Pradedančiųjų žinutės apie SQL injekcijas ir scenarijus tarp svetainių

PultiNesu tokioje padėtyje, kur turėčiau per daug jaudintis dėl saugumo, tačiau dažnai girdžiu apie pažeidžiamumus, nuo kurių mes saugomės. Paprasčiausiai paklausiu intelektualaus sistemos architekto ir jis sako: „Taip, mes esame apdrausti“. Tada saugumo auditas grįš švarus.

Tačiau šiais laikais internete galima daug perskaityti du saugumo „įsilaužimus“ ar pažeidžiamumus - „SQL Injection“ ir „Cross-Site Scripting“. Aš žinojau apie abu dalykus ir perskaičiau nemažai „techniškų“ biuletenių, tačiau nebūdamas tikras programuotojas, paprastai laukdavau saugos naujinių arba tiesiog įsitikindavau, kad teisingi žmonės žino ir einu toliau.

Šie du pažeidžiamumai yra dalykai, apie kuriuos turėtų žinoti visi, net ir rinkodaros specialistai. Paprasčiausiai paskelbus paprastą internetinę formą savo svetainėje, jūsų sistema gali būti atvira kai kuriems nemaloniems dalykams.

Brandonas Woodas puikiai padirbėjo parašydamas pradedančiųjų vadovus abiem temoms, kurias suprantate net jūs arba aš:

  • SQL injekcija
  • Cross-site scripting

5 komentarai

  1. 1

    Oho, ačiū už įrašą Dougas. Jaučiuosi pagerbta... 🙂

    Jūsų aprašyta problema, kai iš tikrųjų nežinote, kaip pastebėti tokio tipo pažeidžiamumą, yra didžiausia problema, kurią matau. Jei programuotojui, kuris nieko neišmano apie saugą, parodysiu kodo fragmentą ir paklausiu, ar jis saugus, žinoma, jie pasakys, kad tai saugu – jie nežino, ko ieško!

    Svarbiausia yra mokyti kūrėjus, ko ieškoti ir kaip tai ištaisyti. Toks buvo mano dviejų straipsnių tikslas.

  2. 2

    Galbūt tai netinkama vieta, bet atėjau pranešti apie rimtą dalyką.

    PS: Norėčiau pranešti apie didelę WordPress riziką, kurią man pavyko rasti. Jo pagrindinis įsilaužimas į WordPress gali būti 7/10. Aš nereklamuoju, bet pažiūriu į savo įrašą html-injection-and-being - nulaužtas. Praneškite apie tai kitiems tinklaraštininkams. Apie tai el. paštu kalbėjausi su Mattu (WordPress)

  3. 3
  4. 4
  5. 5

    „WordPress MySQL“ skaitytuvas neprisijungus?

    Ar yra įrankis, galintis nuskaityti
    neprisijungus WordPress MySQL lentelė eksportuota iš phpMyAdmin?

    Atrodo, kad turime WordPress MYSQL duomenų bazę
    turėjo SQL injekciją.

Ką manote?

Ši svetainė naudoja "Akismet", kad sumažintų šlamštą. Sužinokite, kaip apdorojamas jūsų komentaras.