Mga Gabay ng Baguhan sa SQL Injection at Cross-Site Scripting

AtakeWala ako sa isang posisyon kung saan masyadong mag-alala ako tungkol sa seguridad, ngunit madalas kong marinig ang mga kahinaan na pinoprotektahan namin ang ating sarili. Tinanong ko lamang ang ilang matalinong arkitekto ng system at sinabi niya, "Oo, sakop kami.", At pagkatapos ay ang audit ng seguridad ay babalik malinis.

Gayunpaman, mayroong dalawang mga 'hack' ng seguridad o kahinaan na maaari mong mabasa tungkol sa maraming net sa mga araw na ito, SQL Injection at Cross-Site Scripting. Alam ko ang pareho at nabasa ko ang ilang mga 'techy' bulletin sa kanila, ngunit hindi isang totoong programmer, karaniwang maghihintay ako para sa mga pag-update sa seguridad o tiyakin lamang na ang mga taong kamalayan ay may kamalayan at magpapatuloy ako.

Ang dalawang kahinaan na ito ay mga bagay na dapat magkaroon ng kamalayan ng lahat, kahit na ang nagmemerkado. Ang simpleng pag-post ng isang simpleng web-form sa iyong website ay maaaring talagang buksan ang iyong system sa ilang mga hindi magandang bagay.

Brandon Wood ay gumawa ng isang mahusay na trabaho ng pagsulat ng Mga Gabay sa Baguhan sa parehong mga paksa na kahit na ikaw o maaari kong maunawaan:

  • SQL Injection
  • Cross-Site Scripting

5 Comments

  1. 1

    Wow, salamat sa post na Doug. Parang pinarangalan ako… 🙂

    Ang problemang inilalarawan mo ng hindi talaga alam kung paano makita ang mga ganitong uri ng kahinaan ay ang pinakamalaking problema na nakikita ko. Kung magpapakita ako ng isang programmer na hindi alam ang isang bagay tungkol sa seguridad ng isang piraso ng code at tanungin sila kung ligtas ito, syempre sasabihin nilang ligtas ito - hindi nila alam kung ano ang hinahanap nila!

    Ang totoong susi dito ay ang pagtuturo sa aming mga developer sa kung ano ang hahanapin, at kung paano ito ayusin. Iyon ang layunin sa likod ng aking dalawang artikulo.

  2. 2

    Maaaring hindi tamang lugar ngunit napagsabihan ang isang seryosong bagay.

    PS: Nais kong ipagbigay-alam tungkol sa isang Malaking panganib sa wordpress na nakita ko. Ang pangunahing hack nito sa WordPress na may panganib na 7/10. Hindi ako advertising ngunit tinitingnan ang aking post na html-injection-and-being -Hacked. Mangyaring ipaalam ang tungkol dito sa iba pang mga blogger. Nagkaroon ako ng isang pakikipag-usap kay Matt (WordPress) sa email tungkol dito

  3. 3
  4. 4

    Oo tapos na ngayon. Mahusay na ang susunod na bersyon ay mabilis na lumabas

    PS: maaari ba tayong magkaroon ng isang exchange exchange? sabihin mo sa akin kung gusto mo ang ideya

  5. 5

    Scanner ng offline na MySQL sa WordPress?

    Mayroon bang tool na magagamit na maaaring mag-scan ng
    offline na talahanayan ng MySQL ng WordPress ay na-export mula sa phpMyAdmin?

    Mayroon kaming isang database ng WordPress MYSQL na lilitaw na mayroon
    nagkaroon ng isang SQL injection.

Ano sa tingin ninyo?

Ang site na ito ay gumagamit ng Akismet upang mabawasan ang spam. Alamin kung paano naproseso ang data ng iyong komento.