Руководства для начинающих по внедрению SQL и межсайтовым скриптам

АтакаЯ не в таком положении, когда мне нужно слишком беспокоиться о безопасности, но я часто слышу об уязвимостях, от которых мы защищаемся. Я просто спрашиваю какого-нибудь архитектора интеллектуальной системы, и он говорит: «Да, мы покрыты», и затем аудит безопасности возвращается без ошибок.

Однако есть два «взлома» безопасности или уязвимости, о которых вы можете много читать в сети в наши дни: SQL-инъекция и межсайтовый скриптинг. Я знал об обоих и прочитал о них немало «технических» бюллетеней, но, не будучи настоящим программистом, я обычно ждал обновлений безопасности или просто проверял, знают ли нужные люди, и продолжал.

Об этих двух уязвимостях должен знать каждый, даже маркетолог. Простое размещение простой веб-формы на вашем веб-сайте может действительно открыть вашу систему для некоторых неприятных вещей.

Брэндон Вуд проделал огромную работу по написанию руководств для начинающих по обеим темам, которые понятны даже вам или мне:

  • SQL-инъекция
  • Scripting Cross-Site

5 комментариев

  1. 1

    Вау, спасибо за сообщение, Дуг. Для меня большая честь… 🙂

    Проблема, которую вы описываете, заключающаяся в незнании того, как обнаружить эти типы уязвимостей, является самой большой проблемой, которую я вижу. Если я покажу программисту, который ничего не знает о безопасности, фрагмент кода и спрошу его, безопасен ли он, конечно, они скажут, что он безопасен - они не знают, что ищут!

    Настоящий ключ здесь - обучить наших разработчиков тому, что искать и как это исправить. Это было целью моих двух статей.

  2. 2

    Может быть, это не то место, но пришло известить о серьезном.

    PS: Я хотел бы сообщить о серьезном риске в wordpress, который мне удалось найти. Это серьезный взлом в wordpress с риском 7/10. Я не рекламирую, но смотрю свой пост html-injection-and-being -hacked.Пожалуйста, сообщите об этом другим блоггерам.Я говорил об этом с Мэттом (WordPress) по электронной почте

  3. 3
  4. 4
  5. 5

    Автономный сканер WordPress MySQL?

    Есть ли инструмент, который может сканировать
    автономная таблица MySQL MySQL, экспортированная из phpMyAdmin?

    У нас есть база данных WordPress MYSQL, в которой, похоже,
    была инъекция SQL.

Как вы думаете?

Этот сайт использует Akismet для уменьшения количества спама. Узнайте, как обрабатываются ваши данные комментариев.