Guide per principianti a SQL Injection e Cross-Site Scripting

attaccoNon sono in una posizione in cui devo preoccuparmi troppo della sicurezza, ma spesso sento parlare di vulnerabilità da cui ci stiamo proteggendo. Chiedo semplicemente a un architetto di sistemi intelligente e lui dice: "Sì, siamo coperti.", E poi l'audit di sicurezza torna pulito.

Tuttavia, ci sono due "hack" o vulnerabilità di sicurezza di cui si può leggere molto in rete oggigiorno, SQL Injection e Cross-Site Scripting. Ero a conoscenza di entrambi e avevo letto parecchi bollettini "tecnici" su di essi, ma non essendo un vero programmatore, di solito aspettavo gli aggiornamenti di sicurezza o semplicemente mi assicuravo che le persone giuste fossero consapevoli e sarei andato avanti.

Queste due vulnerabilità sono cose di cui tutti dovrebbero essere consapevoli, anche il marketing. La semplice pubblicazione di un semplice modulo web sul tuo sito web potrebbe davvero aprire il tuo sistema ad alcune cose brutte.

Brandon Wood ha fatto un ottimo lavoro nello scrivere guide per principianti su entrambi gli argomenti che anche tu o io possiamo capire:

  • SQL Injection
  • Cross-site scripting

Commenti

  1. 1

    Wow, grazie per il post Doug. Mi sento onorato... 🙂

    Il problema che descrivi di non sapere davvero come individuare questi tipi di vulnerabilità è il problema più grande che vedo. Se mostro a un programmatore che non sa niente di sicurezza un pezzo di codice e chiedo loro se è sicuro, ovviamente diranno che è sicuro - non sanno cosa stanno cercando!

    La vera chiave qui è educare i nostri sviluppatori su cosa cercare e come risolverlo. Questo era lo scopo dietro i miei due articoli.

  2. 2

    Potrebbe non essere il posto giusto, ma è venuto a notificare una cosa seria.

    PS: vorrei avvisare di un rischio maggiore in wordpress che sono stato in grado di trovare. Il suo principale hack in wordpress ha un rischio di 7/10. Non sto facendo pubblicità, ma guardo il mio post html-injection-and-being -hacked. Si prega di avvisare su questo ad altri blogger. Ne ho parlato con Matt (WordPress) via e-mail

  3. 3
  4. 4
  5. 5

    Scanner offline MySQL di WordPress?

    È disponibile uno strumento in grado di scansionare un file
    tabella MySQL offline di WordPress esportata da phpMyAdmin?

    Abbiamo un database MySQL di WordPress che sembra avere
    aveva un'iniezione SQL.

Cosa ne pensi?

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati dei tuoi commenti.