Algajate juhised SQL-i sisestamise ja saididevahelise skriptimise kohta

rünnakMa ei ole olukorras, kus peaksin turvalisuse pärast liiga palju muretsema, kuid kuulen sageli haavatavustest, mille eest me ennast kaitseme. Ma lihtsalt küsin mõnelt intelligentselt süsteemiarhitektilt ja ta ütleb: "Jah, me oleme kaetud." Ja siis tuleb turvaaudit puhas.

Siiski on kaks turvahäkki või turvaauku, millest saate tänapäeval palju netist lugeda - SQL Injection ja saididevaheline skriptimine. Olin mõlemast teadlik olnud ja olen neilt lugenud üsna palju tehnilisi bülletääne, kuid kuna ma polnud tõeline programmeerija, ootasin tavaliselt turvavärskendusi või lihtsalt veendusin, et õiged inimesed olid sellest teadlikud ja läksin edasi.

Need kaks haavatavust on asjad, millest peaksid teadma kõik, isegi turundaja. Lihtsa veebivormi oma veebisaidile postitamine võib teie süsteemi tõeliselt avada.

Brandon Wood on teinud suurepärast tööd, kirjutades algajate juhendid mõlemale teemale, millest isegi teie või mina aru saame:

  • SQL Injection
  • Cross-Site Scripting

5 Kommentaarid

  1. 1

    Vau, aitäh postituse eest Doug. Tunnen au ... 🙂

    Teie kirjeldatud probleem, et te ei oska tegelikult seda tüüpi haavatavusi tuvastada, on suurim probleem, mida ma näen. Kui ma näitan programmeerijale, kes ei tea turvast midagi, küsin koodiosa ja küsin neilt, kas see on turvaline, ütlevad nad muidugi, et see on turvaline - nad ei tea, mida nad otsivad!

    Tõeline võti on siin meie arendajate koolitamine, mida otsida ja kuidas seda parandada. See oli minu kahe artikli taga.

  2. 2

    Ei pruugi olla õige koht, kuid tuli tõsisest asjast teatama.

    PS: Tahaksin teatada suurest riskist WordPressis, mille suutsin leida. Selle peamisel häkkimisel WordPressis on oht 7/10. Ma ei reklaami, aga vaatan oma postitust html-injection-and-being -häkkinud. Palun teavitage sellest teisi blogijaid. Mul oli sellest Mattiga (WordPress) e-posti teel juttu

  3. 3
  4. 4
  5. 5

    WordPressi MySQL-i võrguühenduseta skanner?

    Kas on olemas mõni tööriist, mis saab skannida
    phpMyAdminist eksporditud võrguühenduseta WordPressi MySQL-i tabel?

    Meil on olemas WordPressi MYSQL-i andmebaas
    oli SQL-i süst.

Mis sa arvad?

Sellel saidil kasutatakse rämpsposti vähendamiseks Akismetit. Vaadake, kuidas teie andmeid töödeldakse.