Использование уязвимости сценариев автоматизации

Многие проникновения, особенно в систему UNIX, осуществляются путем использования программных сценариев. Вместе с основными компонентами операционной системы или приложения часто разработчики распространяют файлы и сценарии, с помощью которых пользователь системы сможет лучше в ней разобраться и создавать новые прикладные программы.

С точки зрения разработчика, это чрезвычайно удобно. Нужно ли изобретать колесо, если можно использовать готовые сценарии и фрагменты кода?

Нигде не применяется так много сценариев, как при работе с Web-приложениями. Ранние версии Web-сервера Apache, равно как и некоторые браузеры, поставлялись вместе с готовыми сценариями, в которых была масса лазеек. Кроме того, с помощью готовых программных средств даже неопытный программист сможет довольно быстро создать Internet-приложение, но вот будет ли оно качественным и надежным?

Да, программа будет работать, но никто не сможет сказать с уверенностью, насколько данная программа безопасна. Очень часто избыточный код и плохой контроль за ошибками открывают перед хакером двери в систему. По умолчанию с информационным сервером Internet (IIS — Internet Information Server) в комплекте предоставляется, по сути, готовый Web-узел. В нем есть система удаленного администрирования, которую можно использовать для быстрого и простого взлома узла.