Guías para principiantes de inxección SQL e script entre sitios

AtacarNon estou nunha situación na que teña que preocuparme demasiado pola seguridade, pero moitas veces escoito falar de vulnerabilidades das que nos protexemos. Simplemente pregúntolle a algún arquitecto de sistema intelixente e el di: "Si, estamos cubertos" e despois a auditoría de seguridade volve estar limpa.

Non obstante, hai dous "hacks" ou vulnerabilidades de seguridade que pode ler moito na rede nestes días, SQL Injection e Cross-Site Scripting. Tiña coñecemento de ambos e lera bastantes boletíns "técnicos" neles, pero ao non ser un verdadeiro programador, normalmente agardaría por actualizacións de seguridade ou só estaría seguro de que a xente adecuada o coñecía e seguiría adiante.

Estas dúas vulnerabilidades son cousas das que todo o mundo debería ser consciente, incluso o comerciante. Simplemente publicar un sinxelo formulario web no seu sitio web pode realmente abrir o seu sistema a algunhas cousas desagradables.

Brandon Wood fixo un gran traballo escribindo Guías para principiantes de ambos temas que ata ti ou eu podemos entender:

  • Inxección SQL
  • Script entre sitios

5 Comentarios

  1. 1

    Vaia, grazas polo post Doug. Síntome honrado ... 🙂

    O problema que describes de non saber realmente detectar este tipo de vulnerabilidades é o maior problema que vexo. Se mostro un anaco de código a un programador que non sabe nada de seguridade e pregúntolles se é seguro, por suposto van dicir que é seguro; non saben o que están a buscar.

    A verdadeira clave aquí é educar aos nosos desenvolvedores sobre que buscar e como solucionalo. Ese era o propósito detrás dos meus dous artigos.

  2. 2

    Pode que non sexa o lugar axeitado, pero chegou a notificar unha cousa seria.

    PD: gustaríame notificar sobre un risco importante en wordpress que puiden atopar. O seu maior pirateo en wordpress ten un risco de 7/10. -hacked. Por favor, notifíqueo a outros blogueiros. Tiven unha conversa con Matt (WordPress) por correo electrónico sobre iso

  3. 3
  4. 4
  5. 5

    Escáner sen conexión de WordPress MySQL?

    Hai algunha ferramenta dispoñible que poida escanear un
    táboa MySQL sen conexión de WordPress exportada desde phpMyAdmin?

    Temos unha base de datos MYSQL de WordPress que parece ter
    tivo unha inxección SQL.

¿Que pensas?

Este sitio usa Akismet para reducir o spam. Aprende a procesar os teus datos de comentarios.