Нисам у позицији да морам превише да бринем о сигурности, али често чујем за рањивости од којих се штитимо. Једноставно питам неког интелигентног архитекту система, а он ми каже: „Да, покривени смо.“, А онда се ревизија безбедности враћа чиста.
Међутим, постоје два сигурносна „хаковања“ или рањивости о којима данас можете пуно прочитати на мрежи, СКЛ Ињецтион и Цросс-Сите Сцриптинг. Био сам упознат са обе ствари и прочитао сам поприлично „техничких“ билтена на њима, али пошто нисам прави програмер, обично бих сачекао безбедносна ажурирања или се само побринуо да то знају прави људи и кренуо даље.
Ове две рањивости су ствари којих би сви требали бити свесни, чак и продавац. Једноставно објављивање једноставног веб-обрасца на вашој веб локацији могло би заиста отворити ваш систем за неке гадне ствари.
Брандон Воод је сјајно одрадио писање Водича за почетнике за обе теме које чак и ви или ја можемо разумети:
- СКЛ Ињецтион
- Цросс-Сите Сцриптинг
Вау, хвала за пост Доуг. Осећам се почашћено… 🙂
Проблем који описујете да заправо не знате како да уочите ове врсте рањивости је највећи проблем који видим. Ако програмеру који не зна ништа о безбедности покажем део кода и питам га да ли је безбедан, наравно да ће рећи да је безбедан – не знају шта траже!
Прави кључ овде је едукација наших програмера о томе шта да траже и како да то поправе. То је била сврха моја два чланка.
Можда није право место, али дошао сам да обавестим озбиљну ствар.
ПС: Желео бих да обавестим о великом ризику у вордпресс-у који сам успео да пронађем. Његов главни хак у вордпресс-у има ризик од 7/10. Не рекламирам се, али погледајте свој пост хтмл-ињецтион-анд-беинг -хаковано. Обавестите друге блогере о овоме. Разговарао сам са Метом (ВордПресс) на имејлу о томе
Асхисх,
Хвала што сте ме обавестили о овоме – надоградио сам на ВордПресс 2.0.6. Верујем да је решио ово питање.
Даг
Да, сада је готово. Одлично што је следећа верзија брзо изашла
ПС: можемо ли да имамо размену линкова? реци ми да ли ти се свиђа идеја
ВордПресс МиСКЛ офлајн скенер?
Да ли постоји алатка која може да скенира ан
ван мреже ВордПресс МиСКЛ табела извезена из пхпМиАдмин-а?
Имамо ВордПресс МИСКЛ базу података која изгледа да има
имао СКЛ ињекцију.