვის, რომ თავიდან ავიცილოთ ეს პრობლემა, რა თქმა უნდა, შეგიძლიათ "ჯადოსნური შეთავაზება" პარამეტრები. მაგრამ ახლა მონაცემები ნაჩვენები იქნება საჭიროების შემთხვევაში, და არ არის საჭირო. გარდა ამისა, თუ კოდი წერია ხელით, თქვენ შეგიძლიათ გაატაროთ ცოტა მეტი დრო, რათა შეიქმნას გამძლეობით cracking თავად სისტემა.

დამოუკიდებელი დამატებით slash შეგიძლიათ გამოიყენოთ mysql_real_escape_string.

$ პუნქტების = mysql_real_escape_string ($ ნომერი);

$ წელი = mysql_real_escape_string ($, წელი);

$ შეკითხვის = "INSERT INTO მაგიდა (ნომერი, წელს, კლასი) ღირებულებები ( '$ ნომერი", "$ წელს, 11)".

მიუხედავად იმისა, რომ კოდი და გაიზარდა მოცულობა, ჯერ პოტენციურად იგი იმუშავებს ბევრად უფრო უსაფრთხო.

placeholders

Placeholders - სახის მარკერები, რომელიც სისტემის აღიარებს, რომ ეს არის ადგილი, თქვენ უნდა შეცვალოს სპეციალური ფუნქცია. მაგალითად:

$ სატე = $ mysqli-> მომზადება ( "SELECT რაიონის ნომერი, სადაც სახელი =?");

$ Sate-> bind_param ( "s", $ ნომერი);

$ Sate-> შეასრულოს ();

ამ სექციაში კოდი იღებს სასწავლო მოთხოვნით template და შემდეგ ავალდებულებს ცვლადი ნომერი, და ახორციელებს მას. ეს მიდგომა საშუალებას გაძლევთ გაყოფილი დამუშავება და მის განხორციელებას. ასე რომ, ეს შეიძლება იყოს შენახული გამოყენების მუქარის კოდი ვართ SQL-.

რა შეიძლება თავდამსხმელი

დაცვის სისტემა - ძალიან მნიშვნელოვანი ფაქტორი, რომელიც არ შეიძლება იყოს მიუღებელი. რა თქმა უნდა, მარტივი ბიზნეს ბარათი საიტი იქნება ადვილი აღდგენას. და თუ ეს არის დიდი ვერსია, მომსახურება, ფორუმზე? რა შედეგები, თუ თქვენ არ ვფიქრობ, რომ უსაფრთხოების?

პირველ რიგში, ჰაკერი შეიძლება დაარღვიოს მთლიანობის როგორც ბაზაზე და ამოიღონ იგი მთლიანად. და თუ საიტის ადმინისტრაციას ან hoster არ მიიღოს სარეზერვო, თქვენ მოგიწევთ რთული. უპირველეს ყოვლისა, intruder, cracking ერთი საიტი, შეიძლება წავიდეს სხვა განთავსებული იმავე სერვერზე.

შემდეგი არის ქურდობა ინფორმაცია სია. როგორ გამოვიყენოთ - ყველაფერი შემოიფარგლება მხოლოდ წარმოსახვა ჰაკერი. მაგრამ ნებისმიერ შემთხვევაში, შედეგები არ იქნება ძალიან სასიამოვნო. მით უმეტეს, თუ შეიცავს ფინანსური ინფორმაცია.

გარდა ამისა, შემტევს შეუძლია შერწყმა ბაზაში თავს და შემდეგ ფულის გამოძალვის მისი დაბრუნება.

დეზინფორმაცია მომხმარებლები სახელით საიტის ადმინისტრაციას, პირი რომ ისინი არ არიან, ასევე შეიძლება უარყოფითი შედეგები, რაც შეიძლება თაღლითობის ფაქტები.

დასკვნა

ყველა ინფორმაცია ამ მუხლის არის გათვალისწინებული მხოლოდ საინფორმაციო მიზნებისათვის. გამოიყენოთ იგი მხოლოდ უნდა შეამოწმოთ საკუთარი პროექტები, როდესაც ის აღმოაჩენს ხარვეზებს და მიმართოს მათ.

უფრო სიღრმისეული შესწავლა ტექნიკას, თუ როგორ უნდა ჩაატაროს SQL ინექცია, აუცილებელია დაიწყოს ფაქტობრივი კვლევის შესაძლებლობები და თვისებები SQL ენაზე. როგორც შედგენილი კითხვები, სიტყვა, მონაცემთა ტიპები, და გამოყენების ეს ყველაფერი.

ასევე არ შეუძლია მის გარეშე გაგება ოპერაციის PHP და HTML ელემენტები ფუნქციები. პირველადი მოხმარების დაუცველი რაოდენობა საინექციო - მისამართი ხაზი, და სხვადასხვა საძიებო სფეროში. სასწავლო PHP ფუნქციები, მეთოდი განხორციელება და ფუნქციები გაერკვნენ, თუ როგორ, რათა თავიდან ავიცილოთ შეცდომები.

თანდასწრებით ბევრი მზა პროგრამული ინსტრუმენტები საშუალებას იძლევა სიღრმისეული ანალიზი საიტზე ცნობილი ხარვეზებს. ერთ-ერთი ყველაზე პოპულარული პროდუქცია - kali linux. ეს იმიჯი Linux დაფუძნებული ოპერაციული სისტემა, რომელიც შეიცავს დიდი რაოდენობით ინსტრუმენტები და პროგრამები, რომელიც შეიძლება განახორციელოს ყოვლისმომცველი ანალიზი საიტი ძალა.

რა უნდა იცოდეს, თუ როგორ უნდა გატეხოს საიტი? ეს ძალიან მარტივია - ეს აუცილებელია, უნდა იცოდეს პოტენციური ხარვეზებს თქვენი პროექტის ან ვებგვერდზე. მით უმეტეს, თუ ეს არის ონლაინ მაღაზია ონლაინ გადახდის, სადაც გადახდის შესახებ მონაცემები შეიძლება კომპრომეტირებული მიერ თავდამსხმელი.

პროფესიული სასწავლო არსებული ინფორმაციის უსაფრთხოების პერსონალის შეძლებს შეამოწმეთ საიტზე სხვადასხვა კრიტერიუმები და სიღრმე. დაწყებული მარტივი HTML-ინექციების და სოციალური საინჟინრო და ფიშინგს.