Οδηγοί για αρχάριους για SQL Injection και Cross-Site Scripting

ΕπίθεσηΔεν είμαι σε θέση όπου πρέπει να ανησυχώ πάρα πολύ για την ασφάλεια, αλλά συχνά ακούω για ευπάθειες από τα οποία προστατεύουμε τον εαυτό μας. Ζητώ απλώς από κάποιον έξυπνο αρχιτέκτονα συστήματος και λέει, «Ναι, είμαστε καλυμμένοι». Και μετά ο έλεγχος ασφαλείας επιστρέφει καθαρός.

Ωστόσο, υπάρχουν δύο «hacks» ασφαλείας ή ευπάθειες που μπορείτε να διαβάσετε πολλά στο διαδίκτυο αυτές τις μέρες, το SQL Injection και το Cross-Site Scripting. Είχα συνειδητοποιήσει και τα δύο και έχω διαβάσει αρκετά ενημερωτικά δελτία, αλλά δεν είμαι πραγματικός προγραμματιστής, συνήθως περίμενα για ενημερώσεις ασφαλείας ή απλά σιγουρευόμουν ότι τα σωστά άτομα γνώριζαν και θα προχωρούσα.

Αυτές οι δύο ευπάθειες είναι πράγματα που πρέπει να γνωρίζουν όλοι, ακόμη και ο έμπορος. Η απλή δημοσίευση μιας απλής φόρμας ιστού στον ιστότοπό σας θα μπορούσε πραγματικά να ανοίξει το σύστημά σας σε κάποια δυσάρεστα πράγματα.

Μπράντον Γουντ έχει κάνει εξαιρετική δουλειά γράφοντας Οδηγούς για αρχάριους και στα δύο θέματα που ακόμη και εσείς ή εγώ καταλαβαίνω:

  • SQL Injection
  • Scripting μεταξύ ιστοτόπων

5 Σχόλια

  1. 1

    Ουάου, ευχαριστώ για τη θέση Doug. Νιώθω τιμή ... 🙂

    Το πρόβλημα που περιγράφετε ότι δεν ξέρετε πώς να εντοπίσετε αυτά τα είδη ευπάθειας είναι το μεγαλύτερο πρόβλημα που βλέπω. Εάν δείξω σε έναν προγραμματιστή που δεν ξέρει τίποτα για την ασφάλεια ένα κομμάτι κώδικα και να τους ρωτήσω αν είναι ασφαλές, φυσικά πρόκειται να πουν ότι είναι ασφαλές - δεν ξέρουν τι ψάχνουν!

    Το πραγματικό κλειδί εδώ είναι να εκπαιδεύσουμε τους προγραμματιστές μας για το τι πρέπει να αναζητήσουν και πώς να το διορθώσουν. Αυτός ήταν ο σκοπός πίσω από τα δύο άρθρα μου.

  2. 2

    Ίσως να μην είναι το σωστό μέρος, αλλά ήρθε να ενημερώσει ένα σοβαρό πράγμα.

    PS: Θα ήθελα να ειδοποιήσω για έναν σημαντικό κίνδυνο στο wordpress που μπόρεσα να βρω. Το μεγάλο hack του στο wordpress έχει κίνδυνο 7/10 - χακαρισμένο. Παρακαλώ μην το ενημερώσετε σε άλλους bloggers. Είχα μια συζήτηση με τον Matt (WordPress) σχετικά με το email

  3. 3
  4. 4
  5. 5

    WordPress MySQL offline scanner;

    Υπάρχει κάποιο εργαλείο που είναι διαθέσιμο για σάρωση
    offline πίνακας WordPress MySQL που εξάγεται από το phpMyAdmin;

    Έχουμε μια βάση δεδομένων WordPress MYSQL που φαίνεται να έχει
    είχε μια ένεση SQL.

Ποια είναι η γνώμη σας;

Αυτός ο ιστότοπος χρησιμοποιεί το Akismet για να μειώσει το spam. Μάθετε πώς επεξεργάζονται τα δεδομένα των σχολίων σας.