Luciano Arango: ঠিক আছে, বলছি. আমার নাম Luciano Arango হয়. আমি অ্যাডামস হাউস মধ্যে একটি বার্ষিক নিলাম. এবং আমরা যে বিষয়ে কথা বলছি করা চলুন ওয়েব নিরাপত্তা সক্রিয় প্রতিরক্ষা. তাই আমি ইনফরমেশন অফিস জন্য কাজ সমুদ্রপথ মধ্যে নিরাপত্তা. এবং গ্রীষ্মকালে যখন, আমি এ অন্তরীণ একটি তথ্য, যা ছিল SeguraTec, পরিবেশিত যে নিরাপত্তা কোম্পানি কলাম্বিয়া ব্যাংক জন্য. আমি শিখেছি যে যেখানে বেশিরভাগই এর আমি এ পর্যন্ত শিখেছি করেছি. 

এবং তাই আমরা যে উপাদানের কিছু আজ ধরে যেতে হবে, আমরা না আছে সত্যিই ক্লাসে সম্পর্কে বললাম. কিন্তু আমরা শীঘ্রই হবে. এটা এসকিউএল, জাভাস্ক্রিপ্ট মত হতে যাচ্ছে. এবং আমরা সত্যিই এটি উপর চলে না. তাই আমি এটা মাধ্যমে ফ্লাইট বাছাই, এবং পারে আপনি কিছু কিছু বিষয় হয়ত জানেন না. কিন্তু শীঘ্রই, আপনি তা জানতে পারবেন. এবং এটা সব জানার জন্য করব. এ ছাড়াও আরেকটি বিষয় - নৈতিক থাকার. আপনি জানতে যে জিনিস কিছু, আপনি অ নৈতিক ভাবে ব্যবহার করতে পারে. 

এটা আপনার যদি, স্পষ্টভাবে চেষ্টা করুন. আমি অবশ্যই আপনাকে বলছি প্রেরণা আপনার নিজের সার্ভার চেষ্টা, চেষ্টা তাদের ভিতরে যাচ্ছে. আপনি তাদের পশা করতে পারেন দেখুন, আপনি তাদের ভিতরে পেতে পারেন. কিন্তু অন্য কেউ এর. Cops সত্যিই ঢামালি চান এবং না সমগ্র, আমরা এখানে এই করান. আমরা প্রায় তালগোল পাকানো হয়. তারা সত্যিই রেগে যাই. 

তাই এই ওয়েবসাইট উপর আগাইয়া. আমি এটা অধিকার এখানে খোলা আছে. এটি একটি ওয়েবসাইট, এবং এটা উদাহরণ একটি গুচ্ছ আছে. কি হবে যে প্রথম উদাহরণ বাছাই করা অনেক সহজ হতে যাচ্ছে একটি অর্থে শেষ উদাহরণের চেয়ে যে প্রথম উদাহরণ সম্পূর্ণ অনিরাপদ হয়. আর গত এক ধরণের কি হয় স্বাভাবিক ওয়েব নিরাপত্তা ব্যক্তি কি. কিন্তু আপনি এখনও সাজাতে পারেন যে কাছাকাছি পেতে. এবং আমরা একটি উপর মনোযোগ নিবদ্ধ করে যাচ্ছেন এবং দুই, উদাহরণ এক এবং দুই. 

ঠিক আছে. এর ক্রস সাইট স্ক্রিপ্টিং দিয়ে শুরু করা যাক. জাভাস্ক্রিপ্ট চালানো হয় ক্লায়েন্ট এর ব্রাউজার. এটি আপনি ব্যবহার যে একটি প্রোগ্রামিং ভাষা আছে ক্লায়েন্ট এর ব্রাউজার যাতে চালানো আপনি ওয়েবসাইট আপডেট করতে হবে না এবং ফিরে সার্ভার যান. আপনি এটা চলমান আছে. উদাহরণস্বরূপ, ফেসবুকে, আপনি না থাকে নতুন অবস্থা ওয়েবসাইট রিলোড আপডেট চিন্তা করা. এটি উৎপন্ন জাভাস্ক্রিপ্ট এর ব্যবহার সব জিনিষ. সুতরাং আমরা দূষিত জাভাস্ক্রিপ্ট উদ্বুদ্ধ করতে পারেন ওয়েবসাইটের মধ্যে. এবং এই ভাবে, আমরা একটি লিঙ্ক পাঠাতে হলে কেউ, আমরা সাজানোর সঙ্গে এটি পাঠাতে পারে আমরা চাই যে কোড কিছু. 

জেদি এবং অ জেদি আছে জাভাস্ক্রিপ্ট - জেদি এবং অ জেদি ক্রস সাইট স্ক্রিপ্টিং, আমি বলতে চাচ্ছি. এবং পার্থক্য যে ক্রমাগত হচ্ছে হবে জাভাস্ক্রিপ্ট হয় ওয়েবসাইটে সংরক্ষিত. এবং অ জেদি জাভাস্ক্রিপ্ট হবে যে আসলে শুধু একবার ঘটবে. তাই এর একটি উদাহরণ তাকান রিয়েল দ্রুত. 

ঠিক আছে. তাই এই ওয়েব সাইট, সহজ, কিছুই এখানে ঘটে. এবং আমরা চেষ্টা করছি যাচ্ছে কিছু জাভাস্ক্রিপ্ট সন্নিবেশ. সুতরাং আমরা জাভাস্ক্রিপ্ট লেখা শুরু উপায় আমরা শুরুতে স্ক্রিপ্ট দিয়ে শুরু হয়. এবং আমরা স্ক্রিপ্ট দ্বারা তা বন্ধ করুন. আমরা কেবল একটি বার্তা লাগাতে চলুন - আমি আপনাকে দেখাব - সতর্কতা. এলার্ট একটি ফাংশন যে জাভাস্ক্রিপ্ট কিছু প্রদর্শন করার জন্য ব্যবহার করে. সুতরাং আসুন বাস্তব দ্রুত এটি চেষ্টা করুন. আমি যেতে সতর্কতা হ্যালো যাচ্ছি. ওয়েল, আমি লাগাতে ভুলে গেছি - ঠিক আছে. সুতরাং যে সহজ. 

আমরা একটি ওয়েবসাইটে জাভাস্ক্রিপ্ট বললে, এবং এটা নিয়ে এসেছেন. এবং এটা ধরণের শুধুমাত্র ঘটবে আমাদের ওয়েবসাইটে, ডান? এটা না চাই তাই মনে হয় একটি সমস্যা, ডান? আমি বলতে চাচ্ছি, কিভাবে আপনি ব্যবহার করতে পারেন এই maliciously? হ্যাকার, যাতে উপায় এই সত্যিই সহজ. তারা এটি দখল চলুন. তারা আপনাকে এই লিঙ্ক পাঠাতে পারেন. আমি এই মুহূর্তে আপনাকে এই লিঙ্ক পাঠাব যদি, এবং আপনি এটা খোলা, এটা যাচ্ছে বলার অপেক্ষা রাখে না, হ্যালো বলে, যে আমার ওয়েবসাইট হ্যালো আপনি কহন হয়. 

তাই আমি কিছু একটা বলার ছিল অল্প দক্ষতা সহকারে, আমি থামা যদি জাভাস্ক্রিপ্ট ফাংশন আমি ধরনের এর আগে থেকেই লিখেছে - আপনি এটি তাকান কিন্তু যদি আমি যাবেন আমি এটা লিখেছে আগে এটি উপর. সুতরাং আমরা একটি সময়সীমার সেট চলুন. আমরা অপেক্ষা করতে যাচ্ছেন কয়েক সেকেন্ডের. বস্তুত, যদি আমরা অপেক্ষা করতে যাচ্ছেন আমি পাঁচ যাও ভুল করছি না. এই মিলিসেকেন্ডে ব্যক্ত যায়. এবং তারপর কি আমরা করতে যাচ্ছেন আমরা করছি হল সতর্ক করা যাচ্ছে যে প্রবেশ করুন ইন ফিরে লগিন করেছে তাদের সময় শেষ হয়েছে এবং আমরা অবস্থান পরিবর্তন করতে যাচ্ছেন একটি ভিন্ন অবস্থান থেকে. 

তাই আমি কাউকে এই ওয়েবসাইট পাঠাতে হলে, তারা হতে যাচ্ছেন শান্ত, প্রায় ব্রাউজিং. কিছুই ঘটছে. আর পাঁচ যাও, এটা যাচ্ছে বলে, আপনার লগইন সময় শেষ হয়েছে. ইন ফিরে লগ ইন করুন তারা ওকে ক্লিক করুন একবার, আমি যাচ্ছি অন্য ওয়েবসাইটে তাদের নিতে. সম্ভবত, ওয়েবসাইট যাচ্ছে ওয়েবসাইট অনুরূপ হতে যে তারা আগে ছিল. তারা লগ ইন করতে যাচ্ছেন তাদের আমার ওয়েবসাইট পরিবর্তে মধ্যে প্রমাণপত্রাদি তাদের ওয়েবসাইট. 

আর তাই আমি লোকেদের একটি পাঠাতে পারেন এই লিঙ্ক সহ ইমেইল. আমি ওহ, এখানে একটি লিংক আছে, বলে. এই যেমন, একটি ব্যাংক রয়েছে. আমি এখানে, বলে, এই লিঙ্কে যান. তারা এটা পাঠান এবং একবার, তারা আছেন প্রায় ব্রাউজ করা যাচ্ছে. আমি 15 সেকেন্ড, 20 সেকেন্ডের জন্য অপেক্ষা করতে পারেন, এবং তারপর যে ফিরে অনুগ্রহ করে লগ পপ আবার সাইন. আপনি না সঙ্গে এটি চেষ্টা করে দেখতে পারেন আরো অনেক বিষয়. এটা জটিল আপনাকে বলছি, কারণ জাভাস্ক্রিপ্ট দেখা, তাই আপনি পারে নি কিছু ফাংশন জানি না. কিন্তু আপনি যা করতে হবে সব শুরু স্ক্রিপ্ট, লিপি দিয়ে শেষ. এবং যদি আপনি কিছু করা যায়নি মাঝখানে. 

এলার্ট জন্য অপেক্ষা, একটি ফাংশন. উইন্ডো অবস্থান প্রদর্শন করা হয় একটি নতুন অবস্থান থেকে. কিন্তু আপনি আরও অনেক কিছু করতে পারেন. তাই ধারণা যে হয় আমরা যে বন্ধ করা. আমি যেমন দুটি যান, এবং আমি যদি এই একই কোড স্থাপন করা, এটা কাজ করে যাচ্ছে না. সুতরাং এটা, কারণ সবকিছু মুদ্রণ এর কি এই ওয়েবসাইট মূলত আমি এখানে কিছু করা হলে হয় না, এটা অধিকার এখানে এটি প্রিন্ট আউট করব. সুতরাং এটি কিছু প্রিন্ট আউট না. এই যেমন আসলে চেক করা হয় স্ক্রিপ্ট আছে কিনা দেখতে. তাই হ্যাঁ, এগিয়ে যান. আমাকে জিজ্ঞাসা করুন. 

AUDIENCE: প্রেরণ না একটি পান বা অনুরোধ পোষ্ট? 

Luciano Arango: হ্যাঁ. তারা করছি একটি পেতে অনুরোধ পাঠানোর. 

AUDIENCE: এটা কি? 

Luciano Arango: হ্যাঁ. এছাড়াও ব্রাউজার পোস্টে অনুরোধ ব্যবহার. কিন্তু আমি পেতে অনুরোধ দেখানোর চেষ্টা করছি আমরা কি দেখতে পারেন, যাতে আসলে যাওয়া. তাই আমরা এই কোড তাকান - তাই এটা এখন আর কাজ করছে না. এবং আমরা এই কোড কটাক্ষপাত করা হলে, এটা যেমন দুই মধ্যে হতে যাচ্ছে. এই ব্যক্তির করছে কি, ব্যক্তি এই ব্রাউজার ভারপ্রাপ্ত - ঠিক আছে, খুলুন - শব্দ স্ক্রিপ্ট প্রতিস্থাপন করা হয়. এই পিএইচপি হয়, যা আপনি না পারে এখনো সামান্য বিট আছে দেখা যায়. 

তিনি শুধু পরিবর্তন হচ্ছে নাম দিয়ে শব্দ স্ক্রিপ্ট. সুতরাং যাইহোক, আমি এগিয়ে যান এবং ঠিক রাখা - আমি আবার আমার কোড দখল, এবং আমি যাচ্ছি যদি এটা অল্পমাত্র বিট পরিবর্তন করতে. পরিবর্তে স্ক্রিপ্ট, আমি পরিবর্তন করা যাচ্ছে না এটি একটি মূলধন আর সেই সাথে স্ক্রিপ্টের জন্য আমরা এই কোড কাজ করে কিনা দেখতে চলুন. সুতরাং, এটি প্রিন্ট আউট করা হয়নি যা একটি ভালো লক্ষণ. এবং আশা দুই পাসওয়ার্ড এখন রেজিস্টার মধ্যে, এটি পপ আপ যাচ্ছে. 

আপনার লগইন সময় শেষ হয়েছে. ঠিক আছে. ঠিক আছে. সুতরাং স্ক্রিপ্টের জন্য পরীক্ষণ পারে অগত্যা কাজ না. ব্যক্তি - এটা এমন একটা স্ক্রিপ্ট য়ের বড়হাতের অক্ষর ছোটহাতের জন্য চেক করতে পারেন, স্ক্রিপ্ট ছোট হাতের, Str কেস তারা একই নিশ্চিত, তুলনা করুন. কিন্তু হ্যাকার এখনও কি ধরণের কাজ করতে পারেন আমরা সরানো যখন আমরা Vigenere করেছিল ফিরে কয়েক অক্ষর, অগ্রসর. এবং এটা স্ক্রিপ্ট রাখা কিভাবে চিন্তা করতে পারেন এটি ফিরিয়ে উদ্বুদ্ধ করতে পারেন, তাই সেখানে যে স্ক্রিপ্ট. 

তাই কি আপনি ব্যবহার করতে চান htmlspecialchars হয় আপনার ওয়েবসাইট রক্ষা. এবং এই কি আছে এটা তোলে হয় নিশ্চিত করুন যে আপনি রাখা কি যে - উদাহরণস্বরূপ, উদ্ধৃতি এই - এর চেয়ে বেশি বা কম কিছু দিয়ে প্রতিস্থাপিত হয় যে না - আমাকে এখানে জুম যাক - প্রকৃত ampersand. এটা ঐ বিশেষ এইচটিএমএল প্রতিস্থাপন করবে আমরা যখন আমরা দেখতে পাবেন যে অক্ষর যে বিষয়ে কথা বলছি - ওহ, এই আমাকে ফিরিয়ে নিতে যাচ্ছে - ঠিক এই অক্ষর. 

এই বোঝান এমন কিছু বিষয় আসছে. এইচটিএমএল, যে শুরু বন্ধনী জন্য আমাদেরকে বলে যে কিছু সম্পর্কিত এইচটিএমএল আসছে. এবং আমরা যে পরিত্রাণ পেতে চান. আমরা একটি মধ্যে এইচটিএমএল লাগাতে চাই না website.k আমরা ব্যবহারকারী হতে চাই না তাদের ওয়েবসাইটে কিছু করিয়ে দিতে পারবে সেই মতো, তাদের ওয়েবসাইট প্রভাবিত করতে পারে স্ক্রিপ্ট বা এইচটিএমএল বা যে ভালো কিছু. কি গুরুত্বপূর্ণ হল আপনি যে ব্যবহারকারীর ইনপুট sanitize. 

তাই ব্যবহারকারীদের ইনপুট অনেক কিছু হতে পারে. তিনি ইনপুট চেষ্টা স্টাফ একটি গুচ্ছ করতে পারেন এখনও আপনার ব্রাউজার রত এই স্ক্রিপ্ট কোড চলমান. আপনি কি কাজ করতে চান শুধু চেহারা নয় স্ক্রিপ্টের জন্য, কিন্তু সবকিছুর জন্য তাকান যে দূষিত হতে পারে. আর htmlspecialchars করতে হবে আপনার জন্য, তাই আপনার না থাকে এটা চিন্তা করতে. কিন্তু নিজের দ্বারা চেষ্টা করবেন না বাছাই করা আপনার নিজের কোড দিয়ে. সবাই XSS নেভিগেশন পরিষ্কার হয়? 

ঠিক আছে. এর এসকিউএল ইনজেকশন যাও যাওয়া যাক. সুতরাং এসকিউএল ইনজেকশন সম্ভবত এক নম্বর দুর্বলতার বিভিন্ন ওয়েবসাইটের মধ্যে. আমি একটি ভাল উদাহরণ মানে - আমি শুধু সর্বাধিক দূরে গবেষণা ছিল এই জিনিস জন্য. এবং আমি এই সন্ত্রস্ত নিবন্ধ, খুঁজে পাওয়া যায় যেখানে আমি হার্ভার্ড লঙ্ঘন ছিল দেখেছি যে, গভীর ক্ষত ছিল. এবং আমি, ভাল, হতাশ ছিল তারা এটা কিভাবে করতে হবে? হার্ভার্ড, সবচেয়ে ভয়ঙ্কর সবচেয়ে কখনও বিশ্ববিদ্যালয়ের নিরাপদ. রাইট? ওয়েল, সার্ভার লঙ্ঘন, হ্যাকার একটি ব্যবহৃত এসকিউএল ইনজেকশন বলা টেকনিক. 

তাই এই দিনের ভিত্তিতে একটি দিনে ঘটবে. লোকেরা একাউন্ট নিতে ভুলবেন এসকিউএল ইনজেকশন জন্য. হার্ভার্ড আছে. আমি এটা প্রিন্সটন, এখানে বলে মনে করি স্ট্যানফোর্ড, কর্নেল. সুতরাং কিভাবে আমরা কি - তাই এই এসকিউএল কি এই সব আনয়ন যে ইনজেকশন মানুষ ডাউন? ঠিক আছে. সুতরাং এসকিউএল একটি প্রোগ্রামিং ভাষা যে আমরা উপাত্ত অ্যাক্সেস করতে ব্যবহার. আমরা কি আমরা নির্বাচন হয় - তাই এই মুহূর্তে সার্চ নির্বাচন হয় টেবিল থেকে সবকিছু. 

এসকিউএল, এটা এইসব উপাত্ত মধ্যে পরিবর্তন তথ্য পূর্ণ টেবিল আছে. তাই ব্যবহারকারীদের কাছ থেকে সবকিছু নির্বাচন নাম ব্যবহারকারী নাম যেখানে. রাইট? যথেষ্ট সহজ. এসকিউএল ইনজেকশন ধারণা যে আমরা কিছু অনিষ্টকারী কোড সন্নিবেশ যে would কিছু চলমান মধ্যে সার্ভার রত কি এটা আলাদা মূলত চলমান ছিল. সুতরাং আসুন ইউজারনেম জন্য বলা যাক, আমরা রাখা বা 1 1 সমান. সুতরাং আমরা রাখা বা 1 1 সমান. এটি এখন পড়তে হবে পথ নির্বাচন হবে ব্যবহারকারী, সবকিছু থেকে থেকে ব্যবহারকারী - এই সবকিছু হয় - নাম ব্যবহারকারীর নাম, কিন্তু যেখানে ব্যবহারকারীর নাম হয় বা 1 1 সমান. 

তাই নামের কিছুই বা 1 1 সমান. 1 1 সবসময় সত্য সমান. তাই এই সবসময় তথ্য ফিরে আসবে ব্যবহারকারীদের কাছ থেকে. ঠিক আছে. আমাদের সাথে আছে, দরকার নেই সঠিক ব্যবহারকারীর নাম. আমরা শুধু আমরা চাই যে কিছু থাকতে পারে, এবং এটি তথ্য ফিরে আসবে আমরা প্রয়োজন যে. এর অন্য একটি উদাহরণ তাকান. 

আমরা ব্যবহারকারী থেকে সবকিছু নির্বাচন করে থাকেন, নাম ড্রপ টেবিল ব্যবহারকারী যেখানে - তাই আপনি কি মনে করেন এই ইচ্ছার কি আমি ব্যবহারকারী নাম রাখা হলে ড্রপ টেবিল ব্যবহারকারী হিসাবে? যে কেউ একটি ধারণা আছে? হ্যাঁ. 

AUDIENCE: এটা বলা যাচ্ছে এটি সব টেবিল ডাম্প. 

Luciano Arango: এটা আমাদের জানাতে যাচ্ছে ওয়েবসাইট সবকিছুই ডাম্প করা, ডাটাবেস সবকিছুই. এবং কি মানুষের জন্য এই ব্যবহার - তাই আমি আপনাকে বলছি দেখাতে যাচ্ছি. আমি টেবিল ড্রপ নিষ্ক্রিয় আমি আপনি চান না, কারণ বলছি আমার টেবিল ড্রপ. আসুন এই কটাক্ষপাত করা যাক. তাই এই সহজভাবে তথ্য আপ pulls একটি নির্দিষ্ট ব্যক্তির জন্য. এই যদি তাই কিভাবে আমরা জানি এসকিউএল ইনজেকশন দ্বারা প্রভাবিত. আমরা বাস্তব দ্রুত চেক চলুন আমরা কিছু লাগাতে পারেন যদি - আমার এই কোড কপি করা. আমি এক সেকেন্ডের মধ্যে তা ঝালিয়ে যাচ্ছি. আমি রুট করা যাচ্ছে না এবং 1 1 সমান. 

এই অধিকার এখানে, এই শতাংশ সাইন 23 - এটি সত্যিই কি, যদি আমি এ অধিকার এখানে, দেখুন - আপনি যদি এইচটিএমএল, সংখ্যায় লাগে উপায় আমি একটি স্থান রাখা যখন কটাক্ষপাত এখানে - আমি স্থান কিছু করতে হলে এখানে, এটি একটি শতাংশ 2 থেকে এটি পরিবর্তন. আপনাকে বলছি এখানে ডান এই দেখুন না আমি একটি স্থান রাখা হলে? যেভাবে এটা কাজ করে যে আপনি শুধুমাত্র সম্ভব হয় এইচটিএমএল মাধ্যমে ASCII মান পাঠান. সুতরাং, যেমন, প্রতিস্থাপন শতাংশ 20 সঙ্গে একটি স্থান. আমি জানি না যদি আপনি না আগে যে দেখা যায়. 

এটা শতাংশ 23 সঙ্গে একটি হ্যাশট্যাগ প্রতিস্থাপন. আমরা শেষে বা একটি হ্যাশট্যাগ প্রয়োজন বিবৃতিতে আমরা বলতে পারেন, যাতে বাইরে মন্তব্য করতে ভুলে ডাটাবেস শেষে এই শেষ সেমিকোলন. আমরা এটা যে আমার মনে হয় না চাই. আমরা শুধু এটা সবকিছু চালাতে চান আমরা পূর্বেই আছে এবং যে যে মন্তব্য. এর এটি কটাক্ষপাত করা যাক. 

আমি ভুল কিছু করা হলে তাই - এর উদাহরণস্বরূপ বলা যাক, আমি 2 সমান করা 1, এটা আমাকে কিছু দেয় না. আমি 1 স্থাপন করা হলে 1 সমান, এবং এটি আছে কিছু ফিরে, এই আমাকে বলে যে এই প্রবন হয় একটি SQL ইনজেকশন. আমি এখন জানি যে যাই হোক না কেন আমি এই পরে রাখা - এবং উদাহরণস্বরূপ, টেবিল ড্রপ অথবা যে ভালো কিছু স্পষ্টভাবে কাজ করবে. আমি এটা এসকিউএল ইনজেকশন প্রবন জানি আমি জানি যে কারণ ফণা নীচে, এটা লেট হচ্ছে আমার 1 1 জিনিস সমান না. ঠিক আছে? 

এবং আমরা এই অন্যান্য বেশী তাকান, নম্বর দুই এবং তিন নম্বর, এটা অল্প আরো করতে যাচ্ছে এর নীচে চেক এটা কি ফণা. সুতরাং যে কেউ ড্রপ সক্রিয় এখনো কিছু বা চেষ্টা? আপনাকে বলছি ধরণের এখনো এসকিউএল পেতে পারি? আমি জানি না আপনি না না আছে এখনো এটি দেখা যায়, তাই এটি ধরনের আছে আপনাকে বলছি জন্য বিভ্রান্তিকর. এর কটাক্ষপাত করা যাক. সুতরাং SQLI প্রতিরোধ উপায় কি? ঠিক আছে. তাই এই সত্যিই গুরুত্বপূর্ণ আপনি কারণ বলছি স্পষ্টভাবে প্রতিরোধ চাই এই আপনার ওয়েবসাইটের মধ্যে. 

যদি না হয়, আপনার সমস্ত বন্ধুদের যাচ্ছে তারা সব ড্রপ যখন আপনি মজা করা আপনার টেবিল. তাই ধারণা আপনি এসকিউএল মেরামত করে একটি নির্দিষ্ট ভাবে, যেহেতু আপনি মেলে কি ব্যবহারকারীর ইনপুট একটি নির্দিষ্ট স্ট্রিং. তাই এই কাজ করে উপায় আপনি হয় ডাটাবেস প্রস্তুত. আপনি নাম, রং, এবং ক্যালোরি নির্বাচন একটি ডাটাবেস নামক ফল থেকে. এবং তারপর ক্যালোরি, কম কোথায় এবং আমরা সেখানে একটি প্রশ্ন চিহ্ন রাখা আমরা ইনপুট চলুন বলছে একটি দ্বিতীয় কিছু. 

এবং রঙ সমান, এবং আমরা একটি প্রশ্ন রাখা চিহ্ন আমরা চলুন বলছে ইনপুট একটি দ্বিতীয় কিছু হিসাবে ভাল. ঠিক আছে? এবং তারপর আমরা নির্বাণ, এটি চালানো 150 এবং লাল. এবং এই করতে পরীক্ষা হবে নিশ্চিত এই দুটি যে - এই অ্যারে চেক করবে যে এই দুই একটি পূর্ণসংখ্যা এবং হয় এই একটি স্ট্রিং যে. তারপর আমরা যান, এবং আমরা আনা সব, আমরা লাল রাখা. যে সমস্ত আমরা আনা মানে. এটা আসলে আমরা এসকিউএল চালানো মানে বিবৃতি এবং লাল তা প্রতিহত করা. এখানে আমরা একই কাজ করতে, কিন্তু আমরা হলুদ জন্য একই কাজ. এবং আমরা সব আনা. 

এবং এই ভাবে, আমরা ব্যবহারকারী প্রতিরোধ ইনপুট কিছু করতে পারবে থেকে যে আমরা নির্দিষ্ট কি, একটি স্ট্রিং নয় অথবা একটি পূর্ণসংখ্যা, উদাহরণস্বরূপ. আমি প্রায় শুরুর কথা বলা হয়েছে অন্যদের জানানোর. আপনাকে বলছি আপনার প্রকল্প শুরু, আপনি আছেন সবচেয়ে স্পষ্টভাবে ব্যবহার চালু বুটস্ট্র্যাপ বা অনুরূপ কিছু. আপনি না কখনো ওয়ার্ডপ্রেস ব্যবহার করেছেন? সম্ভবত আপনি না ব্যবহার করেছেন ওয়ার্ডপ্রেস সম্ভবত. তাই ব্যবহার করে সমস্যা অন্যের জিনিস - আমি শুধু গুগল বাস্তব দ্রুত যাচ্ছি ওয়ার্ডপ্রেস দুর্বলতা. 

আমি এই মুহূর্তে এই থামা যদি - আমি আক্ষরিক একটি দুই দ্বিতীয় গুগল করেছিল. আমরা যে ওয়ার্ডপ্রেস দেখতে পারেন - এই সেপ্টেম্বর '12 হিসাবে তারিখের হয়. 26 আপডেট করা হয়. ওয়ার্ডপ্রেস এর ডিফল্ট কনফিগারেশন 3.6 এই বাধা দেয় না আগে নির্দিষ্ট আপলোড, যা যথাসাধ্য এটি সহজ জন্য করা ক্রস সাইট স্ক্রিপ্টিং হামলা. সুতরাং একটি দ্রুত বিবরণ, একবার আমরা কাজ ছিল সঙ্গে - তাই আমি একটি কাজ, গ্রীষ্মে, ছিল ইন্টার্নশীপ. এবং আমরা ধরণের সঙ্গে কাজ করা হয়েছে একটি বড় ক্রেডিট কার্ড কোম্পানীর মত. 

এবং তারা কিছু বলা নির্ভর - আপনি না কখনও অভিনয় যদি আমি জানি না জুমলা নামক একটি পণ্যের সাথে. জুমলা ব্যবহার করা হয় যে একটি পণ্য নিয়ন্ত্রণ - ধরণের অনুরূপ করা ওয়েবসাইট নির্মাণ করতে ব্যবহৃত ওয়ার্ডপ্রেস,. সুতরাং তারা তাদের ওয়েবসাইট ছিল জুমলা কাজ. এটি আসলে একটি ক্রেডিট কার্ড হয় কলম্বিয়া সংস্থাটি. আমি আপনাকে নিয়ে যাব তাদের ওয়েবসাইট রিয়েল দ্রুত. 

সুতরাং তারা জুমলা ব্যবহৃত. তারা জুমলা আপডেট না সর্বশেষ ছাড়াও করতে. এবং তাই আমরা কটাক্ষপাত গ্রহণ ছিল তাদের কোড, আসলে আমরা করতে পেরেছি তাদের কোড ভিতরে যান এবং চুরি করা সব তারা ছিল ক্রেডিট কার্ড তথ্য, সব ক্রেডিট কার্ড নম্বর, নাম, ঠিকানা. এবং এই মাত্র ছিল - এবং তাদের অবস্থান পুরোপুরি সূক্ষ্ম ছিল. তারা মহান কোড ছিল. এটা সব নিরাপত্তা ছিল. তারা সব উপাত্ত চেক করা. তারা ক্রস সাইট নিশ্চিত করেছেন স্ক্রিপ্টিং সূক্ষ্ম ছিল. 

কিন্তু তারা ছিল না এমন কিছু বিষয় ব্যবহার আপডেট, যে নিরাপদ ছিল না. তাই তাদের নেতৃত্বে যে - তাই আপনাকে বলছি স্পষ্টভাবে অন্যান্য ব্যবহার করতে যাচ্ছি মানুষ এর কোড, অন্যের অবকাঠামো আপনার ওয়েবসাইটের বিল্ড আপ. তারা নিরাপদ আছেন নিশ্চিত করুন যে কারণ কখনও কখনও, এক যে আপনি না একটি ভুল করে তোলে. কিন্তু অন্য কারোর কোন ভুল করে, এবং তারপর আপনি যে কারণ এর নিচে পড়ে. 

পাসওয়ার্ড এবং PII. সুতরাং এর পাসওয়ার্ড. ঠিক আছে. এর পাসওয়ার্ডের কটাক্ষপাত করা যাক রিয়েল দ্রুত. ঠিক আছে. আমাকে বলুন যে সবাই নিরাপদ ব্যবহার করে - আমি এখানে সবাই আশা করছি সুরক্ষিত পাসওয়ার্ড ব্যবহার করে. আমি শুধু লেট করছি একটি স্বতঃসিদ্ধ হিসেবে সালে. তাই আপনাকে বলছি স্পষ্টভাবে যাচ্ছে আপনার ওয়েবসাইটের জন্য পাসওয়ার্ড সঞ্চয়. আপনি ভালো কিছু করতে যাচ্ছেন যে মত একটি লগইন বা কিছু. কি গুরুত্বপূর্ণ সংরক্ষণ না করা হয় প্লেইন টেক্সট পাসওয়ার্ড. এই অত্যন্ত গুরুত্বপূর্ণ. আপনি সংরক্ষণ করতে চান না একটি প্লেইন টেক্সট পাসওয়ার্ড. 

এবং আপনি স্পষ্টভাবে সত্যিই চাই না একটি ওয়ান ওয়ে হ্যাশ তা ধারণ করার জন্য. তাই কি একটি ওয়ান ওয়ে হ্যাশ যে যখন আপনি আপনি এই যখন করা, একটি শব্দ উৎপন্ন একটি হ্যাশ ফাংশন মধ্যে শব্দ, এটা করবে রহস্যপূর্ণ কিছু সাজানোর ফিরে উৎপন্ন বার্তা বা কি রহস্যপূর্ণ সেট. আমি আপনাকে একটি উদাহরণ দেখাব. আমি তারা শব্দ password1 হ্যাশ যাচ্ছি. সুতরাং MD5 হ্যাশ আমার ফিরে যাচ্ছে অদ্ভুত তথ্য কিছু বাছাই. 

সমস্যা যে মানুষ আউট আছে যে ওয়েবসাইটের মধ্যে যেতে চান আছে ইতিমধ্যে সাজানোর মূর্ত আউট সব MD5 হ্যাশ এর. তারা উপর বসলেন হয় নি কি তাদের কম্পিউটার, এবং তারা প্রতি কুচি - কুচি করিয়া কাটা বস্তু সেখানে আউট একক সম্ভব শব্দ না হওয়া পর্যন্ত তারা ধরণের এই কি পেয়েছিলাম. আমি এই চেহারা ছিল - আমি ঠিক এই হ্যাশ ধরলাম. আমি থেকে এই হ্যাশ পেতে হলে - আমি একটি ওয়েবসাইটে যান, এবং আমি যদি পান এই হ্যাশ আমি পেতে কারণ উপাত্ত, এবং আমি এটা সন্ধান, কেউ ইতিমধ্যে আমার জন্য এটা মূর্ত আউট. 

হ্যাঁ. সুতরাং মানুষ শনি নিচে, এবং যাহা MD5 আপনি রাখা যে হ্যাশ, তারা চলুন আপনি ফিরে কিছু যে একটি শব্দ. আমি চাই, অন্য শব্দ হ্যাশ যদি - আমি জানি না - trees2. আমি হতাশ হতে চাই না আমার Google অনুসন্ধান দ্বারা. এখন পর্যন্ত এটা, trees2 হয়. তাই ওয়েবসাইটের অনেক এখনও MD5 হ্যাশ ব্যবহার. তারা উহু, এটা নিরাপদ না, বলে. আমরা প্লেইন টেক্সট সংরক্ষণ করছি না. আমরা এই MD5 হ্যাশ আছে. এবং আমি যা করতে হবে সব ঠিক হয় নম্বর google. 

আমি এমনকি নিজেকে গনা করতে হবে না. আমি এটা গুগল, এবং পারেন কেউ ইতিমধ্যে আমার জন্য তা. এখানে তাদের একটি গুচ্ছ. এখানে পাসওয়ার্ডের একটি গুচ্ছ আছে. তাই স্পষ্টভাবে MD5 হ্যাশ ব্যবহার করবেন না, কারণ আপনি করতে হবে সব কি গুগল এটা. তাই কি আপনি এর পরিবর্তে ব্যবহার করতে চান? ঠিক আছে. Salting কিছু বলা. তাই কি salting হয় - আমরা যখন আপনাকে বলছি মনে করেন র্যান্ডম বিষয়ে কথা - আমি এটা ছিল কি pset নিশ্চিত না - এটা সেখানে pset বা চার ছিল? 

আমরা খুঁজে বের করার বিষয়ে কথা হয়েছিল খড়ের গাদা মধ্যে সুই. এবং pset, এটা বলেন আপনি পারে যে আসলে কি র্যান্ডম চিন্তা কেউ ইতিমধ্যে দৌড়ে কারণ উত্পন্ন র্যান্ডম একটি মিলিয়ন বার এবং মাত্র ধরণের তারা উৎপন্ন কি গঠিত. আপনি কি কাজ করতে চান হয় একটি ইনপুট স্থাপন করা. সুতরাং যে ধরণের কি salting এর. তারা ইতিমধ্যে salting কি মূর্ত আউট প্রতিটি কাজের জন্য ফেরৎ. 

তাই কি salting না হয় যদি আপনি একটি লবণ স্থাপন করা. আপনি একটি নির্দিষ্ট শব্দ স্থাপন করা. এবং এটা নির্ভর করে যে শব্দ হ্যাশ হবে আপনি এখানে রাখা কি. তাই আমি এই সাথে পাসওয়ার্ডটি এক হ্যাশ যদি বাক্য, এটি হ্যাশ যাচ্ছে আমি password1 হ্যাশ ভিন্নভাবে যদি একটি ভিন্ন বাক্য দিয়ে. এটা ধরণের কোথাও এটা দেয় শুরু করতে হ্যাশ জন্য শুরু. সুতরাং আপনি গনা অনেক কঠিন, কিন্তু এখনও, বিশেষ করে, এটা গণনা করতে পারেন আপনি একটি খারাপ লবণ ব্যবহার করা হলে. 

মানুষ ইতিমধ্যে এছাড়াও মূর্ত আউট করেছেন সাধারণ সল্ট এবং মূর্ত আউট এটা যে কি. এলোমেলো সল্ট অনেক ভালো হয়, কিন্তু সবচেয়ে ভালো উপায় ব্যবহার হয় সমাধিগৃহ কিছু বলা. এবং কি সমাধিগৃহ আপনি পারবেন তাই এই ফাংশন হয় - না ইতিমধ্যে আপনার জন্য নির্মিত. অনেকে যে ভুলে, অথবা তারা এটি ব্যবহার করতে ভুলবেন না. কিন্তু আমি সমাধিগৃহ পিএইচপি, সমাধিগৃহ সন্ধান যদি ইতিমধ্যে আমার জন্য একটি হ্যাশ স্ট্রিং ফেরৎ. এবং এটা আসলে এটা অনেকবার সল্ট এবং এটা অনেক বার hashes. 

সুতরাং আমরা এই কাজ করতে হবে না. তাই আপনাকে যা করতে হবে সব হয় সমাধিগৃহ মধ্যে এটা পাঠান. এবং এটা ছাড়া একটি মহান হ্যাশ তৈরি করবে আপনি লবণ চিন্তা করতে হচ্ছে বা কিছু. আপনি লবণ তা হলে, আপনি আছে আপনি কি আম্বিয়া মনে রাখা কারণ যদি না হয়, আপনি পেতে পারেন আপনার ফিরে ছাড়াই পাসওয়ার্ড আপনি যে লবণ. ঠিক আছে. 

এবং এছাড়াও ব্যক্তিগত শনাক্তযোগ্য তথ্য. তাই সামাজিক নিরাপত্তা, ক্রেডিট কার্ড - যে বেশ স্পষ্ট. তবে কখনও কখনও মানুষ পথ ভুলে এটিকে কাজ আপনি করবেন কতটা তথ্য, হয় আসলে কিছু এক ব্যক্তি খুঁজে প্রয়োজন? কেউ সম্পর্কে একটি সমীক্ষা করেছিল এই একটি পথ ফিরে. এবং এটা যদি আপনি আছে, মত ছিল একটি পুরো নাম, আপনি খুঁজে পাচ্ছি না যে সহজে কেউ. কিন্তু আপনি যদি একটি পুরো নাম কি আছে এবং নাম তাদের জন্ম? চিহ্নিত করতে যথেষ্ট যে হয় নির্দিষ্টভাবে কেউ? 

আপনি কি তাদের নাম ও আছে তারা বাস যে রাস্তায় ঠিকানা? যে কেউ খুঁজে পেতে যথেষ্ট কি? তারা প্রশ্ন এবং যখন যে কি, এর ব্যক্তিগত শনাক্তযোগ্য তথ্য, এবং আপনার সম্পর্কে কি চিন্তা করা উচিত দূরে প্রদান না? আপনি ব্যক্তিগত শনাক্তযোগ্য দূরে দিতে হলে কেউ আপনাকে যে দেয় তথ্য, আপনি সম্ভাব্য বিরুদ্ধে মামলা দায়ের করতে পারে. এবং আমরা স্পষ্টভাবে যে চাই না. 

তাই আপনি যদি আপনার ওয়েবসাইট নির্বাণ করছি আউট, এবং আপনি একটি সত্যিই শান্ত আছে নকশা, আশা করছি আপনি তৈরি একটি ভয়ঙ্কর চূড়ান্ত প্রকল্প. আপনি বাছাই করতে চান কোন সেখানে এটা আউট করা. আপনি নিশ্চিত যে করতে চাই যাই হোক না কেন এটি যদি আপনি, ব্যবহারকারী থেকে গ্রহণ করছেন ব্যক্তিগত শনাক্তযোগ্য তথ্য, আপনি নিশ্চিত করুন যে আপনি সত্যিই হচ্ছে সেটি করতে চাই এটা দিয়ে সতর্ক থাকুন. 

শেল ইনজেকশন. ঠিক আছে. শেল ইনজেকশন যাও প্রবেশকারী পারবেন আপনার প্রকৃত কমান্ড লাইন এক্সেস পাবেন আপনার সার্ভারের মধ্যে. এবং তাই তিনি কোড চালানোর সক্ষম আপনি নিয়ন্ত্রণ করতে পারবেন না. এর এই একটি উদাহরণ নিতে এখানে ডান সুন্দর পংক্তি. আমরা আবার ওয়েবসাইটে যান, আমি আছি কোড ইনজেকশন ঢোকা যাচ্ছে. তাই এই আছে হল - তা আমরা কি এছাড়াও আগে এ খুঁজছেন. আমরা যাই হোক না কেন রাখা ব্যবহারকারীর লেট করছি সে চায়, এবং এটি প্রিন্ট আউট হবে যাহা চান. 

তাই আমি একটি কল করা যাচ্ছে না. কি এই আছে হল - এটা concatenating দ্বারা শুরু হবে. সুতরাং আমাকে চালাতে দেওয়া হবে যাই হোক না কেন ব্যক্তির চলমান আদেশ আগে এবং আমার কমান্ড. এবং আমি একটি সিস্টেমের কমান্ড চলমান করছি. এবং এই শেষ স্ট্রিং হয় - স্মরণ কি আমি সম্পর্কে আপনাকে বলছি কথা বলত, আপনি সঙ্কেতাক্ষরে লিখা আছে, যেহেতু এটি একটি URL পদ্ধতিতে. আমি এখন এই রান - যদি আমি এখানে আপনি উপর দেখাব - আপনি আমি শেষ দেখতে পাবেন আপ একটি কমান্ড চলমান. 

এটি আসলে প্রকৃত সার্ভার আমার ওয়েবসাইটে চলমান যে. সুতরাং আমরা যে চাই না, আমি রান করতে পারেন, কারণ - এই সার্ভার খনি নয়. তাই আমি জড়ান না চান তার বোন, মার্কাস এর সার্ভার. তবে আপনি যদি আরো কমান্ড চালাতে পারেন বিপজ্জনক যে. এবং সম্ভাব্য, আপনি মুছে ফেলতে পারে ফাইল, ডিরেক্টরি মুছে ফেলুন. আমি একটি নির্দিষ্ট ডিরেক্টরিতে যদি সরাতে পারেন আমি চেয়েছিল, কিন্তু আমি চাই না মার্কাস করার যে কি. তিনি একটা চমৎকার লোক. তিনি আমাকে তার সার্ভার ধার দেওয়া. তাই আমি তাকে দেওয়া যাচ্ছে না ভালো বন্ধ. 

তাই কি আমরা ব্যবহার করতে না চান - আমরা না Eval বা সিস্টেম ব্যবহার করতে চান. Eval বা সিস্টেমের আমাদের পারবেন এই সিস্টেম কল করতে. Eval উপায় নির্ণয় করা. সিস্টেম আমি দৌড়ে কি মানে. এটি সিস্টেমের মধ্যে কিছু চালানো হচ্ছে. কিন্তু আমরা এই জিনিস ডাকু পারেন পিএইচপি আমরা তাদের ব্যবহার করবেন না যাতে. এবং ফাইল আপলোড. আমি একটি ভয়ঙ্কর কাজ হচ্ছে ফাইল আপলোড সঙ্গে জিনিস. কিন্তু মত আমি আমার ফাইল আপনি না বলা আপলোড জিনিস কাজ করছে না. আমি এই মুহূর্তে একটি ফাইল আপলোড করতে হলে - আমি একটি ফাইল আপলোড করতে হয়, যদি এবং এটি একটি ছবি আছে - আপনি একটি আপলোড জিনিস আছে যে একটি ছবি আছে. যে সূক্ষ্ম. কিছুই ঘটে. 

কিন্তু আপনি যদি একটি আপলোডের ফাইল, জন্য উপস্থিত থাকলে উদাহরণস্বরূপ, এবং ব্যবহারকারী আসলে আপলোডসমূহ একটি পিএইচপি ফাইল অথবা একটি EXE ফাইল বা কিছু সেই মতো, তাহলে সম্ভাব্য পারে একটি সমস্যা আছে. এই আগে কাজ ছিল. দুর্ভাগ্যবশত আমার জন্য, এটা আর কাজ করছে না. আমি, যেমন, এই ফাইলটি আপলোড করুন, আমি আছি আপলোড করার জন্য অনুমতি প্রাপ্ত না সার্ভার কারণে ফাইল খনি হচ্ছে না. তাই লোক সত্যিই স্মার্ট. 

তাই আমরা চাই না - আমি আপনাকে বলছি দেখাতে যাচ্ছি - ঠিক আছে, এই কিছু সত্যিই শীতল সরঞ্জাম. সুতরাং এই - মধ্যে যেতে - আপনাকে বলছি ফায়ারফক্স আছে - আশা করছি আপনি কি. এসকিউএল ইনজেকশনের নামক দুটি যোগ টার্ন নেই আমার এবং ক্রস সাইট স্ক্রিপ্ট আমার. তারা হিসাবে সামান্য দিকে খুলুন পাশ দিয়ে বার. এবং আমি যেতে হলে উদাহরণস্বরূপ cs60 - তাই এটি কী এটা দেখে মনে হয় সব ধরনের যে জন্য - আশা করছি, আমি পাবেন না এই জন্য ঝামেলায়. 

কিন্তু ঠিক আছে. এখানে পিন সিস্টেম এর. তাই আমি দোষ খুঁজছেন শুরু করার সময় সিস্টেম, আমি কি প্রথম জিনিস এই সুন্দর সামান্য খুলুন পাশের হাতিয়ার. এবং আমি ফর্ম পরীক্ষা করা যাচ্ছে না অটো হামলার সঙ্গে. এবং তাই এই কি আছে এটা ধীরে ধীরে হবে ব্রাউজারে একটি গুচ্ছ খুলুন. এখানে ব্রাউজারে একটি গুচ্ছ আছে. এবং এটা প্রতি একক সমন্বয় চেষ্টা ক্রস সাইট স্ক্রিপ্টিং এর সেখানে সম্ভবত হয়, যদি যে আপনি পাশ দিয়ে দেখুন. 

এবং এটা আমাকে ফলে দিতে হবে উত্তরটি কি ধরণের. সমস্ত পাস. একথাও ঠিক যে, তারা সব পাস. আমি বলতে চাচ্ছি, তারা সত্যিই স্মার্ট করছি আপ সেখানে মানুষ. কিন্তু আমি যদি চালাতে - আমি আমি এই রান যখন আগে কয়েকবার করেছি ছিল ছাত্র 'চূড়ান্ত প্রকল্পে. আমি কেবল দিয়ে আমাকে উদ্বুদ্ধ এসকিউএল চালানো সব বিভিন্ন আক্রমণ. এবং এটা এসকিউএল ইনজেকশনের মাধ্যমে চেষ্টা এই পিন সার্ভার. আমরা নিচে স্ক্রল যদি জন্য তাই উদাহরণস্বরূপ, এটা বলছেন - এটি ফেরৎ যদি এই ভাল. 

সুতরাং এটা কিছু নির্দিষ্ট মান পরীক্ষিত. এবং সার্ভার একটু ফিরে কোড যে নেতিবাচক ছিল. সাময়িকভাবে সরান. এই ভাল. এটা সব এই পরীক্ষার চেষ্টা করে. সুতরাং আপনি কেবল চালানো হবে - আমি আমি একটি ওয়েবসাইট বাস্তব খুঁজে পাইনি ইচ্ছুক দ্রুত যে আমার দেওয়া হবে - হয়তো CS50 দোকান. 

বাহ, এই যাচ্ছে উপায় খুব দীর্ঘ সময় লাগবে. আমি জানাবো প্রথম টেস্ট ডান শেষ না. সুতরাং অভিযোগ এর. সুতরাং এই তিনটি জিনিস. এই সরঞ্জামগুলি বিনামূল্যে. আপনি তাদের ডাউনলোড এবং তাদের উপর রান করতে পারেন আপনার ওয়েবসাইট, এবং এটা আপনাকে বলতে হবে যদি আপনি ক্রস সাইট স্ক্রিপ্টিং আছে, আপনি যদি আপনি, এসকিউএল আছে ভালো কিছু. আমি ধরণের আপ তালগোল পাকানো করছি. 

কি গুরুত্বপূর্ণ - ঠিক আছে, তাই ব্যবহারকারীর বিশ্বাস কখনও. আপনি যাই হোক না কেন ব্যবহারকারী ইনপুট, করতে নিশ্চিত করুন যে আপনি এটি sanitize, আপনি এটা পরিষ্কার, আপনি সঠিক জিনিসের জন্য চেক, এটা কি আপনি দেবার যে তাকে আপনি দিতে চান. সর্বদা আপডেট করা কি অবকাঠামো আসলে আপনি ব্যবহার করছেন. - আপনি বুটস্ট্র্যাপ মত কিছু ব্যবহার আমি আপনাকে বলছি ব্যবহার করতে যাচ্ছি জানি তিনি যেতে হচ্ছে, কারণ বুটস্ট্র্যাপ উপর এই শীঘ্রই ক্লাসে - এবং ওয়ার্ডপ্রেস বা যে ভালো কিছু, সাধারণত এই গভীর ক্ষত হতে পারে. 

এবং তারপর আপনি এমনকি জানি না. আপনি শুধু আপনার ওয়েবসাইট চালাচ্ছেন. এবং এটা সম্পূর্ণই নিরাপদ নয়. এবং যদি আপনি নিচে যান. তাই আমি সত্যিই প্রথম দিকে মাছ ধরার করছি. কিন্তু আমি Pentest ল্যাবস ধন্যবাদ চান. আমি আপনাকে বলছি কিছু দেখাতে যাচ্ছি Pentest ল্যাবস বলা. আপনাকে বলছি সত্যিই আগ্রহী সত্যিই, একটি আছে কি নিরাপত্তা Pentest ল্যাবস যদি বলা ওয়েবসাইট আপনাকে বলছি এই মুহূর্তে এটা করতে যান. ওহ, ভাল, যে এটা না. আমি ঠিক এই মত এটি চালানো যাচ্ছে না. গুগল আমাকে উত্তর বলে. 

ঠিক আছে. এবং এটি আপনি ব্যবহার শেখায় - তাই এটা বলেছেন, ওয়েব অনুপ্রবেশ জানতে সঠিক ভাবে পরীক্ষা. এটি আপনি শেখায় - আশা করছি, আপনি একটি নৈতিক ব্যক্তি আছেন. কিন্তু আপনি তাকান করতে পারেন কিভাবে আপনি শেখায় আপনি ওয়েবসাইটের ভিতরে পেতে পারেন. এবং যদি আপনি জানতে যদি আপনি ভিতরে পেতে পারেন ওয়েবসাইট, আপনি জানতে পারবেন কিভাবে পেয়ে থেকে নিজেকে বাঁচাতে ভিতরে ওয়েবসাইটের. আমাকে জুম যাক হয়তো আপনাকে বলছি, কারণ এই অধিকার দিকে তাকিয়ে নেই. 

এসকিউএল ইনজেকশন থেকে তাই, মিটিয়ে সাজানোর আমি এসকিউএল থেকে পেতে পারেন মিটিয়ে ইনজেকশন. এবং যদি আপনি এই ভার্চুয়াল মেশিন ডাউনলোড করুন. এবং ভার্চুয়াল মেশিন ইতিমধ্যেই আসে আপনি যে ওয়েবসাইটের সাথে এটি চেষ্টা করে যাচ্ছে. আপনি এই পিডিএফ ডাউনলোড করুন. এবং এটা লাইন দ্বারা আপনি লাইন দেখাবে কি আপনি পরীক্ষা, কি কি আছে. এই কি একটি আক্রমণকারী আসলে একটি ওয়েবসাইট ভিতরে পেতে আছে. 

এবং এই বিষয় নিয়ে কিছু জটিল. আমি আরো ঝালিয়ে পারে আপনাকে বলছি সঙ্গে জিনিস. কিন্তু আমি চিন্তা যে আপনাকে বলছি সত্যিই না আছে - এই আমি সঙ্গে গিয়েছিলাম উপর কি আপনাকে বলছি, ওয়েব পরীক্ষা অনুপ্রবেশ পরীক্ষণের জন্য. সত্যিই জানি না কি এসকিউএল এবং কি - কার্ল জ্যাকসনের সেমিনার পাশাপাশি সন্ত্রস্ত. আপনি না কেমন জানি না এই কি. কিন্তু যদি আপনি এই ওয়েবসাইটে যান, এবং এই টিউটোরিয়াল এবং এই ডাউনলোড PDF সমূহ, আপনি ধরণের একবার দেখে নিতে পারেন নিরাপত্তার ক্ষেত্রে সত্যিই কি অনুপ্রবেশ পরীক্ষণের মধ্যে, দেখুন কিভাবে আপনি করতে পারেন ভিতরে ওয়েবসাইটের পেতে এবং রক্ষা নিজেকে তা থেকে. 

তাই আমি একটি সুপার সংক্ষিপ্ত আলোচনা করতে হলে, এটা ক্রস সাইট স্ক্রিপ্টিং প্রতিরোধ করা হবে. আপনি htmlspecialchars প্রতি ব্যবহার করতে চান ব্যবহারকারীর ইনপুট কিছু সময়. এসকিউএল ইনজেকশন আটকান. আপনি তা করতে, আপনি ইতিমধ্যে করছি হার্ভার্ড ছিল চেয়ে ভাল তারা লঙ্ঘন ফেরার সময়. এবং আপনার পাসওয়ার্ড নিশ্চিত করুন প্লেইন টেক্সট নয়. নিশ্চিত করুন যে আপনি কি একটি পদ্ধতি হ্যাশ না শুধুমাত্র করুন তাদের কিন্তু আপনি সমাধিগৃহ ব্যবহারকারী, পিএইচপি আমি আপনাকে বলছি দেখিয়েছেন যে ফাংশন. এই ভাবে, আপনি ভাল হওয়া উচিত. 

আপনার বন্ধুদের দেওয়া এছাড়াও, যদি আপনি, রান তাদের ওয়েবসাইটে আমাকে উদ্বুদ্ধ SQL. চালান ক্রস সাইট স্ক্রিপ্টিং তাদের ওয়েবসাইটে. এবং যদি আপনি এই ওয়েবসাইটের অনেক দেখতে পাবেন দুর্বলতা একটি টন আছে. এটা অনেক মানুষ ভুলে কিভাবে অবিশ্বাস্য তাদের উপাত্ত sanitize করতে বা করা নিশ্চিত কি ব্যক্তির আহরণ স্ক্রিপ্ট কোড নয়. ঠিক আছে. আমি বাছাই করা সত্যিই তাড়াতাড়ি শেষ. কিন্তু কেউ সম্পর্কে কোন প্রশ্ন আছে, যদি কিছু, আপনি আমার একটি প্রশ্ন অঙ্কুর পারেন. হ্যাঁ. যান যান. 

AUDIENCE: আমি জিজ্ঞাসা করতে চাই, আপনি ফাইল কিভাবে ব্যাখ্যা করতে পারেন ঠিক করে আপলোড করুন. 

Luciano Arango: হ্যাঁ. তাই আমাকে যদি আপনি ফাইল প্রদর্শন করা যাক বাস্তব দ্রুত আপলোড করুন. তাই ফাইল আপলোড - সমস্যা ফাইলটি আপলোড বুদ্ধি এই মুহূর্তে যে - আমি আপনাকে বলছি কোড খুলতে যাচ্ছি পর্দার পিছনের কোড দেখুন. এবং এটা আপলোড করা হয়. এখানে ফাইল আপলোডার জন্য একটি কোড এর. 

আমরা এই ঢোকা করার চেষ্টা করছেন এখানে উপর নির্দেশিকা. এবং আমরা চেষ্টা করছি আমরা ইনপুট একবার ফাইল, isset ফাইল - তাই যখন একটি আছে তারপর, ফাইল, যে চিত্রে দায়ের আমরা এখানে এটা সরাতে চেষ্টা করুন. আমরা এখানে ধরে ফাইল দখল. পদ্ধতি পোষ্ট, টাইপ, ইমেজ, ফাইল. এবং আমরা এই ফাইলটি প্রেরণ করছি. এবং তারপর আমরা এটা পেতে হলে তাই একবার ফাইল একটি চিত্র আছে, আমরা এটা পাঠান করার চেষ্টা করছেন এই ডিরেক্টরিতে. 

সমস্যা ওয়েবসাইট হয় না , আমাকে এই ডিরেক্টরিতে যেতে লেট এটা আমার ফিরে যেতে চাই না. এটা আমাকে যেতে চায় না - আমি যেতে হবে - তাই এখানে আপলোড এর. এখানে ইমেজ এর. আমি সব পথ ফিরে যেতে তারপর থেকেই শুরু হয় এবং সেখানে রাখা এবং যান এবং ডিরেক্টরির মধ্যে রাখা. আমি একটি টার্মিনাল উইন্ডোর চলমান ছিল তাই যদি, এবং আমি একটি ফাইল সরাতে চেয়েছিলেন - [শ্রবণাতীত] এটি দেখতে পারেন. আমি একটি ফাইল সরাতে চেয়েছিল, আমি আছে তারপর ফাইলের নাম এবং করা থেকে সম্পূর্ণ পাথ আমি এটা পাঠান চান. 

এবং তারপর সার্ভারের না আমার ফিরে যেতে লেট. এবং তাই লেট না আমার যে ফাইল পেতে. কিন্তু সাধারণত - তাই জন্য একটি কোড আছে একটি ফাইল আপলোড. তাই সাধারণত কি ঘটবে যে ব্যক্তির চেক না হলে আমার ফাইল . JPEG দিয়ে শেষ হয়, তাই আমি পরীক্ষা করতে হবে. আমার খুব বাস্তব দ্রুত একটি উদাহরণ খুলুন. 

ঠিক আছে. এই ব্যক্তির অধিকার - তাই যেমন দুটি চেক করা হয় preg_match যদি - এখানে তা এখানে শেষ হয় - নিশ্চিত যে সঙ্গে শেষ করা যা ভাল পিএইচপি,. এই ভাল. কিন্তু একটি বাস্তব বড় আছে এই সঙ্গে সমস্যা. এই ভাল. কিন্তু আমি নামক কোনো ফাইল রাখতে হলে myfavoritepicture.php.jpeg, আমি করতে পারে এখনও সম্ভাব্য JPEG পরিত্রাণ পেতে এবং যে পিএইচপি এর বিপজ্জনক it.k চালানো. আপনি ব্যক্তির সক্ষম হতে চাই না আপনার ওয়েবসাইটে কোড চালানোর জন্য. 

কিন্তু তারপর. JPEG এটি পাস করতে দেয়. ধারণা আপনি কি সত্যিই কাজ করতে চান কি ফাইল, এ কিন্তু, ঠিক আছে, না নিতে হয় আপনি কি সত্যিই কাজ করতে চান নিশ্চিত যে হয় আপনি পুরো বিশ্বজুড়ে পড়া. আর কিছুই নেই. এটি php. কোন. পিএইচপি আছে পুরো ফাইলের নাম. 

AUDIENCE: কিন্তু আপনি পারা করা. JPEG প্রান্তে. সার্ভার এখনও কোড রান. 

Luciano Arango: না, এটা না করবে না শুরুতে চালানো. আপনি ফিরে যান এবং চেষ্টা আছে আপনি পারেন কিনা দেখতে - 

AUDIENCE: সুতরাং আমরা আছে - ঠিক আছে, জড়িত থাকে যে শুধু অন্য সেট - 

Luciano Arango: হ্যাঁ. 

AUDIENCE: ঠিক আছে. 

Luciano Arango: হ্যাঁ. ঠিক আছে. অন্য কোন প্রশ্ন? ঠিক আছে. আমি এই পর্যন্ত ছেড়ে সাজাতে চলেছি এর আপনি না করতে পারেন দেখুন চেষ্টা করুন - অন্যান্য বিষয়েও একটি সামান্য বিট আরো আছে তারা অনেক প্রয়োজন জটিল কারণ আর এসকিউএল বেশি জ্ঞান শুধু ওয়েব এসকিউএল এর প্রারম্ভে জ্ঞান এবং কি জাভাস্ক্রিপ্ট হয়. কিন্তু আমি, এই তাল মেলাতে চেষ্টা যাচ্ছি এবং আশা আপনি না শিখতে হবে এই সম্পর্কে এবং একটি উঁকি নিতে চেষ্টা করুন কি আপনি কি করতে পারেন এবং কিভাবে অনেক উদাহরণ আপনি মাধ্যমে পেতে পারেন. 

যে কেউ অন্য কোনো আছে এটি সম্পর্কে প্রশ্ন? এগিয়ে যান. হাঁ, অঙ্কুর, অঙ্কুর. হ্যাঁ, এগিয়ে যান. এগিয়ে যান. 

AUDIENCE: ঠিক আছে. তাই আমি শুনেছি কিভাবে যাদু দর যথেষ্ট নিরাপদ নয়. 

Luciano Arango: কি - যাদু দর? 

AUDIENCE: হ্যাঁ. সুতরাং এটি যোগ করে - তাই যখনই আপনি ইনপুট কিছু, এটা সবসময় উদ্ধৃতি চিহ্ন যোগ করে. 

Luciano Arango: হ্যাঁ. হ্যাঁ. ঠিক আছে. 

AUDIENCE: এবং তারপর আমি যদিও, যে কাজ কিন্তু তারপর আমি এটা আপ খোঁজা. এবং এটা এটা ভালো না তিনি. কিন্তু আমি কেন নিশ্চিত না. 

Luciano Arango: হ্যাঁ. 

AUDIENCE:, যাদু দর ব্যবহার করবেন না এটা নিরাপদ নয় কারণ. 

Luciano Arango: ঠিক আছে. আপনি এসকিউএল সন্নিবেশ সুতরাং যখন যাদু দর হয় এবং এটি ইতিমধ্যে আপনার জন্য মূল্যউদ্ধৃতি যোগ করে. 

AUDIENCE: এটা সবসময় উদ্ধৃতি চিহ্ন যোগ করে আপনি লগইন করেননি লাগাতে যাই হোক না কেন কাছাকাছি 

Luciano Arango: হ্যাঁ. সুতরাং যে সঙ্গে সমস্যা হল যে - আমি একবার দেখে নেব - 

AUDIENCE: কিভাবে তা অর্জন না এসকিউএল স্টেটমেন্ট? অথবা আমি এটা হতে পারে অনুমান মত মূল্যউদ্ধৃতি নির্বাচন করুন. 

Luciano Arango: হ্যাঁ, আপনার যা প্রয়োজন এসকিউএল জন্য ভাল কোট. 

দর্শকদের: না, কিন্তু সার্ভার এটা আপনার জন্য না. 

Luciano Arango: এই ছোট কোট অধিকার এখানে, এই সামান্য উদ্ধৃতি চিহ্ন? 

AUDIENCE: হ্যাঁ. 

Luciano Arango: হ্যাঁ. সমস্যা আপনি করতে পারেন যে গত আউট মন্তব্য - ঠিক আছে, তাই কি আমি কি করতে পারি আমি মন্তব্য করতে পারে আউট - তাই এর কটাক্ষপাত করা যাক - আমার দেওয়া একটি টেক্সট সম্পাদনা ফাইল খুলুন. আমাকে শুধু এই সম্পাদনা যাক অধিকার এখানে সরাসরি. ঠিক আছে. আপনাকে বলছি পরিষ্কারভাবে দেখতে পারেন? আমি কি করতে পারি আমি মন্তব্য করতে পারে হয় গত এক আউট. এই গত এক আউট মন্তব্য করবেন. এবং তারপর আমি বললে, এখানে এক রেখে দেব এখানে সব দূষিত উপাদান. 

তাই ব্যবহারকারী আসলে এর ঠিক আছে, inputting? ব্যবহারকারী inputting না জিনিস, ডান? এই আমি হিসাবে ইনপুট যাচ্ছি কি ভিতরে পেতে চেষ্টা ব্যক্তির. আমি রাখা যাচ্ছে না - এক যে উদ্ধৃতি চিহ্ন আছে. এটা ভুল করে শুধু squiggly এর. এবং তারপর কি কোড যা করতে হবে - দুঃখিত, আমি এই খুঁজে নিতে যাচ্ছি. কি কোড করতে যাচ্ছে হয় এটি প্রথম যোগ করতে যাচ্ছে উদ্ধৃতি এখানে চিহ্নিত. এবং এটা গত যুক্ত করতে যাচ্ছে উদ্ধৃতি চিহ্ন হিসাবে ভাল. 

এবং এটি যোগ করতে যাচ্ছে শেষ, শেষ উদ্ধৃতি চিহ্ন. কিন্তু আমি এই উদ্ধৃতি মন্তব্য করছি আউট চিহ্নিত, তাই তারা রান করবেন না. এবং আমি এই উদ্ধৃতি সমাপ্তি করছি এখানে উপর চিহ্নিত. আপনি বোঝেন না? আপনি হারিয়ে হয়? আমি গত উদ্ধৃতি মন্তব্য করতে পারে চিহ্ন, এবং যত্ন প্রথম উদ্ধৃতি চিহ্ন. 

AUDIENCE: আর মাত্র ফিনিস প্রথম এক. 

Luciano Arango: হ্যাঁ. এবং শুধুমাত্র প্রথম এক শেষ. হাঁ, যে ঠিক. যে আমি কি করতে পারেন না. হ্যাঁ. সেই মতো অন্য কোন প্রশ্ন? এটা একটি বড় প্রশ্ন. না, হ্যাঁ, হয়তো. আশা করছি, আপনাকে বলছি বাছাই করতে হবে আপনি এসকিউএল এবং অধ্যয়ন যখন আরো অর্থে যে ভালো জিনিস. কিন্তু আপনি নিশ্চিত করুন - ঘড়ির মধ্যে এই সরঞ্জামগুলি রাখা. দুঃখিত, এখানে উপর এই সরঞ্জামগুলি. এই সরঞ্জামগুলি মহান. কেউ কোন প্রশ্ন আছে, তাহলে আপনি আমার ইমেইল করতে পারেন. এটা আমার স্বাভাবিক ইমেল হয়. এবং এই, আমার কাজ ইমেল যা আমি সমুদ্রপথ এ কাজ যখন হয়. 

ঠিক আছে, ধন্যবাদ. ধন্যবাদ, বলছি. আপনি যেতে ভাল. আপনি এখানে থাকতে হবে না. হাততালির শব্দ না. এটা অদ্ভুত. ঠিক আছে, ধন্যবাদ, বলছি.