Кіраўніцтва для пачаткоўцаў па ўвядзенні SQL і стварэнні сцэнарыяў на розных сайтах

атакаЯ не ў стане, калі мне трэба занадта турбавацца пра бяспеку, але часта я чую пра ўразлівасці, ад якіх мы абараняемся. Я проста пытаюся ў нейкага інтэлектуальнага архітэктара сістэмы, і ён адказвае: "Так, мы ахоплены", і тады аўдыт бяспекі зноў чысты.

Аднак ёсць два "ўзломы" або ўразлівасці бяспекі, пра якія вы сёння можаце шмат прачытаць у сетцы, SQL Injection і Cross-Site Scripting. Я ведаў пра іх абодва і чытаў нямала "тэхнічных" бюлетэняў пра іх, але, не будучы сапраўдным праграмістам, я звычайна чакаю абнаўленняў бяспекі альбо проста пераконваюся, што пра гэта ведаюць патрэбныя людзі, і я пайду далей.

Гэтыя дзве ўразлівасці - рэчы, пра якія павінны ведаць усе, нават маркетолаг. Простае размяшчэнне простай вэб-формы на вашым вэб-сайце можа сапраўды адкрыць вашу сістэму да некалькіх непрыемных рэчаў.

Брэндон Вуд прарабіў вялікую працу, напісаўшы Кіраўніцтва для пачаткоўцаў па абедзвюх тэмах, якія разумееце нават вы ці я:

  • SQL-ін'екцыя
  • Крос-сайт сцэнарыяў

5 Каментары

  1. 1

    Ого, дзякуй за паведамленне Дуг. Я адчуваю гонар ...…

    Праблема, якую вы апісваеце, на самой справе не ведаючы, як выявіць такія ўразлівасці, - гэта самая вялікая праблема, якую я бачу. Калі я пакажу праграмісту, які нічога не ведае пра бяспеку, фрагмент кода і спытаю, ці бяспечны ён, яны, вядома, скажуць, што гэта бяспечна - яны не ведаюць, што шукаюць!

    Сапраўдны ключ тут - навучанне нашых распрацоўшчыкаў пра тое, што шукаць і як гэта выправіць. Гэта была мэта маіх двух артыкулаў.

  2. 2

    Магчыма, не ў патрэбным месцы, але прыйшоў паведаміць пра сур'ёзную рэч.

    PS: Я хацеў бы паведаміць пра асноўны рызыка ў wordpress, які мне ўдалося знайсці. Яго асноўны ўзлом у wordpress мае рызыку 7/10. Я не рэкламую, але гляджу на свой пост html-injection-and-being Калі ласка, паведамляйце пра гэта іншым блогерам. У мяне была размова з Мэтам (WordPress) па электроннай пошце пра гэта

  3. 3
  4. 4
  5. 5

    Аўтаномны сканер WordPress MySQL?

    Ці ёсць у наяўнасці інструмент, які можа сканаваць файл
    аўтаномная табліца WordPress MySQL, экспартаваная з phpMyAdmin?

    У нас ёсць база дадзеных WordPress MYSQL, якая, здаецца, ёсць
    быў увядзенне SQL.

Што вы думаеце?

Гэты сайт выкарыстоўвае Akismet для барацьбы са спамам. Даведайцеся, як дадзеныя апрацоўваюцца каментар.