Ръководства за начинаещи за SQL инжектиране и скриптове между сайтове

АтакаНе съм в позиция, в която трябва да се притеснявам твърде много за сигурността, но често чувам за уязвимости, от които се предпазваме. Просто питам някой интелигентен системен архитект и той казва: „Да, ние сме покрити.“, А след това одитът за сигурност се връща чист.

Има обаче две „хакове“ или уязвимости за сигурността, за които днес можете да прочетете много в мрежата, SQL Injection и Cross-Site Scripting. Бях наясно и с двете, и прочетох доста „технични“ бюлетини за тях, но не като истински програмист, обикновено изчаквах актуализации на защитата или просто се уверявах, че правилните хора са наясно и бих продължил напред.

Тези две уязвимости са неща, за които всеки трябва да е наясно, дори и маркетологът. Простото публикуване на проста уеб форма на вашия уебсайт наистина може да отвори вашата система до някои гадни неща.

Брандън Ууд свърши чудесна работа по написването на Ръководства за начинаещи и по двете теми, които дори вие или аз можем да разберем:

  • SQL Injection
  • Scripting Cross-Site

5 Коментари

  1. 1

    Леле, благодаря за поста Дъг. Чувствам се чест ... 🙂

    Проблемът, който описвате, че всъщност не знаете как да откриете тези видове уязвимости, е най-големият проблем, който виждам. Ако покажа на програмист, който не знае нищо за сигурността, парче код и ги попитам дали е сигурно, разбира се, те ще кажат, че е сигурно - те не знаят какво търсят!

    Истинският ключ тук е обучението на нашите разработчици за това какво да търсят и как да го поправят. Това беше целта зад двете ми статии.

  2. 2

    Може да не е точното място, но дойде да уведоми сериозно нещо.

    PS: Бих искал да уведомя за основен риск в wordpress, който успях да намеря. Основният му хак в wordpress има риск от 7/10. Не рекламирам, но разглеждам моя пост html-injection-and-being -hacked. Моля, уведомете за това на други блогъри. Имах разговор с Мат (WordPress) по имейл за това

  3. 3
  4. 4
  5. 5

    Офлайн скенер на WordPress MySQL?

    Има ли наличен инструмент, който може да сканира
    офлайн таблица на WordPress MySQL, изнесена от phpMyAdmin?

    Имаме база данни на WordPress MYSQL, която изглежда има
    е имал SQL инжекция.

Какво мислите?

Този сайт използва Akismet за намаляване на спама. Научете как се обработват данните за коментарите ви.