Guías para principiantes sobre inyección SQL y secuencias de comandos entre sitios

AtaqueNo estoy en una posición en la que tenga que preocuparme demasiado por la seguridad, pero a menudo escucho sobre vulnerabilidades de las que nos estamos protegiendo. Simplemente le pregunto a algún arquitecto de sistemas inteligentes y él dice: "Sí, estamos cubiertos", y luego la auditoría de seguridad vuelve limpia.

Sin embargo, hay dos 'hacks' de seguridad o vulnerabilidades sobre las que puede leer mucho en la red en estos días, SQL Injection y Cross-Site Scripting. Había estado al tanto de ambos y había leído bastantes boletines 'técnicos' sobre ellos, pero al no ser un verdadero programador, generalmente esperaba actualizaciones de seguridad o simplemente me aseguraba de que las personas adecuadas estuvieran al tanto y seguiría adelante.

Sin embargo, estas dos vulnerabilidades son cosas que todo el mundo debería conocer, incluso el especialista en marketing. Simplemente publicar un formulario web simple en su sitio web realmente podría abrir su sistema a algunas cosas desagradables.

Brandon Wood ha hecho un gran trabajo escribiendo Guías para principiantes sobre ambos temas que incluso tú o yo podemos entender:

  • SQL Injection
  • Cross-site scripting

5 Comentarios

  1. 1

    Vaya, gracias por la publicación Doug. Me siento honrado ... 🙂

    El problema que describe de no saber realmente cómo detectar este tipo de vulnerabilidades es el mayor problema que veo. Si le muestro un código a un programador que no sabe nada sobre seguridad y le pregunto si es seguro, por supuesto que va a decir que es seguro, ¡no sabe lo que está buscando!

    La verdadera clave aquí es educar a nuestros desarrolladores sobre qué buscar y cómo solucionarlo. Ese era el propósito de mis dos artículos.

  2. 2

    Puede que no sea el lugar adecuado, pero llegó a notificar algo grave.

    PD: Me gustaría notificar sobre un riesgo importante en wordpress que pude encontrar. Su principal hack en wordpress tiene un riesgo de 7/10. No estoy publicitando, pero mire mi publicación html-injection-and-being -hacked. Por favor notifique sobre esto a otros bloggers. Tuve una charla con Matt (WordPress) por correo electrónico al respecto.

  3. 3
  4. 4
  5. 5

    ¿Escáner sin conexión WordPress MySQL?

    ¿Hay alguna herramienta disponible que pueda escanear un
    ¿Tabla de WordPress MySQL sin conexión exportada desde phpMyAdmin?

    Tenemos una base de datos WordPress MYSQL que parece tener
    tenía una inyección SQL.

¿Qué piensas?

Este sitio usa Akismet para reducir el correo no deseado. Descubra cómo se procesan los datos de sus comentarios.