Водичи за почетнике за убризгавање СКЛ-а и скриптирање на више локација

НападНисам у позицији да морам превише да бринем о сигурности, али често чујем за рањивости од којих се штитимо. Једноставно питам неког интелигентног архитекту система, а он ми каже: „Да, покривени смо.“, А онда се ревизија безбедности враћа чиста.

Међутим, постоје два сигурносна „хаковања“ или рањивости о којима данас можете пуно прочитати на мрежи, СКЛ Ињецтион и Цросс-Сите Сцриптинг. Био сам упознат са обе ствари и прочитао сам поприлично „техничких“ билтена на њима, али пошто нисам прави програмер, обично бих сачекао безбедносна ажурирања или се само побринуо да то знају прави људи и кренуо даље.

Ове две рањивости су ствари којих би сви требали бити свесни, чак и продавац. Једноставно објављивање једноставног веб-обрасца на вашој веб локацији могло би заиста отворити ваш систем за неке гадне ствари.

Брандон Воод је сјајно одрадио писање Водича за почетнике за обе теме које чак и ви или ја можемо разумети:

  • СКЛ Ињецтион
  • Цросс-Сите Сцриптинг

Komentari

  1. 1

    Вау, хвала за пост Доуг. Осећам се почашћено… 🙂

    Проблем који описујете да заправо не знате како да уочите ове врсте рањивости је највећи проблем који видим. Ако програмеру који не зна ништа о безбедности покажем део кода и питам га да ли је безбедан, наравно да ће рећи да је безбедан – не знају шта траже!

    Прави кључ овде је едукација наших програмера о томе шта да траже и како да то поправе. То је била сврха моја два чланка.

  2. 2

    Можда није право место, али дошао сам да обавестим озбиљну ствар.

    ПС: Желео бих да обавестим о великом ризику у вордпресс-у који сам успео да пронађем. Његов главни хак у вордпресс-у има ризик од 7/10. Не рекламирам се, али погледајте свој пост хтмл-ињецтион-анд-беинг -хаковано. Обавестите друге блогере о овоме. Разговарао сам са Метом (ВордПресс) на имејлу о томе

  3. 3
  4. 4
  5. 5

    ВордПресс МиСКЛ офлајн скенер?

    Да ли постоји алатка која може да скенира ан
    ван мреже ВордПресс МиСКЛ табела извезена из пхпМиАдмин-а?

    Имамо ВордПресс МИСКЛ базу података која изгледа да има
    имао СКЛ ињекцију.

Шта ви мислите?

Ова страница користи Акисмет како би смањила нежељену пошту. Сазнајте како се ваш коментар обрађује.