Скъпи приятели, тези от вас, които са имали възможност да се запознаят с нашата любопитна история. Обръща се внимание на факта, че ние не уточни имена в него. Герои като тази новина вече знае, може би в целия свят. Някои румънски хакери и Ne0h TinKode хакнат сайт MySQL.com и sun.com. Най-красивите в тази история е, че хакерство се извършва с помощта на един от най-SQL-инжекция (SQL инжекция), ефективен контрол на която е включена в списъка на най-важните задачи на проекта Find-XSS.net!
XSS - е термин, използван, за да е форма на уеб-сайтове уязвимости, че нападателят е в състояние да прилага в такива сайтове външни скриптове, които след това могат да бъдат изпълнени от страна на клиента (жертвата). В този случай, жертвите не са само за потребителите, но и други сървъри или интернет услуги. XSS съкращението идва от кръст Site Scripting на (XSS), но не трябва да се бърка с CSS, което от своя страна е широко известен като Cascading Style Sheets (Cascading Style Sheets), направи още една кройка.
Програмистите в стария начин за дълго време не обръщат достатъчно внимание на XSS, защото те не се считат за опасни. Но в резултат на бързото развитие на уеб технологии, тези уязвимости са станали истински бич за интернет общността. Ето защо, от днес вече дори не се появи класификация XSS уязвимости-атаки като механизъм за изпълнение и прилагане на каналите на сценария.
Този инструмент е предназначен да помогне в търсенето на XSS и SQL инжекция уязвимости. Услуга ви позволява да проверите на PHP файлове, и ZIP файлове до 10MB. За ВИП потребители (регистрирани) и подробно сканиране доклад. Резултатът от скенера ще отпечатва името на файла, в който е намерена потенциална уязвимост, както и номерирани линии опасен код в този файл, уязвимата параметъра и типа на уязвимост.
статус Грешка с 99% точност предполага, че на това място има XSS или уязвимост SQL инжектиране.
Линията на код с този статут може да изглежда така:
ПРИНЦИП действия променили от версия 0.3.0
> Състояние Предупреждение предупреждава за евентуална уязвимост. По-специално, той предупреждава за потенциални грешки, като например променливи стойности за присвояване, като $ _GET или $ _POST без проверка за XSS или SQL инжекция. Някой може да каже, - но аз съм проверка на тази променлива всеки път, когато го използвате по-късно. Този подход не е оптимално, най-доброто решение е да се провери веднага след получаването на параметъра наведнъж, и по-нататъшното използване на това в цялата програма, без да мисли за уязвимостта. Ето един пример:
Отменен от версия 0.3.0
статус известие може да се говори за уязвимостта коварен, въпреки че това се случва рядко. По същество става дума за параметрите се подават на функцията. Разбира се, не всички функции генерират картиране на съдържанието, а не всички функции произвеждат запис в базата данни, която намалява риска от XSS или SQL инжекция. Но в тези случаи, когато функциите правят точно това, атакуващият може да намери вратичка. Ето един пример на тези функции: