מדריכים למתחילים להזרקת SQL וסקריפטים בין אתרים

לִתְקוֹףאני לא במצב שאני צריך לדאוג יותר מדי לביטחון, אבל לעתים קרובות אני שומע על נקודות תורפה שאנחנו מגנים עליהן. אני פשוט שואל איזה אדריכל מערכות חכם והוא אומר, "כן, אנחנו מכוסים." ואז ביקורת האבטחה חוזרת נקייה.

עם זאת, ישנם שני 'פריצות' אבטחה או נקודות תורפה עליהן תוכלו לקרוא רבות ברשת בימינו, הזרקת SQL וסקריפטים בין אתרים. הייתי מודע לשניהם וקראתי עליהם לא מעט עלוני 'טכניים', אך לא הייתי מתכנת אמיתי, בדרך כלל הייתי מחכה לעדכוני אבטחה או פשוט מוודא שהאנשים הנכונים מודעים ואמשיך הלאה.

שתי נקודות תורפה אלה הן דברים שכולם צריכים להיות מודעים אליהם, אפילו המשווקים. פשוט פרסום טופס אינטרנט פשוט באתר שלך יכול באמת לפתוח את המערכת שלך בפני כמה דברים מגעילים.

ברנדון ווד עשתה עבודה נהדרת בכתיבת מדריכים למתחילים לשני הנושאים שאפילו אתה או אני יכולים להבין:

  • SQL Injection
  • Cross-Site Scripting

תגובות 5

  1. 1

    וואו, תודה על הפוסט דאג. אני מרגיש כבוד... 🙂

    הבעיה שאתה מתאר של לא ממש לדעת איך לזהות את סוגי הפגיעות האלה היא הבעיה הכי גדולה שאני רואה. אם אני מראה למתכנת שלא יודע כלום על אבטחה קטע קוד ואשאל אותו אם זה מאובטח, כמובן שהם יגידו שזה מאובטח - הם לא יודעים מה הם מחפשים!

    המפתח האמיתי כאן הוא חינוך המפתחים שלנו מה לחפש ואיך לתקן את זה. זו הייתה המטרה מאחורי שני המאמרים שלי.

  2. 2

    אולי זה לא המקום הנכון אבל בא להודיע ​​על דבר רציני.

    נ.ב.: אני רוצה להודיע ​​על סיכון גדול בוורדפרס שהצלחתי למצוא. הפריצה העיקרית שלו בוורדפרס עם סיכון של 7/10. אני לא מפרסם אבל תסתכל על הפוסט שלי html-injection-and-being -פרוץ. נא להודיע ​​על כך לבלוגרים אחרים. שוחחתי עם מאט (WordPress) במייל על כך

  3. 3
  4. 4
  5. 5

    סורק MySQL לא מקוון של WordPress?

    האם יש כלי זמין שיכול לסרוק א
    טבלת וורדפרס MySQL לא מקוונת מיוצאת מ-phpMyAdmin?

    יש לנו מסד נתונים של וורדפרס MYSQL שנראה שיש לו
    הייתה הזרקת SQL.

מה אתה חושב?

אתר זה משתמש Akismet כדי להפחית דואר זבל. למד כיצד הנתונים שלך מעובדים.