No estoy en una posición en la que tenga que preocuparme demasiado por la seguridad, pero a menudo escucho sobre vulnerabilidades de las que nos estamos protegiendo. Simplemente le pregunto a algún arquitecto de sistemas inteligentes y él dice: "Sí, estamos cubiertos", y luego la auditoría de seguridad vuelve limpia.
Sin embargo, hay dos 'hacks' de seguridad o vulnerabilidades sobre las que puede leer mucho en la red en estos días, SQL Injection y Cross-Site Scripting. Había estado al tanto de ambos y había leído bastantes boletines 'técnicos' sobre ellos, pero al no ser un verdadero programador, generalmente esperaba actualizaciones de seguridad o simplemente me aseguraba de que las personas adecuadas estuvieran al tanto y seguiría adelante.
Sin embargo, estas dos vulnerabilidades son cosas que todo el mundo debería conocer, incluso el especialista en marketing. Simplemente publicar un formulario web simple en su sitio web realmente podría abrir su sistema a algunas cosas desagradables.
madera brandon ha hecho un gran trabajo escribiendo Guías para principiantes sobre ambos temas que incluso tú o yo podemos entender:
- SQL Injection
- Cross-site scripting
Vaya, gracias por la publicación Doug. Me siento honrado ... 🙂
El problema que describe de no saber realmente cómo detectar este tipo de vulnerabilidades es el mayor problema que veo. Si le muestro un código a un programador que no sabe nada sobre seguridad y le pregunto si es seguro, por supuesto que va a decir que es seguro, ¡no sabe lo que está buscando!
La verdadera clave aquí es educar a nuestros desarrolladores sobre qué buscar y cómo solucionarlo. Ese era el propósito de mis dos artículos.
Puede que no sea el lugar adecuado, pero llegó a notificar algo grave.
PD: Me gustaría notificar sobre un riesgo importante en wordpress que pude encontrar. Su principal hack en wordpress tiene un riesgo de 7/10. No estoy publicitando, pero mire mi publicación html-injection-and-being -hacked. Por favor notifique sobre esto a otros bloggers. Tuve una charla con Matt (WordPress) por correo electrónico al respecto.
Ashish,
Gracias por informarme sobre esto. Actualicé a WordPress 2.0.6. Creo que se ocupó de este problema.
Doug
Sí, se acabó, es genial que la próxima versión haya salido rápido
PD: ¿podemos tener un intercambio de enlaces? dime si te gusta la idea
¿Escáner sin conexión WordPress MySQL?
¿Hay alguna herramienta disponible que pueda escanear un
¿Tabla de WordPress MySQL sin conexión exportada desde phpMyAdmin?
Tenemos una base de datos WordPress MYSQL que parece tener
tenía una inyección SQL.