Wala ako sa isang posisyon kung saan masyadong mag-alala ako tungkol sa seguridad, ngunit madalas kong marinig ang mga kahinaan na pinoprotektahan namin ang ating sarili. Tinanong ko lamang ang ilang matalinong arkitekto ng system at sinabi niya, "Oo, sakop kami.", At pagkatapos ay ang audit ng seguridad ay babalik malinis.
Gayunpaman, mayroong dalawang mga 'hack' ng seguridad o kahinaan na maaari mong mabasa tungkol sa marami sa net sa mga panahong ito, SQL Injection at Cross-Site Scripting. Alam ko ang pareho at nabasa ko ang ilang mga 'techy' bulletin sa kanila, ngunit hindi isang totoong programmer, karaniwang maghihintay ako para sa mga pag-update sa seguridad o tiyakin lamang na ang mga taong kamalayan ay may kamalayan at magpapatuloy ako.
Ang dalawang kahinaan na ito ay mga bagay na dapat magkaroon ng kamalayan ng lahat, kahit na ang nagmemerkado. Ang simpleng pag-post ng isang simpleng web-form sa iyong website ay maaaring talagang buksan ang iyong system sa ilang mga hindi magandang bagay.
Brandon Wood ay gumawa ng isang mahusay na trabaho ng pagsulat ng Mga Gabay ng Baguhan sa parehong mga paksa na kahit na ikaw o ako ay maaaring maunawaan:
- SQL Injection
- Cross-Site Scripting
Wow, salamat sa post na Doug. Parang pinarangalan ako… 🙂
Ang problemang inilalarawan mo ng hindi talaga alam kung paano makita ang mga ganitong uri ng kahinaan ay ang pinakamalaking problema na nakikita ko. Kung magpapakita ako ng isang programmer na hindi alam ang isang bagay tungkol sa seguridad ng isang piraso ng code at tanungin sila kung ligtas ito, syempre sasabihin nilang ligtas ito - hindi nila alam kung ano ang hinahanap nila!
Ang totoong susi dito ay ang pagtuturo sa aming mga developer sa kung ano ang hahanapin, at kung paano ito ayusin. Iyon ang layunin sa likod ng aking dalawang artikulo.
Maaaring hindi tamang lugar ngunit napagsabihan ang isang seryosong bagay.
PS: Nais kong ipagbigay-alam tungkol sa isang Malaking panganib sa wordpress na nakita ko. Ang pangunahing hack nito sa WordPress na may panganib na 7/10. Hindi ako advertising ngunit tinitingnan ang aking post na html-injection-and-being -Hacked. Mangyaring ipaalam ang tungkol dito sa iba pang mga blogger. Nagkaroon ako ng isang pakikipag-usap kay Matt (WordPress) sa email tungkol dito
Ashish,
Salamat sa pagpapaalam sa akin tungkol dito - nag-upgrade ako sa WordPress 2.0.6. Naniniwala akong inalagaan nito ang isyung ito.
Doug
Oo tapos na ngayon. Mahusay na ang susunod na bersyon ay mabilis na lumabas
PS: maaari ba tayong magkaroon ng isang exchange exchange? sabihin mo sa akin kung gusto mo ang ideya
Scanner ng offline na MySQL sa WordPress?
Mayroon bang tool na magagamit na maaaring mag-scan ng
offline na talahanayan ng MySQL ng WordPress ay na-export mula sa phpMyAdmin?
Mayroon kaming isang database ng WordPress MYSQL na lilitaw na mayroon
nagkaroon ng isang SQL injection.