Я не в таком положении, когда мне нужно слишком беспокоиться о безопасности, но я часто слышу об уязвимостях, от которых мы защищаемся. Я просто спрашиваю какого-нибудь архитектора интеллектуальной системы, и он говорит: «Да, мы покрыты», и затем аудит безопасности возвращается без ошибок.
Однако есть два «взлома» безопасности или уязвимости, о которых вы можете много читать в сети в наши дни: SQL-инъекция и межсайтовый скриптинг. Я знал об обоих и прочитал о них немало «технических» бюллетеней, но, не будучи настоящим программистом, я обычно ждал обновлений безопасности или просто проверял, осведомлены ли нужные люди, и продолжал.
Об этих двух уязвимостях должен знать каждый, даже маркетолог. Простое размещение простой веб-формы на вашем веб-сайте может действительно открыть вашу систему для некоторых неприятных вещей.
Брэндон Вуд проделал огромную работу по написанию руководств для начинающих по обеим темам, которые понятны даже вам или мне:
- SQL-инъекция
- Scripting Cross-Site
Вау, спасибо за пост Дуг. Я чувствую себя польщенным… 🙂
Описанная вами проблема, заключающаяся в том, что вы не знаете, как обнаружить эти типы уязвимостей, является самой большой проблемой, которую я вижу. Если я покажу программисту, ничего не смыслящему в безопасности, кусок кода и спрошу его, безопасен ли он, он, конечно же, скажет, что он безопасен — они не знают, что ищут!
Настоящим ключом здесь является обучение наших разработчиков тому, что искать и как это исправить. Это было целью двух моих статей.
Может быть, не в том месте, но пришел сообщить о серьезном событии.
PS: Я хотел бы сообщить о серьезном риске в WordPress, который я смог найти. Его серьезный взлом в WordPress имеет риск 7/10. Я не рекламирую, но посмотрите на мой пост html-injection-and-being -hacked.Пожалуйста, сообщите об этом другим блоггерам.Я разговаривал с Мэттом (WordPress) по электронной почте об этом
Ашиш,
Спасибо, что сообщили мне об этом — я обновился до WordPress 2.0.6. Я считаю, что он позаботился об этом вопросе.
Дуг
Да, все кончено. Здорово, что следующая версия вышла быстро
PS: можно обменяться ссылками? скажи мне, нравится ли тебе идея
Автономный сканер WordPress MySQL?
Есть ли инструмент, который может сканировать
автономная таблица WordPress MySQL, экспортированная из phpMyAdmin?
У нас есть база данных WordPress MYSQL, которая, по-видимому, имеет
была SQL-инъекция.