Příručky pro začátečníky k SQL Injection a Cross-Site Scripting

ÚtokNejsem v situaci, kdy bych se musel příliš starat o bezpečnost, ale často slyším o zranitelnostech, před kterými se chráníme. Jednoduše se zeptám nějakého inteligentního systémového architekta a ten řekne: „Ano, jsme krytí.“ A poté se bezpečnostní audit vrátí čistý.

Existují však dva bezpečnostní „hacky“ nebo slabá místa, o kterých si dnes můžete přečíst mnoho na internetu, SQL Injection a Cross-Site Scripting. Věděl jsem o obou a četl jsem o nich docela dost „technických“ bulletinů, ale nebyl jsem opravdovým programátorem, obvykle bych čekal na bezpečnostní aktualizace nebo se jen ujistil, že to vědí správní lidé, a pokračoval bych dál.

Tyto dvě chyby zabezpečení by si měli být vědomi všichni, dokonce i obchodník. Pouhé zveřejnění jednoduchého webového formuláře na vašem webu může skutečně otevřít váš systém až k některým ošklivým věcem.

Brandon Wood odvedl skvělou práci při psaní příruček pro začátečníky k oběma tématům, kterým rozumíme i vy nebo já:

  • SQL Injection
  • Skriptování mezi pracovišti

5 Komentáře

  1. 1

    Páni, díky za příspěvek Doug. Cítím se poctěn ... 🙂

    Problém, který popisujete ve skutečnosti, že nevíte, jak rozpoznat tyto typy zranitelností, je největší problém, který vidím. Pokud ukážu programátorovi, který o zabezpečení nic neví, a zeptám se ho, jestli je zabezpečený, samozřejmě řeknou, že je zabezpečený - nevědí, co hledají!

    Skutečným klíčem je vzdělávání našich vývojářů v tom, co hledat a jak to opravit. To byl účel mých dvou článků.

  2. 2

    Možná to nebylo správné místo, ale přišlo oznámit vážnou věc.

    PS: Chtěl bych upozornit na hlavní riziko ve wordpressu, které jsem byl schopen najít. Jeho hlavní hack ve wordpressu s rizikem 7/10. Nejsem reklama, ale podívejte se na můj příspěvek html-injection-and-being -hacked. Prosím, informujte o tom ostatní bloggery. Mluvil jsem o tom s Mattem (WordPress) na e-mailu

  3. 3
  4. 4
  5. 5

    WordPress MySQL offline skener?

    Existuje nástroj, který je k dispozici pro skenování
    offline WordPress MySQL tabulka exportovaná z phpMyAdmin?

    Máme databázi WordPress MYSQL, která vypadá, že má
    měl injekci SQL.

Co si myslíte?

Tyto stránky používají Akismet k omezení spamu. Zjistěte, jak jsou vaše údaje komentářů zpracovávány.