Οδηγοί για αρχάριους για SQL Injection και Cross-Site Scripting
Δεν είμαι σε θέση όπου πρέπει να ανησυχώ πάρα πολύ για την ασφάλεια, αλλά συχνά ακούω για ευπάθειες από τα οποία προστατεύουμε τον εαυτό μας. Ζητώ απλώς από κάποιον έξυπνο αρχιτέκτονα συστήματος και λέει, «Ναι, είμαστε καλυμμένοι». Και μετά ο έλεγχος ασφαλείας επιστρέφει καθαρός.
Ωστόσο, υπάρχουν δύο «hacks» ασφαλείας ή ευπάθειες που μπορείτε να διαβάσετε πολλά στο διαδίκτυο αυτές τις μέρες, το SQL Injection και το Cross-Site Scripting. Είχα συνειδητοποιήσει και τα δύο και έχω διαβάσει αρκετά ενημερωτικά δελτία, αλλά δεν είμαι πραγματικός προγραμματιστής, συνήθως περίμενα για ενημερώσεις ασφαλείας ή απλά σιγουρευόμουν ότι τα σωστά άτομα γνώριζαν και θα προχωρούσα.
Αυτές οι δύο ευπάθειες είναι πράγματα που πρέπει να γνωρίζουν όλοι, ακόμη και ο έμπορος. Η απλή δημοσίευση μιας απλής φόρμας ιστού στον ιστότοπό σας θα μπορούσε πραγματικά να ανοίξει το σύστημά σας σε κάποια δυσάρεστα πράγματα.
Μπράντον Γουντ έχει κάνει εξαιρετική δουλειά γράφοντας Οδηγούς για αρχάριους και στα δύο θέματα που ακόμη και εσείς ή εγώ καταλαβαίνω:
- SQL Injection
- Scripting μεταξύ ιστοτόπων
Ουάου, ευχαριστώ για την ανάρτηση Doug. Νιώθω τιμή… 🙂
Το πρόβλημα που περιγράφετε ότι δεν ξέρετε πραγματικά πώς να εντοπίσετε αυτούς τους τύπους τρωτών σημείων είναι το μεγαλύτερο πρόβλημα που βλέπω. Αν δείξω σε έναν προγραμματιστή που δεν ξέρει τίποτα για την ασφάλεια ένα κομμάτι κώδικα και τον ρωτήσω αν είναι ασφαλής, φυσικά θα πουν ότι είναι ασφαλής – δεν ξέρουν τι ψάχνουν!
Το πραγματικό κλειδί εδώ είναι να εκπαιδεύσουμε τους προγραμματιστές μας για το τι πρέπει να αναζητήσουν και πώς να το διορθώσουν. Αυτός ήταν ο σκοπός πίσω από τα δύο άρθρα μου.
Ίσως να μην είναι το σωστό μέρος, αλλά ήρθε να ενημερώσει ένα σοβαρό πράγμα.
ΥΓ: Θα ήθελα να ειδοποιήσω για έναν σημαντικό κίνδυνο στο wordpress που μπόρεσα να βρω. Το μεγάλο χακάρισμά του στο wordpress με κίνδυνο 7/10. Δεν κάνω διαφήμιση αλλά κοιτάξτε την ανάρτησή μου html-injection-and-being -hacked.Παρακαλώ ενημερώστε για αυτό σε άλλους bloggers. Είχα μια συζήτηση με τον Matt(WordPress) στο email σχετικά με αυτό
Άσις,
Ευχαριστώ που με ενημερώσατε σχετικά – έκανα αναβάθμιση σε WordPress 2.0.6. Πιστεύω ότι φρόντισε για αυτό το θέμα.
Doug
Ναι έχει τελειώσει τώρα. Μεγάλη που η επόμενη έκδοση βγήκε γρήγορα
PS: μπορούμε να κάνουμε ανταλλαγή συνδέσμων; πες μου αν σου αρέσει η ιδέα
WordPress MySQL offline scanner;
Υπάρχει κάποιο εργαλείο που είναι διαθέσιμο για σάρωση
offline πίνακας WordPress MySQL που εξάγεται από το phpMyAdmin;
Έχουμε μια βάση δεδομένων WordPress MYSQL που φαίνεται να έχει
είχε μια ένεση SQL.