Не съм в позиция, в която трябва да се притеснявам твърде много за сигурността, но често чувам за уязвимости, от които се предпазваме. Просто питам някой интелигентен системен архитект и той казва: „Да, ние сме покрити.“, А след това одитът за сигурност се връща чист.
Има обаче две „хакове“ или уязвимости за сигурността, за които днес можете да прочетете много в мрежата, SQL Injection и Cross-Site Scripting. Бях наясно и с двете, и прочетох доста „технични“ бюлетини за тях, но не като истински програмист, обикновено изчаквах актуализации на защитата или просто се уверявах, че правилните хора са наясно и бих продължил напред.
Тези две уязвимости са неща, за които всеки трябва да е наясно, дори и маркетологът. Простото публикуване на проста уеб форма на вашия уебсайт наистина може да отвори вашата система до някои гадни неща.
Брандън Ууд свърши чудесна работа по написването на Ръководства за начинаещи и по двете теми, които дори вие или аз можем да разберем:
- SQL Injection
- Scripting Cross-Site
Леле, благодаря за поста Дъг. Чувствам се чест ... 🙂
Проблемът, който описвате, че всъщност не знаете как да откриете тези видове уязвимости, е най-големият проблем, който виждам. Ако покажа на програмист, който не знае нищо за сигурността, парче код и ги попитам дали е сигурно, разбира се, те ще кажат, че е сигурно - те не знаят какво търсят!
Истинският ключ тук е обучението на нашите разработчици за това какво да търсят и как да го поправят. Това беше целта зад двете ми статии.
Може да не е точното място, но дойде да уведоми сериозно нещо.
PS: Бих искал да уведомя за основен риск в wordpress, който успях да намеря. Основният му хак в wordpress има риск от 7/10. Не рекламирам, но разглеждам моя пост html-injection-and-being -hacked. Моля, уведомете за това на други блогъри. Имах разговор с Мат (WordPress) по имейл за това
Ашиш,
Благодаря, че ме уведомихте за това - надстроих до WordPress 2.0.6. Вярвам, че се е погрижил за този проблем.
Дъг
Да, свърши сега. Страхотно е, че следващата версия излезе бързо
PS: можем ли да имаме обмен на връзки? кажете ми дали идеята ви харесва
Офлайн скенер на WordPress MySQL?
Има ли наличен инструмент, който може да сканира
офлайн таблица на WordPress MySQL, изнесена от phpMyAdmin?
Имаме база данни на WordPress MYSQL, която изглежда има
е имал SQL инжекция.