Я не ў стане, калі мне трэба занадта турбавацца пра бяспеку, але часта я чую пра ўразлівасці, ад якіх мы абараняемся. Я проста пытаюся ў нейкага разумнага архітэктара сістэмы, і ён адказвае: "Так, мы ахоплены", і тады аўдыт бяспекі зноў чысты.
Аднак ёсць два "ўзломы" альбо ўразлівасці бяспекі, пра якія вы сёння можаце шмат прачытаць у сетцы, SQL Injection і Cross-Site Scripting. Я ведаў пра іх абодва і чытаў нямала "тэхнічных" бюлетэняў пра іх, але, не будучы сапраўдным праграмістам, я звычайна чакаю абнаўленняў бяспекі альбо проста пераконваюся, што пра гэта ведаюць патрэбныя людзі, і я пайду далей.
Гэтыя дзве ўразлівасці - рэчы, пра якія павінны ведаць усе, нават маркетолаг. Простае размяшчэнне простай вэб-формы на вашым вэб-сайце можа сапраўды адкрыць вашу сістэму да некалькіх непрыемных рэчаў.
Брэндон Вуд прарабіў вялікую працу, напісаўшы Кіраўніцтва для пачаткоўцаў па абедзвюх тэмах, якія разумееце нават вы ці я
- SQL-ін'екцыя
- Крос-сайт сцэнарыяў
Ого, дзякуй за паведамленне Дуг. Я адчуваю гонар ...…
Праблема, якую вы апісваеце, на самой справе не ведаючы, як выявіць такія ўразлівасці, - гэта самая вялікая праблема, якую я бачу. Калі я пакажу праграмісту, які нічога не ведае пра бяспеку, фрагмент кода і спытаю, ці бяспечны ён, яны, вядома, скажуць, што гэта бяспечна - яны не ведаюць, што шукаюць!
Сапраўдны ключ тут - навучанне нашых распрацоўшчыкаў пра тое, што шукаць і як гэта выправіць. Гэта была мэта маіх двух артыкулаў.
Магчыма, не ў патрэбным месцы, але прыйшоў паведаміць пра сур'ёзную рэч.
PS: Я хацеў бы паведаміць пра асноўны рызыка ў wordpress, які мне ўдалося знайсці. Яго асноўны ўзлом у wordpress мае рызыку 7/10. Я не рэкламую, але гляджу на свой пост html-injection-and-being Калі ласка, паведамляйце пра гэта іншым блогерам. У мяне была размова з Мэтам (WordPress) па электроннай пошце пра гэта
Ашыш,
Дзякуй, што паведамілі мне пра гэта - я перайшоў на WordPress 2.0.6. Я лічу, што ён заняўся гэтым пытаннем.
Doug
Так, усё скончана. Выдатна, што наступная версія выйшла хутка
PS: ці можам мы абмяняцца спасылкамі? скажыце, калі вам спадабалася гэтая ідэя
Аўтаномны сканер WordPress MySQL?
Ці ёсць у наяўнасці інструмент, які можа сканаваць файл
аўтаномная табліца WordPress MySQL, экспартаваная з phpMyAdmin?
У нас ёсць база дадзеных WordPress MYSQL, якая, здаецца, ёсць
быў увядзенне SQL.