Dragi prieteni, cei care au avut ocazia să se familiarizeze cu istoria noastră curios. Ne-ar atrage atenția asupra faptului că nu am specificat nici un nume în ea. Eroi ca această știre știe deja, probabil întreaga lume. Unii hackeri români și Ne0h TinKode site-uri piratate MySQL.com și sun.com. Cel mai interesant în această poveste este că hacking-ul a fost realizat cu ajutorul unuia dintre cele mai SQL-injecție (SQL Injection), eficientă a controlului care este inclus în lista celor mai importante sarcini ale proiectului Find-XSS.net!
XSS - este un termen aplicat la o formă de web-site vulnerabilități care un atacator este capabil să pună în aplicare pe astfel de script-uri străine site-ului, care pot fi apoi executate pe partea de client (victima). În acest caz, victimele nu sunt doar utilizatori, dar alte servicii de server sau de pe Internet. XSS abrevierea vine de la Cross Site Scripting (XSS), dar nu trebuie confundat cu CSS, care la rândul său este larg cunoscut sub numele de Cascading Style Sheets (Cascading Style Sheets), a făcut o altă tăietură.
Programatorii în vechiul mod de lungă perioadă de timp nu a acordat suficientă atenție la XSS, deoarece acestea nu sunt considerate periculoase. Dar, din cauza dezvoltării rapide a tehnologiilor web, aceste vulnerabilități au devenit un adevărat flagel pentru comunitatea Internet. Prin urmare, începând de astăzi a apărut nici măcar nu mai clasificare atacuri XSS-vulnerabilitate ca un mecanism de execuție și de punere în aplicare a canalelor de script-ul.
Acest instrument este proiectat pentru a ajuta la căutarea de XSS și SQL Injection vulnerabilități. Serviciul vă permite să verificați fișierele PHP și fișierele ZIP până la 10MB. Pentru utilizatorii VIP (înregistrați) și o scanare raport detaliat. Rezultatul a scanerului va imprima numele fișierului în care se găsește o potențială vulnerabilitate, precum și codul nesigur linii numerotate în acest fișier, parametrul vulnerabil și tipul de vulnerabilitate.
Starea de eroare cu o precizie de 99%, sugerează că în acest loc există XSS sau vulnerabilitate SQL Injection.
Linia de cod cu această stare ar putea arăta astfel:
Acțiuni PRINCIPIU schimbat de la versiunea 0.3.0
> Starea de avertizare avertizează în legătură cu o posibilă vulnerabilitate. În special, el avertizează în legătură cu potențialele erori, cum ar fi de exemplu, valori de atribuire variabile, cum ar fi $ _GET sau $ _POST fără a verifica pentru XSS sau SQL Injection. Cineva ar putea spune - dar am verificat această variabilă de fiecare dată când îl utilizați mai târziu. Această abordare nu este optimă, cea mai bună soluție este de a verifica imediat după primirea parametrului o dată, și utilizarea ulterioară a acesteia în întregul program fără a se gândi vulnerabilitatea. Iată un exemplu:
Anulată de la versiunea 0.3.0
Statut se poate vorbi despre vulnerabilitatea insidios, cu toate că acest lucru se întâmplă foarte rar. În esență, este vorba despre parametrii trecut la funcția. Desigur, nu toate funcțiile generează o mapare de conținut și nu toate funcțiile produc o intrare în baza de date, ceea ce reduce riscul de XSS sau SQL Injection. Dar, în acele cazuri în care funcțiile fac doar ca, un atacator poate găsi o portiță de scăpare. Aici este un exemplu de astfel de funcții: