Водичи за почетнике за убризгавање СКЛ-а и скриптирање на више локација

НападНисам у позицији да морам превише да бринем о сигурности, али често чујем за рањивости од којих се штитимо. Једноставно питам неког интелигентног архитекту система, а он ми каже: „Да, покривени смо.“, А онда се ревизија безбедности враћа чиста.

Међутим, постоје два сигурносна „хаковања“ или рањивости о којима данас можете пуно прочитати на мрежи, СКЛ Ињецтион и Цросс-Сите Сцриптинг. Био сам упознат са обе ствари и прочитао сам поприлично „техничких“ билтена на њима, али пошто нисам прави програмер, обично бих сачекао безбедносна ажурирања или се само побринуо да то знају прави људи и кренуо бих даље.

Ове две рањивости су ствари којих би сви требали бити свесни, чак и продавац. Једноставно објављивање једноставног веб-обрасца на вашој веб локацији могло би заиста отворити ваш систем за неке гадне ствари.

Брандон Воод је сјајно одрадио писање Водича за почетнике за обе теме које чак и ви или ја можемо разумети:

  • СКЛ Ињецтион
  • Цросс-Сите Сцриптинг

Komentari

  1. 1

    Вау, хвала на посту Доуг. Осећам се почаствовано ... 🙂

    Проблем који описујете јер заправо не знате како да уочите ове врсте рањивости је највећи проблем који видим. Ако покажем програмеру који о сигурности ништа не зна, комад кода и питам га да ли је сигуран, наравно да ће рећи да је сигуран - они не знају шта траже!

    Прави кључ овде је едукација наших програмера о томе шта треба тражити и како то поправити. То је била сврха моја два чланка.

  2. 2

    Можда није право место, али је дошао да обавести озбиљну ствар.

    ПС: Желео бих да обавестим о великом ризику у вордпресс-у који сам успео да пронађем. Његов главни хак у вордпресс-у има ризик од 7/10. Не оглашавам се, али гледам свој пост хтмл-ињецтион-анд-беинг -хацкед.Молим вас, обавестите о томе друге блогере.Разговарао сам са Маттом (ВордПресс) на емаил о томе

  3. 3
  4. 4
  5. 5

Шта ви мислите?

Ова страница користи Акисмет како би смањила нежељену пошту. Сазнајте како се ваш коментар обрађује.