Re: О подвигах
SQLI SQL инъекции
Инъекции SQL атака является стороной атаки сервера, который в основном проверяет, что входные параметры проверяются и пытается выполнить команды базы данных из браузера. В качестве примера, если вы пошли на сайт и имели следующий URL: http://example.com/trade?id=1 который выполняется следующий SQL: SELECT * FROM WHERE ID ТОРГОВЕЛЬ = 1 злоумышленник может изменить URL, чтобы http://example.com/trade?id=1;SELECT * FROM ПОЛЬЗОВАТЕЛЕЙ, который может бросить ошибку базы данных, которая просачивается некоторой информацией и может позволить злоумышленнику своего пути в систему.
Они плохо и тривиальное, чтобы защитить против, но, к сожалению, очень часто. Сайты должны быть дезинфицирующим ввод и использование параметров в запросах. Любые сайты, которые являются уязвимыми для них следует избегать, если они не могут получить это право они, вероятно, получили много плохого, кроме.
XSS (Cross скриптинг)
Поперечная атака скриптинга, когда кто-то вводит Javascript в сайт вы работаете, что делает что-то не должны. В основном вы ремесло некоторые JavaScript в поле под вашим контролем, и вы можете получить доступ к нему. Такие вещи, как сообщения на форуме или даже имена пользователей могут иметь JavaScript в них, которые загружает файл с другого сервера, и это будет выполняться в вашем браузере, как если бы это была часть страницы.
Я видел эти работы в некоторых довольно забавных способах - некоторые номера SMS Вы текст будет просто слепо интерпретирует JavaScript для примера, так что если вы отправите:
Код:
<скрипт>оповещение ("Вы были взломаны");
к числу администратор получит яваскрипт alertbox при просмотре сообщения. У меня был друг сделать это в пабе, когда он принимал отлить и получил запаниковал звонки от компании на следующий день. Очевидно, что вы можете делать другие вещи, с этим, как совершать сделки или передачи, поскольку сеанс открыт и Javascript выполняется, как если бы это был ты.
Они плохо и тривиальное, чтобы защитить против, но, к сожалению, очень часто. Сайты должны дезинфицировать ввод они отображение для пользователей, чтобы предотвратить атакующие делать это. Любые сайты, которые являются уязвимыми для них следует избегать, если они не могут получить это право они, вероятно, получили много плохого, кроме.
CSRF (Cross запрос на сайте подлог)
Поперечное запрос на сайте подлог похож на XSS выше, за исключением не вводить код на текущий сайт, Вы вводите его в другом месте. Давайте скажем, например, я торгую на tradesiteA.com, tradesiteB.com и глядя на довольно график на tradegraphs.com. Теперь давайте предположим, что tradegraphs.com не все это выставлено, чтобы быть, они спокойно поставить некоторые JavaScript на своей странице, что в фоновом режиме обращающегося tradesiteA или tradesiteB и делает вещи от своего имени. Он работает так же, как Ajax звонки, вы никогда не увидите запросы или результаты, пока вы не поймете, ваша учетная запись была очищена.
CSRF не должен поступать непосредственно из tradegraphs.com либо, он может быть введен с помощью XSS выше.
Самое большое заблуждение я вижу о CSRF здесь и в других местах в том, что вы должны иметь окно / вкладку открытой на целевом сайте для их работы. ЭТО НЕ ВЕРНО! Вы просто должны быть вошли в систему, даже если закрыть вкладку или окно, если ваш браузер еще открыт у вас еще есть сеанс на этот сайт до тех пор, пока не истечет. Если вы установили сайт, чтобы помнить вас, установив печенье это также, как хорошо, как открытый, так что вы не можете даже открыли сайт на текущей сессии, и вы по-прежнему уязвимы.
Защита от них не так просто. Что касается целевого сайта знает, что вы действительный с помощью делать действительные вещи пользователя. Есть несколько стратегий, в зависимости от объектов и необходимой безопасности, которые работают, хотя. Во-первых, ввести одноразовые номера (Nумбра используется один раз). Для каждого действия пользователя принимает ряд сгенерирован случайным образом, они должны включать этот одноразовый номер, когда они делают свой следующий запрос или они вышвырнут из сайта и должны снова войти в системе.
Этот нонс почему вы часто видите банковские сайты ломаться, когда вы нажимаете кнопки назад или попытаться перейти из строя.
Другой способ включить еще форму аутентификации для действий, которые требуют более высокой безопасности. Так называемые два фактора аутентификации, как правило, я знаю кое-что (пароль) и у меня есть что-то (BankCard). Многие банки требуют переводов для аутентификации с чипом и считывателем контактному текстовым сообщением или вторичным паролем. Не позволяйте им обмануть вас, хотя, два пароля НЕ верно аутентификации два фактора.