Ma ei ole olukorras, kus peaksin turvalisuse pärast liiga palju muretsema, kuid kuulen sageli haavatavustest, mille eest me ennast kaitseme. Ma lihtsalt küsin mõnelt intelligentselt süsteemiarhitektilt ja ta ütleb: "Jah, me oleme kaetud." Ja siis tuleb turvaaudit puhas.
Siiski on kaks turvahäkki või turvaauku, millest saate tänapäeval palju netist lugeda - SQL Injection ja saididevaheline skriptimine. Olin mõlemast teadlik olnud ja olen neilt lugenud üsna palju tehnilisi bülletääne, kuid kuna ma ei olnud tõeline programmeerija, ootasin tavaliselt turbevärskendusi või lihtsalt veendusin, et õiged inimesed olid sellest teadlikud ja läksin edasi.
Need kaks haavatavust on asjad, millest peaksid teadma kõik, isegi turundaja. Lihtsa veebivormi oma veebisaidile postitamine võib teie süsteemi tõeliselt avada.
Brandon Wood on teinud suurepärast tööd, kirjutades algajate juhendid mõlemale teemale, millest isegi teie või mina aru saame:
- SQL Injection
- Cross-Site Scripting
Oh, aitäh postituse eest, Doug. Tunnen end austatuna… 🙂
Teie kirjeldatud probleem, et tegelikult ei teata, kuidas seda tüüpi haavatavusi märgata, on suurim probleem, mida ma näen. Kui ma näitan programmeerijale, kes ei tea turvalisusest midagi, ja küsin temalt, kas see on turvaline, siis loomulikult ütleb ta, et see on turvaline – nad ei tea, mida nad otsivad!
Tõeline võti on siin arendajatele harida, mida otsida ja kuidas seda parandada. See oli minu kahe artikli eesmärk.
Ei pruugi olla õige koht, aga tulin tõsisest asjast teatama.
PS: Tahaksin teavitada WordPressi suurest riskist, mille suutsin leida. Selle suure häkkimise WordPressis on oht, et 7/10. Ma ei reklaami, kuid vaatan oma postitust html-injection-and-being -häkitud.Palun teavitage sellest teisi ajaveebipidajaid.Rääkisin Mattiga (WordPress) sellest meili teel
Ashish,
Täname, et mulle sellest teada andsite – läksin üle WordPressi versioonile 2.0.6. Usun, et see lahendas selle probleemi.
Doug
Jah, see on nüüd läbi. Tore, et järgmine versioon tuli kiiresti välja
PS: kas meil on linki vahetada? ütle mulle, kui sulle see idee meeldib
WordPress MySQL võrguühenduseta skanner?
Kas on olemas tööriist, mis saab skannida
Kas võrguühenduseta WordPressi MySQL-tabel eksporditi phpMyAdminist?
Meil on WordPressi MYSQL-i andmebaas, millel näib olevat
tegi SQL-i süsti.