Guías para principiantes de inxección SQL e script entre sitios

AtacarNon estou nunha situación na que me teña que preocupar demasiado pola seguridade, pero moitas veces escoito falar de vulnerabilidades das que nos protexemos. Simplemente pregúntolle a algún arquitecto de sistema intelixente e el di: "Si, estamos cubertos" e despois a auditoría de seguridade volve estar limpa.

Non obstante, hai dous "hacks" ou vulnerabilidades de seguridade que pode ler moito na rede nestes días, SQL Injection e Cross-Site Scripting. Eu tivera coñecemento de ambos e lera bastantes boletíns "técnicos" neles, pero ao non ser un verdadeiro programador, normalmente agardaría por actualizacións de seguridade ou só estaría seguro de que a xente adecuada o coñecía e seguiría adiante.

Estas dúas vulnerabilidades son cousas das que todo o mundo debería ser consciente, incluso o comerciante. Simplemente publicar un sinxelo formulario web no seu sitio web pode realmente abrir o seu sistema a algunhas cousas desagradables.

Brandon Wood fixo un gran traballo escribindo Guías para principiantes de ambos temas que ata ti ou eu podemos entender:

  • Inxección SQL
  • Script entre sitios

5 Comentarios

  1. 1

    Vaia, grazas pola publicación Doug. Síntome honrado... 🙂

    O problema que describes de non saber realmente como detectar este tipo de vulnerabilidades é o maior problema que vexo. Se lle mostro un anaco de código a un programador que non sabe nada de seguridade e lle pregunto se é seguro, por suposto que dirá que é seguro: non saben o que están a buscar.

    A verdadeira clave aquí é educar aos nosos desenvolvedores sobre o que buscar e como solucionalo. Ese foi o propósito dos meus dous artigos.

  2. 2

    Quizais non sexa o lugar adecuado, pero veu notificar algo serio.

    PD: Gustaríame informar sobre un risco maior en wordpress que puiden atopar. O seu principal hack en wordpress ten un risco de 7/10. Non estou anunciando, pero miro a miña publicación html-injection-and-being -hacked.Por favor, notifique isto a outros bloggers. Tiven unha conversa con Matt (WordPress) por correo electrónico sobre iso

  3. 3
  4. 4
  5. 5

    Escáner offline de WordPress MySQL?

    Existe algunha ferramenta dispoñible que poida escanear un
    Táboa MySQL de WordPress sen conexión exportada desde phpMyAdmin?

    Temos unha base de datos MYSQL de WordPress que parece ter
    tiña unha inxección SQL.

¿Que pensas?

Este sitio usa Akismet para reducir o spam. Aprende a procesar os teus datos de comentarios.