LUCIANO ARANGO: موافق، والرجال. اسمي لوتشيانو أرانغو. أنا طالبة في البيت آدمز. ونحن في طريقنا إلى أن نتحدث عن الدفاع الأمن على شبكة الإنترنت النشطة. لذلك أنا أعمل لمكتب الإعلام الأمن في البحار. وخلال فصل الصيف، وأنا المعتقلين في SeguraTec، الذي كان المعلومات شركة أمنية التي خدمت للبنك كولومبيا. وهذا في الغالب حيث تعلمت ما تعلمت حتى الآن. 

وحتى بعض من المواد التي نحن سوف يذهب أكثر من اليوم، ليس لدينا تحدث حقا عن في الصف. ولكننا قريبا. انها سوف تكون مثل SQL، وجافا سكريبت. ونحن لم تسر حقا أكثر من ذلك. لذلك أنا قد فرز الرحلة من خلال ذلك، و قد لا يعرف بعض الأشياء. ولكن سرعان ما، عليك أن تعلم ذلك. وأنها سوف تجعل كل إحساس. أيضا شيء آخر - البقاء الأخلاقية. بعض الأشياء التي كنت تعلم، كنت يمكن استخدامها في طرق غير أخلاقية. 

لو كان لك، حاول بالتأكيد. أنا بالتأكيد تحفيز يا رفاق في محاولة الخوادم الخاصة بك، في محاولة الذهاب داخلها. نرى ما اذا كان يمكن ان تخترق لهم، إذا كان يمكنك الحصول داخلها. ولكن ليس أي شخص آخر. رجال الشرطة لا أحب النكات و كله، ونحن نضع هذا هنا. كنا العبث. أنها تغضب حقا. 

حتى رئيس لأكثر من هذا الموقع. لدي افتتاحه هنا. هذا هو موقع على شبكة الانترنت، و لديه مجموعة من الأمثلة. ما يحدث هو أن المثال الأول هو نوع من سيكون أسهل كثيرا من المثال الأخير في الشعور أن المثال الأول غير آمن تماما. وآخر واحد هو نوع من ما أن الشخص العادي القيام الأمن على شبكة الإنترنت. ولكن يمكنك لا يزال الفرز من الالتفاف حول ذلك. ونحن ذاهبون الى التركيز على واحد واثنين، والأمثلة واحد واثنين. 

موافق. دعونا نبدأ مع البرمجة عبر الموقع. يتم تشغيل جافا سكريبت على مستعرض العميل. انها لغة البرمجة التي تستخدمها لتشغيلها على مستعرض العميل حتى لم يكن لديك لتحديث الموقع ونعود إلى الملقم. لديك على التوالي. على سبيل المثال، الفيسبوك، لم يكن لديك لإعادة تحميل الموقع للحصول على صفة جديدة تحديثات على الخروج. انها تستخدم جافا سكريبت لتوليد كل هذه الأشياء. حتى نتمكن من حقن جافا سكريبت الخبيثة في المواقع. وبهذه الطريقة، عندما نرسل رابط ل شخص ما، يمكننا أن نوعا من إرساله مع بعض التعليمات البرمجية التي نريد. 

هناك الثابتة وغير الثابتة جافا سكريبت - الثابتة وغير الثابتة عبر المواقع البرمجة، أعني. والفرق هو أن استمرار هو جافا سكريبت التي ستكون المحفوظة على الموقع. وغير الثابتة سوف يكون جافا سكريبت التي ستكون في الواقع يحدث مرة واحدة فقط. لذلك دعونا ننظر إلى مثال حقيقية سريعة. 

موافق. لذلك هذا الموقع، بسيطة، لا شيء يحدث هنا. ونحن في طريقنا إلى محاولة ل إدراج بعض جافا سكريبت. وبالتالي فإن الطريقة نبدأ كتابة جافا سكريبت ونبدأ مع بداية النصي. ونحن إغلاقه مع النصي. نحن ببساطة الذهاب الى وضع رسالة - سأريكم - حالة تأهب. تنبيه هي وظيفة أن جافا سكريبت يستخدم لعرض شيء. لذلك دعونا نحاول حقيقية سريعة. انا ذاهب للذهاب، مرحبا حالة تأهب. حسنا، أنا نسيت أن تضع - موافق. بحيث بسيطة. 

نضع جافا سكريبت على موقع على شبكة الانترنت، وخرجت. وذلك نوع من يحدث فقط على موقعنا على الانترنت، أليس كذلك؟ لذلك يبدو انها ليست مشكلة، أليس كذلك؟ أعني، كيف يمكن أن تستخدمها هذا ضار؟ وبالتالي فإن الطريقة التي تفعل المتسللين هذا هو حقا بسيطة. انهم ذاهبون للاستيلاء عليها. يمكن أن ترسل هذا الرابط لك. إذا أنا أرسل لك هذا الرابط في الوقت الراهن، وقمت بفتح الامر، انه سيكون ل ويقول، مرحبا، معتبرا أن موقع الويب الخاص بي أقول لك مرحبا. 

وحتى إذا كان لي أن أقول شيئا ل أذكى قليلا، وإذا كنت سحب ما يصل إلى جافا سكريبت وظيفة النوع الأول من كتب بالفعل - ولكن إذا نظرتم اليها، سأذهب أكثر من ذلك قبل أن كتبوه. لذلك نحن ذاهبون لتعيين المهلة. نحن ذاهبون الى الانتظار ل بضع ثواني. في الواقع، نحن ذاهبون الى الانتظار ل، إذا لم أكن مخطئا، لمدة خمس ثوان. هذا ينطبق في ميلي ثانية. ثم ما نحن بصدد القيام به هو نحن الذهاب لتنبيه أن تسجيل الدخول مهلة لتسجيل تكبير الخريطة. ونحن في طريقنا لتغيير موقع إلى موقع مختلف. 

حتى لو كنت ترسل هذا الموقع لشخص ما، انهم ذاهبون ليكون تصفح حولها، والهدوء. لا شيء يحدث. وخلال خمس ثواني، انها تسير أن أقول، توقيت دخولك بها. يرجى تسجيل الدخول تكبير الخريطة. بمجرد انقر فوق موافق، وانا ذاهب ل نقلهم الى موقع آخر. ويفترض، في الموقع الذي يجري ل تكون مشابهة لموقع الويب الذي كانوا في السابق. وانهم ذاهبون لتسجيل بهم أوراق الاعتماد إلى موقع الويب الخاص بي بدلا من موقعه على الانترنت. 

وحتى أتمكن من إرسال الناس ل بريد إلكتروني مع هذا الرابط. أقول، يا، وهنا الارتباط. وهذا هو أحد البنوك، على سبيل المثال. أقول، هنا، اذهب على هذا الرابط. وبمجرد إرسالها، وانهم ستكون تصفح حولها. لا أستطيع الانتظار لمدة 15 ثانية، 20 ثانية، ثم البوب ​​التي يرجى تسجيل الدخول مرة أخرى في التوقيع مرة أخرى. يا رفاق أن تجرب ذلك مع الكثير من الأشياء. معقدة لأنك الرجال لم أر جافا سكريبت، لذلك قد لا يعرف بعض الوظائف. ولكن كل ما عليك القيام به هو بداية مع النصي، تنتهي النصي. وكنت قد وضعت أي شيء في الوسط. 

التنبيه وظيفة، انتظر. نافذة موقع يأخذك إلى موقع جديد. ولكن يمكنك أن تفعل أكثر من ذلك بكثير. وبالتالي فإن الفكرة هي أن نحن نأخذ ذلك الخروج. اذا ذهبت الى اثنين سبيل المثال، وأنا وضعت في هذا الرمز نفسه، انها لن يعمل. حتى انها لطباعة كل شيء ل ما هذا الموقع أصلا لا يتم إذا وضعت أي شيء هنا، انها سوف طباعته هنا. حتى انها لا تطبع أي شيء. هذا المثال هو التحقق في الواقع لمعرفة ما إذا كان السيناريو هو هناك. لذلك نعم، والمضي قدما. يسألني. 

الحضور: أليس إرسال والحصول على وظيفة أو طلب؟ 

LUCIANO ARANGO: نعم. انهم إرسال طلب GET. 

الحضور: ومن؟ 

LUCIANO ARANGO: نعم. أيضا استخدام متصفحات طلبات آخر. ولكن أحاول أن تظهر طلبات الحصول على حتى نتمكن من معرفة ما هو يحدث فعلا. وحتى إذا نظرنا إلى هذا الرمز - حتى انها لا تعمل بعد الآن. وإذا كان لنا أن نلقي نظرة على هذا الرمز، انها ستكون في المثال اثنين. ما هذا الشخص يقوم به، والشخص المسؤول عن هذا المتصفح - فتح، موافق - يتم استبدال كلمة النصي. هذا هو PHP، والتي قد يا رفاق شهدت قليلا من بعد. 

انه مجرد استبدال كلمة النصي مع الاسم. لذلك ومع ذلك، إذا كنت المضي قدما وضعت للتو في - إذا كنت انتزاع قانون بلدي مرة أخرى، وأنا ذاهب إلى تعديله قليلا. بدلا من السيناريو، وانا ذاهب الى تغيير لأنها النصي برأسمال R. و ونحن في طريقنا لمعرفة ما إذا كان يعمل هذا الرمز. لذلك لم طباعته، الذي هو علامة جيدة. ونأمل في المزيد من الثواني اثنين، انها سوف يطفو على السطح. 

توقيت دخولك بها. موافق. كل شئ على ما يرام. حتى التحقق من وجود النصي قد لا تعمل بالضرورة. الشخص - فإنه يمكن أيضا التحقق من وجود النصي الكبيرة، النصي صغيرة، قضية شارع مقارنة، تأكد من انهم نفس. لكن القراصنة لا تزال تفعل ما نوع من فعلنا في Vigenere عندما انتقلنا الأحرف يعود زوجين، المضي قدما. ويمكن أن معرفة كيفية وضع النصي مرة أخرى في وجود لذلك يمكن حقن أن النصي. 

فما الذي تريد استخدامه هو htmlspecialchars ل حماية موقع الويب الخاص بك. وهذا ما يفعله هو أنه يجعل تأكد من أن ما كنت وضعت في - على سبيل المثال، أو الاقتباسات هذا أكبر من أو أقل من - يتم استبدال بشيء هذا لن يكون - اسمحوا لي أن التكبير هنا - علامة الضم الفعلي. وسوف تحل محل تلك الخاصة HTML الأحرف التي سنرى عندما نكون نتحدث عن - أوه، هذا هو ذاهب الى اتخاذ لي العودة إلى - هذه الشخصيات هنا. 

هذه دلالة على أن شيئا ما قادم. لHTML، أن قوس بداية يخبرنا بأن شيئا ذات الصلة HTML قادم. ونحن نريد أن نتخلص من ذلك. نحن لا نريد أن نضع HTML في website.k نحن لا نريد للمستخدم أن يكون قادرة على وضع شيء في موقعه على الانترنت التي يمكن أن تؤثر على موقعه على الانترنت، مثل النصي أو HTML أو شيء من هذا القبيل. ما هو مهم هو أن ل تطهير مدخلات المستخدم. 

لذلك قد المستخدمين أشياء كثيرة الإدخال. وقال انه يمكن إدخال حفنة من الاشياء في محاولة لخداع المتصفح إلى زالت تشغيل هذا الرمز النصي. ما تريد القيام به هو لا ننظر فقط لالنصي، ولكن نبحث عن كل شيء والتي قد تكون ضارة. وسوف نفعل ذلك htmlspecialchars بالنسبة لك، لذلك لم يكن لديك ما يدعو للقلق حول هذا الموضوع. ولكن لا تحاول أن تفعل بنفسك مع نوع من التعليمات البرمجية الخاصة بك. هو واضحة على الجميع XSS؟ 

موافق. دعونا نذهب إلى حقن SQL. لذلك حقن SQL هو على الارجح ضعف رقم واحد في مواقع مختلفة. أعني، مثالا جيدا - كنت مجرد البحث أبعد لهذا الشيء. ولقد وجدت هذه المادة رهيبة، حيث رأيت أن تم اختراق هارفارد، تم اختراق. وكنت أتساءل، حسنا، كيف ستفعل ذلك؟ من هارفارد الأكثر رهيبة، ومعظم تأمين الجامعة من أي وقت مضى. أليس كذلك؟ حسنا، لاختراق خوادم، قراصنة استخدام تقنية تسمى حقن SQL. 

حتى يحدث هذا على أساس يومي. الناس تنسى أن تأخذ في الاعتبار للحقن SQL. هارفارد يفعل. وأعتقد أنه يقول هنا، برينستون، ستانفورد، جامعة كورنيل. فكيف نفعل نحن - فما هو هذا SQL الحقن التي يتم جلب كل هذه الناس باستمرار؟ موافق. بحيث SQL هي لغة البرمجة التي نستخدم للوصول قواعد البيانات. ما نقوم به هو أننا اختر - فما هذا يقرأ الآن هو اختيار كل شيء من الجدول. 

SQL، فإنه يغير في قواعد البيانات هذه التي تحتوي على جداول مليئة بالمعلومات. لذلك حدد كل شيء من المستخدمين حيث الاسم هو اسم المستخدم. أليس كذلك؟ بسيطة بما فيه الكفاية. فكرة حقن SQL هو أننا إدراج بعض الشيفرات الخبيثة التي من شأنها أن خداع الملقم إلى تشغيل شيء مختلفة عن ما في الأصل كان يعمل. لذلك دعونا نقول لاسم المستخدم، نضع في 1 أو يساوي 1. لذلك وضعنا في 1 أو يساوي 1. والطريقة التي سوف تقرأ الآن يكون حدد من المستخدمين، كل شيء من المستخدمين - وهذا هو كل شيء - حيث name هو اسم المستخدم، ولكن اسم المستخدم هو 1 أو يساوي 1. 

لذلك الاسم هو شيء أو يساوي 1 1. 1 يساوي 1 صحيح دائما. ولذلك فإن هذا سيعود دائما المعلومات من المستخدمين. موافق. نحن لا نحتاج إلى الحصول على اسم المستخدم الصحيح. فإننا يمكن أن يكون أي شيء ونحن نريد فقط، وسيعود المعلومات التي نحتاجها. دعونا ننظر في مثال آخر. 

إذا كنا قد حدد كل شيء من المستخدم، حيث name هو المستخدمين TABLE DROP - فما رأيكم هذه الإرادة أفعل إذا وضع في اسم المستخدم كمستخدمين DROP TABLE؟ أي شخص لديك فكرة؟ نعم. 

الجمهور: انها سوف اقول لتفريغ كافة الجداول. 

LUCIANO ARANGO: انها تسير ليقول لنا لتفريغ كل شيء في الموقع، كل شيء في قاعدة البيانات. وما يستخدمها الناس لهذا - حتى أنا ذاهب لتظهر لك اللاعبين. أنا تعطيل إسقاط الجداول لأنني لم أكن أريد منك الرجال لإسقاط الجداول بلدي. دعونا نلقي نظرة على هذا. لذلك هذا يسحب ببساطة المعلومات لشخص معين. فكيف نعرف إذا كان هذا هو تتأثر حقن SQL. ونحن في طريقنا للتحقق حقيقية سريعة اذا كنا نستطيع وضع شيء - اسمحوا لي أن نسخ هذا الرمز. انا ذاهب للذهاب أكثر من ذلك في الثانية. انا ذاهب الى وضع الجذر و1 يساوي 1. 

هذا الحق هنا، وهذا علامة النسبة المئوية 23 - ما هو عليه حقا، إذا أنا تبدو هنا في - الطريق HTML يأخذ في الأرقام، وإذا كنت نلقي نظرة على عندما أضع في الفضاء هنا - إذا كان لي أن شيئا الفضاء هنا، فإنه يغير لفي المئة 2. لا يا رفاق نرى هذا الحق هنا عندما وضعت في الفضاء؟ الطريقة التي يعمل بها هو أنه يمكنك فقط إرسال القيم من خلال ASCII HTML. لذلك فإنه يستبدل، على سبيل المثال، مساحة مع 20 في المئة. أنا لا أعرف إذا كنت الرجال لقد رأينا أن من قبل. 

فإنه يستبدل الوسم مع 23 في المئة. نحن بحاجة إلى الوسم في نهاية أو البيان حتى نتمكن من قول قاعدة بيانات أن ننسى أن التعليق الخروج هذا منقوطة مشاركة في نهاية المطاف. نحن نريد أن لا نفكر في ذلك. نحن نريد فقط لتشغيل كل شيء أن لدينا مسبقا و التعليق أنه من أصل. دعونا نلقي نظرة على ذلك. 

حتى إذا كان لي أن وضع شيء خاطئ - دعنا نقول على سبيل المثال، وضعت 2 متساوين 1، فإنه لا تعطيني أي شيء. عندما أضع في 1 يساوي 1، وأنه لا العودة شيء، وهذا يقول لي ان هذا هو عرضة لل حقنة SQL. وأنا أعلم الآن أن كل ما أنا وضعت بعد هذا - وعلى سبيل المثال، إسقاط الجداول أو شيء من هذا القبيل ستعمل بالتأكيد. وأنا أعلم أنه عرضة للحقن SQL لأنني أعرف أن تحت غطاء محرك السيارة، وانه ترك لي أن تفعل الشيء 1 يساوي 1. موافق؟ 

وإذا نظرنا إلى هذه منها الأخرى، رقم اثنين ورقم ثلاثة، انها تنوي القيام به أكثر قليلا للتحقق من تحت غطاء محرك السيارة من ما هو عليه. بحيث يتمكن أي شخص تمكين قطرة أي شيء حتى الآن أو حاولت؟ لا يا رفاق نوع من الحصول على SQL بعد؟ لأنني أعرف يا رفاق لم ينظر إليه حتى الآن، لذلك نوع من مربكة بالنسبة لك الرجال. دعونا نلقي نظرة. فما هو السبيل لمنع SQLI؟ موافق. لذلك هذا هو المهم حقا لأنك الرجال يريدون بالتأكيد لمنع هذا في مواقع الويب الخاصة بك. 

إن لم يكن، كل أصدقائك ذاهبون ل يسخر منكم عندما إسقاط جميع الجداول الخاصة بك. وبالتالي فإن الفكرة هي أنك إصلاح SQL بطريقة معينة، في حين أن تطابق ما مدخلات المستخدم مع سلسلة معينة. لذلك يعمل هذا الطريق هو أنت إعداد قاعدة البيانات. قمت بتحديد الاسم واللون، والسعرات الحرارية من قاعدة بيانات تسمى الفاكهة. ثم أين هو أقل من السعرات الحرارية، ونضع علامة استفهام هناك قائلا نحن في طريقنا لإدخال شيء في ثانية. 

ويساوي اللون، ونضع سؤال علامة قائلا نحن في طريقنا لل شيء الإدخال في الثاني كذلك. موافق؟ ثم نقوم بتنفيذ ذلك، وضع في 150 والحمراء. وهذا سوف تحقق للتأكد تأكد من أن هذين - وسوف تحقق هذه المجموعة أن هذه هما عدد صحيح و أن هذه السلسلة. ثم نذهب، ونحن جلب كل شيء، نضعه في الحمراء. هذا يعني أننا إحضار كافة. هذا يعني أننا فعلا تنفيذ SQL بيان وضعه مرة أخرى باللون الأحمر. هنا نفعل نفس الشيء، ولكننا تفعل الشيء نفسه للأصفر. ونحن إحضار كافة. 

وبهذه الطريقة، ونحن منع المستخدم من أن تكون قادرة على إدخال شيء لم يكن هذا ما حددنا، سلسلة أو عدد صحيح، على سبيل المثال. كنت أتحدث في وقت سابق عن الاعتماد على الآخرين. عند الرجال تبدأ مشروعك، وكنت بالتأكيد ذاهب الى استخدام التمهيد أو شيئا من هذا القبيل. هل الرجال أي وقت مضى تستخدم وورد؟ ربما قد استخدمت يا رفاق ورد على الأرجح. وبالتالي فإن المشكلة مع استخدام أشياء الآخرين - أنا مجرد الذهاب الى جوجل حقيقية سريعة الضعف وورد. 

إذا كنت سحب هذا حتى الآن - أنا حرفيا فعل اثنين من جوجل الثاني. يمكننا أن نرى أن وورد - هذا هو مؤرخة في سبتمبر '12. يتم تحديث 26. التكوين الافتراضي من وورد قبل 3.6 لا يمنع هذه بعض الإضافات التي قد تجعل من السهل على هجمات البرمجة النصية للمواقع المشتركة. حتى قصة سريعة، مرة واحدة كنا نعمل مع - لذلك كان، في الصيف، والعمل على التدريب. وكنا نعمل مع نوع من مثل شركة بطاقة الائتمان كبيرة. 

وأنها تعتمد على ما يسمى - أنا لا أعرف إذا كنت من أي وقت مضى لعبت الرجال مع منتج يسمى جملة. من جملة المنتج الذي يستخدم ل السيطرة - نوع من مشابهة ل وورد، وتستخدم لبناء المواقع. فاضطروا موقعه على الانترنت العمل على جملة. هذا هو في الواقع بطاقة الائتمان الشركة في كولومبيا. أنا سآخذك إلى هم الموقع الحقيقي سريعة. 

حتى أنها تستخدم جملة. وكانوا قد يتم تحديث جملة لأحدث إضافة. وحتى عندما كنا نلقي نظرة على التعليمات البرمجية الخاصة بهم، وكنا قادرين على الواقع يذهب داخل التعليمات البرمجية الخاصة بهم وسرقة جميع معلومات بطاقة الائتمان التي لديهم، جميع أرقام بطاقات الائتمان، و أسماء وعناوين. وكان هذا فقط - ومدوناتها على ما يرام تماما. كان لديهم رمز كبير. وكان كل ذلك الأمن. انهم فحص جميع قواعد البيانات. تأكدوا من المواقع المشتركة البرمجة على ما يرام. 

لكنها تستخدم شيئا لم يكن المحدثة، التي لم تكن آمنة. وبحيث قادهم ل- لذلك يا رفاق وبالتأكيد لاستخدام آخر رمز، أطر الناس الآخرين لبناء موقع الويب الخاص بك. تأكد من انهم آمنة ل في بعض الأحيان انها ليست لك، تلك التي أخطأ. لكن شخص آخر يجعل من الخطأ، و ثم هل تسقط بسبب ذلك. 

كلمات السر وPII. من كلمات السر. موافق. دعونا نلقي نظرة على كلمات السر حقيقية سريعة. موافق. من فضلك قل لي ان الجميع يستخدم آمن - أنا على أمل الجميع هنا يستخدم كلمات مرور آمنة. أنا مجرد السماح بأن في مثل هذا الافتراض. لذلك يا رفاق بالتأكيد ل تخزين كلمات المرور لمواقع الويب الخاصة بك. وأنت تسير لجعل شيء من هذا القبيل تسجيل دخول أو شيء من هذا القبيل. ما هو مهم هو أن لا تخزين كلمات المرور في نص عادي. هذا مهم للغاية. كنت لا تريد لتخزين كلمة المرور في نص عادي. 

وأنت بالتأكيد لا تريد حقا لتخزينه في تجزئة اتجاه واحد. فما هو تجزئة اتجاه واحد أنه عند توليد كلمة واحدة، عندما كنت وضعت هذه كلمة في وظيفة تجزئة، وسوف توليد يعود نوعا من خفي رسالة أو مجموعة من المفاتيح خفي. سأريكم مثالا على ذلك. انا ذاهب الى تجزئة أنها كلمة password1. تجزئة MD5 ذلك سوف تعود لي نوعا من المعلومات غريب. 

المشكلة هي أن الناس هناك التي ترغب في الذهاب إلى المواقع لديها سبق أن حظيت بها نوع جميع التجزئات MD5. ما لم يتم جلسوا على هم أجهزة الكمبيوتر، وأنها تجزئته كل كلمة واحدة ممكن هناك حتى لأنهم وصلوا نوع من ما هو هذا. إذا كان لي أن ننظر هذا الأمر - أنا فقط أمسك هذا التجزئة. إذا كنت تحصل على هذه التجزئة من - إذا ذهبت إلى موقع على شبكة الانترنت، وأجد هذه التجزئة لأنني وصول الى قواعد البيانات، وأنا أتطلع إلى فوق، شخص أحسب أنه بالفعل بالنسبة لي. 

نعم. حتى جلس الشعب، ومهما MD5 التجزئة التي وضعت في، انهم ذاهبون ل العودة إلى لك شيئا وهذا هو كلمة واحدة. إذا كنت تجزئة كلمة أخرى، مثل - أنا لا أعرف - trees2. أنا لا أريد أن يكون بخيبة أمل بلدي البحث جوجل. ومن هناك، trees2. لذلك الكثير من المواقع لا تزال تستخدم تجزئة MD5. يقولون، أوه، انها آمنة. نحن لا تخزين في نص عادي. لدينا هذا MD5 البعثرة. وكل ما عليك فعله هو فقط جوجل الرقم. 

ليس لدي حتى لحساب نفسي. يمكنني فقط جوجل ذلك، وشخص فعلت بالفعل بالنسبة لي. هنا حفنة منهم. هنا حفنة من كلمات السر. لذلك بالتأكيد لا تستخدم تجزئة MD5، لأن كل ما عليك جوجل فعله هو عليه. فماذا تريد استخدامها بدلا من ذلك؟ موافق. ما يسمى التمليح. فما هو التمليح - لا يا رفاق نتذكر عندما كنا نتحدث عن العشوائية في - لست متأكدا ما كان عليه pset - هل كان هناك pset أو أربعة؟ 

كنا نتحدث عن إيجاد إبرة في كومة قش. وقال في pset أن كنت قد فعلا معرفة ما العشوائي يولد لشخص ما ركض بالفعل عشوائية مليون مرة وفقط شكلت نوعا من ما تولد. ما تريد القيام به هو وضع في المدخلات. وهذا ما هو نوع من التمليح. أحسب أنهم بالفعل ما التمليح يعود لكل عمل. 

وذلك ما يفعله هو التمليح كنت وضعت في الملح. كنت وضعت في كلمة واحدة معينة. وسوف تجزئة تلك الكلمة تبعا على ما كنت وضعت هنا. حتى لو كنت تجزئة كلمة مرور واحدة مع هذا الجملة، انها سوف تجزئة مختلف إذا كنت تجزئة password1 مع الجملة مختلفة. انها نوع من يعطيها مكان لل بدء لتجزئة للبدء. لذلك فمن أصعب بكثير لحساب، ولكنك لا يزال حساب، وخصوصا إذا كنت تستخدم الملح سيئة. 

بالفعل أحسب الناس أيضا أملاح المشتركة وأحسب ما الذي هو عليه. أملاح العشوائية هي أفضل بكثير، ولكن أفضل طريقة هي استخدام ما يسمى سرداب. وما سرداب يسمح لك ل لا - حتى هذه الوظائف هي بنيت بالفعل بالنسبة لك. كثير من الناس ينسون ذلك، أو ينسون لاستخدامه. ولكن إذا أقدرك سرداب PHP، سرداب يعود بالفعل سلسلة التجزئة بالنسبة لي. وأملاح فعلا عدة مرات وتجزئات ذلك مرات عديدة. 

لذلك نحن لم يكن لديك للقيام بذلك. لذلك كل ما عليك القيام به هو إرسالها إلى سرداب. وأنه سيتم إنشاء تجزئة كبيرة دون كنت الحاجة إلى القلق بشأن الملح أو أي شيء. لأنه إذا كان لالملح ذلك، لديك لنتذكر ما الملح استخدمته لأنه إذا لم يكن كذلك، لا يمكنك الحصول على الخاص كلمة العودة من دون الملح الذي استخدمته. موافق. 

وأيضا التعرف الشخصية المعلومات. الضمان الاجتماعي حتى، وبطاقات الائتمان - هذا واضح جدا. لكن في بعض الأحيان ينسى الناس الطريقة التي اعمال، وكم المعلومات هل في الواقع بحاجة إلى العثور على بعض شخص واحد؟ شخص ما فعلت دراسة حول هذه وسيلة الظهر. وكان مثل، إذا كان لديك اسم كامل، لم تتمكن من العثور شخص ما بسهولة. ولكن ماذا لو كان لديك الاسم الكامل وتاريخ ميلادهم؟ هل هذا يكفي لتحديد شخص ما على وجه التحديد؟ 

ماذا لو كان لديك اسم والخاصة و عنوان الشارع أنهم يعيشون على؟ هل هذا يكفي للعثور على شخص ما؟ وذلك عندما يتساءلون، ما هو معلومات تعريفية شخصية، و ما يجب أن تقلق لا تعطي بعيدا؟ إذا كنت التخلي عن تعريف شخصية المعلومات التي شخص ما يمنحك، هل يمكن أن يحتمل الحصول على مقاضاتها. ونحن بالتأكيد لا نريد ذلك. 

حتى عندما كنت وضع موقع الويب الخاص بك بها، وكان لديك حقا بارد تصميم، ونأمل أجريتها مشروع النهائي رهيبة. أي نوع من تريد ل وضعها هناك. كنت ترغب في التأكد من أن كل ما كنت تتناولين من المستخدم، اذا كان معلومات تعريفية شخصية، ل نريد أن نتأكد من أنك في الحقيقة الحذر معها. 

قذيفة الحقن. موافق. قذيفة حقن يسمح الدخيل ل الحصول على سطر الأوامر الفعلية الخاصة بك في الخادم الخاص بك. وحتى انه قادر على تشغيل تعليمات برمجية التي لا يمكن السيطرة عليها. دعونا نأخذ مثالا من هذا سلسلة جميلة هنا. إذا ذهبنا إلى الموقع مرة أخرى، وأنا ستذهب إلى حقن رمز. لذلك هذا ما يفعله هو - كما انها ما كنا تبحث في من قبل. نحن السماح للمستخدم وضع في كل ما يريد، وأنه سوف طباعة كل ما تريد. 

لذلك أنا ذاهب لوضع المكالمة. هذا ما يفعله هو - انها ستبدأ بواسطة وصل. لذلك سوف اسمحوا لي أن تشغيل أيا كان الأمر تشغيل الشخص وقبل أمري. وأنا على التوالي أمر النظام. وهذه السلاسل هي مشاركة - تذكر ما تحدثت لك عن الرجال، حين يكون لديك لترميز في طريقة URL. إذا قمت بتشغيل هذا الآن - سأريكم هنا - سترى أن انتهى حتى تشغيل الأوامر. 

هذا هو في الواقع الفعلي الخادم أن موقع الويب الخاص بي يعمل على. لذلك نحن لا نريد ذلك، لأنني لا أستطيع تشغيل - هذا الخادم ليس لي. لذلك أنا لا أريد أن خبط له شقيقة، والخادم ماركوس. ولكن يمكنك تشغيل أكثر الأوامر التي تشكل خطرا. ويحتمل أن تكون، هل يمكن حذف الملفات، وإزالة الدلائل. يمكنني إزالة دليل معينة إذا أردت أن، ولكن أنا لا أريد للقيام بذلك لماركوس. انه رجل لطيف. انه اسمحوا لي أن تقترض خادم له. لذلك انا ذاهب للسماح له قبالة على واحد جيد. 

فما نحن لا نريد لاستخدام - ونحن لا تريد استخدام وحدة التقييم أو النظام. وحدة التقييم أو نظام يسمح لنا ل جعل هذه المكالمات النظام. وسائل تقييم وحدة التقييم. النظام يعني ما ركضت. يتم تشغيله من شيء في النظام. ولكن يمكننا تحريم هذه الأمور في PHP حتى نتمكن لم تستخدمها. وتحميل الملفات. كنت ذاهبا للقيام رهيبة الشيء مع تحميل الملف. ولكن مثل قلت يا رفاق، ملفي الشيء تحميل لا يعمل. إذا كان لي أن إيداع ملف في الوقت الراهن - إذا كان لي أن تحميل ملف، وانها الصورة - لديك شيء تحميل هذا صورة. هذا شيء طيب. يحدث شيء. 

ولكن إذا كان لديك ملف تحميل، ل سبيل المثال، والمستخدم الإضافات الواقع ملف PHP أو exe أو شيء من هذا القبيل، ثم هل يمكن أن يحتمل لديك مشكلة. وكان هذا العمل من قبل. لسوء الحظ بالنسبة لي، انها لا تعمل بعد الآن. إذا كنت، على سبيل المثال، وتحميل هذا الملف، وأنا عدم الحصول على إذن لتحميل الملف بسبب الخادم عدم الألغام. ذلك الرجل ذكية حقا. 

لذلك نحن لا نريد أن - أنا ذاهب لتظهر لك الرجال - موافق، وهذه هي بعض الأدوات باردة حقا. لذلك فان هذه - الذهاب إلى - إذا كنت الرجال قد فايرفوكس - نأمل أن تفعل. هناك اثنين من إضافات تسمى SQL حقن لي وسيناريو عبر المواقع عني. أنها تفتح الجانب اقل من القضبان على الجانب. وإذا كان لي أن أذهب إلى CS60 على سبيل المثال - لذلك ما تفعله هو أنها تبدو لجميع أشكال ذلك - نأمل، وأنا لن تحصل في ورطة لهذا الغرض. 

ولكن موافق. وهنا نظام دبوس. لذلك عندما أبدأ يبحث عن الثقوب في النظام، فإن أول شيء أقوم به هو فتح هذا القليل جميلة الأداة على الجانب. وانا ذاهب لاختبار أشكال مع هجمات السيارات. وهذا ما يفعله ذلك هو أنه سوف ببطء فتح مجموعة من المتصفحات. وهنا مجموعة من المتصفحات. وانها تحاول كل تركيبة واحدة من البرمجة عبر الموقع غير أن هناك ربما، إذا ترى على الجانب. 

وسوف تعطيني نتيجة ل نوع من ما هو الجواب. جميع بالمرور. من الواضح، وأنهم جميعا بالمرور. أعني، أنهم أذكياء حقا الناس هناك. ولكن إذا كان لي أن تشغيل - لقد كان مرات من قبل عندما كنت تشغيل هذا على المشاريع النهائية للطلاب. أنا ببساطة تشغيل SQL حقن البيانات مع جميع الهجمات المختلفة. وانها تحاول حقن SQL هذا الخادم دبوس. حتى إذا كنا انتقل لأسفل، ل سبيل المثال، فإنه يقول - هذا أمر جيد اذا عاد. 

لذلك اختبار بعض قيم معينة. وعاد الملقم التعليمات البرمجية التي كانت سلبية. إزالة مؤقتا. وهذا أمر جيد. فإنه يحاول كل هذه الاختبارات. لذلك يمكن أن ببساطة تشغيل - أتمنى أن تجد حقيقية الموقع سريعة من شأنها أن تسمح لي - ربما مخزن CS50. 

نجاح باهر، وهذا هو ذاهب ل اتخاذ الطريق طويل جدا. أنني سأترك أول اختبار لا ينتهي حق. حتى انها تشكو. لذلك فان هذه هي الأشياء الثلاثة. هذه الأدوات هي مجانية. يمكنك تنزيلها وتشغيلها على موقع الويب الخاص بك، وسوف اقول لكم ما اذا لديك البرمجة عبر الموقع، إذا كان لديك SQL، إذا كان لديك شيء من مثل. أنا نوع من العبث. 

ما هو مهم - موافق، لذلك لم تثق المستخدم. مهما كانت مدخلات المستخدم للكم، وجعل متأكد من أنك تطهير ذلك، لتنظيفه، قمت بفحص الأمور في نصابها الصحيح، أنه يعطيك ما أريده أن أعطيك. دائما يتم تحديثه على ما أطر ان كنت فعلا باستخدام. إذا كنت تستخدم شيئا مثل التمهيد - وأنا أعلم يا رفاق ذاهبون إلى استخدام التمهيد لانه ذاهب للذهاب على هذا قريبا في الطبقة - وورد أو شيء من هذا القبيل، عادة يمكن أن يكون اخترق هذا. 

ثم كنت لا تعرف حتى. كنت مجرد تشغيل موقع الويب الخاص بك. وأنها آمنة تماما. وتذهب إلى أسفل. لذلك أنا الصيد في وقت مبكر حقا. ولكن أريد أن أشكر Pentest مختبرات. أنا ذاهب لتظهر لك الرجال شيئا دعا Pentest مختبرات. إذا كنت مهتما حقا الرجال في ما الأمنية حقا، هناك الانترنت يسمى Pentest مختبرات إذا يا رفاق تذهب إليه الآن. أوه، حسنا، هذا ليس عليه. أنا مجرد الذهاب لتشغيله مثل هذا. جوجل يقول لي الجواب. 

موافق. وأنه يعلم استخدام لكم - لذلك يقول، تعلم الاختراق على شبكة الإنترنت اختبار الطريق الصحيح. أنه يعلم لكم - نأمل، أنت شخص الأخلاقية. لكنه هل يعلم كيف يمكن أن ننظر في كيف يمكنك الحصول على داخل المواقع. وإذا كنت تعلم كيف يمكن أن تحصل داخل المواقع، ويمكنك معرفة كيفية حماية نفسك من الإصابة المواقع في الداخل. اسمحوا لي أن التكبير لأنه ربما يا رفاق لا تبحث في هذا الحق. 

من حقن SQL لقذيفة، لذلك نوع من كيف يمكنني الحصول من SQL حقن لقذيفة. وقمت بتحميل هذا الجهاز الظاهري. ويأتي الجهاز الظاهري بالفعل مع الموقع الذي كنت ذاهب الى محاولة على. قمت بتحميل هذا PDF. وسوف تظهر لك سطرا سطرا ما ما عليك القيام به، ما تحقق. هذا هو ما مهاجمين الواقع لا للحصول على داخل موقع على شبكة الانترنت. 

وبعض من هذه الاشياء معقدة. أتمنى أن يذهب أكثر أكثر الأشياء مع رفاق. ولكن أخشى أن يا رفاق لم حقا - هذا هو ما ذهبت مع يا رفاق، واختبارات على شبكة الإنترنت لاختبار الاختراق. لا أعرف حقا ما SQL هي وماذا - ندوة كارل جاكسون هو رائع كذلك. يا رفاق لا أعرف نوع ما هو هذا. ولكن إذا ذهبت إلى هذا الموقع، وكنت تحميل هذه الدروس وهذه ملفات PDF، يمكنك إلقاء نظرة على نوع من ما مجال الأمن لا حقا في اختبار الاختراق، ونرى كيف يمكن الحصول على مواقع داخل وحماية نفسك منه. 

لذلك إذا قمت بعمل لمحة سريعة فائقة، انها سوف تكون منع البرامج النصية عبر المواقع. كنت تريد استخدام كل htmlspecialchars الوقت شيئا مدخلات المستخدم. منع حقن SQL. إذا كنت تفعل ذلك، كنت بالفعل أفضل حالا مما كان هارفارد عندما حصلت على خرق. وتأكد من كلمات السر الخاصة بك ليست في نص عادي. تأكد من القيام ليس فقط تجزئة اتجاه واحد لهم ولكن الذي تستخدمه سرداب، وPHP وظيفة التي عرضتها يا رفاق. بهذه الطريقة، يجب أن تكون جيدة. 

أيضا، إذا كان أصدقائك تتيح لك تشغيل حقن SQL البيانات على مواقعها على شبكة الإنترنت. تشغيل البرامج النصية عبر المواقع في موقعيهما على الانترنت. وسترى الكثير من هذه المواقع لديك من نصف طن من نقاط الضعف. إنه أمر لا يصدق كيف ننسى الكثير من الناس لتطهير قواعد البيانات الخاصة بهم أو لجعل متأكد ما إدخال الشخص ليس رمز البرنامج النصي. موافق. أنا نوعا من انتهت في وقت مبكر حقا. ولكن إذا كان أي شخص لديه أي أسئلة حول أي شيء، يمكنك اطلاق النار لي سؤال. نعم. اذهب، اذهب. 

الحضور: أنا فقط أريد أن أسأل، يمكنك شرح كيفية الملف تحميل يعمل بالضبط. 

LUCIANO ARANGO: نعم. لذلك اسمحوا لي أن تظهر لك الصورة تحميل حقيقية سريعة. وبالتالي فإن تحميل ملف - المشكلة الطرافة لتحميل الملف الآن هو أن - أنا ذاهب لفتح التعليمات البرمجية بحيث يا رفاق راجع التعليمات البرمجية وراء الكواليس. ويتم تحميله. وهنا رمز لرافع الملف. 

نحاول الخوض في هذا الدليل أكثر من هنا. ونحن نحاول، وبمجرد أن إدخال ملف، ملف isset - حتى عندما يكون هناك ملف في ملفات، تلك الصورة، ثم نحن نحاول تحريكه هنا. نحن انتزاع ملف أكثر من هنا. هذه الطريقة POST، نوع، صورة، ملف. ونحن بصدد إرسال هذا الملف. ثم مرة واحدة نحصل عليه، وذلك بمجرد الملف لديه صورة، ونحن نحاول إرساله لهذا الدليل. 

المشكلة هي أن الموقع ليس السماح لي بالذهاب إلى هذا الدليل، لأنها لا تريد مني أن أعود. انها لا تريد مني ان اذهب - يجب أن أذهب - هو تحميل حتى هنا. وهنا الصور. لدي ليذهب كل في طريق العودة إلى بداية وضعه في هناك ثم اذهب وضعه في الدليل. لذلك إذا كنت اخوض نافذة الصالة، وكنت أرغب في نقل ملف - [غير مسموع] يمكن أن نرى ذلك. إذا أردت أن نقل ملف، ولدي لوضع اسم الملف ثم المسار الكامل أريد أن أرسلها إلى. 

وثم الملقم ليس السماح لي بالعودة. وحتى انها ليست السماح لي الحصول على هذا الملف. ولكن عادة - ولذلك لا يوجد رمز لل تحميل ملف. لذلك عادة ما سيحدث هو أن شخص ليس التحقق إذا ملفي ينتهي. الحياة السياسية في فرنسا، لذلك أنا تريد أن تحقق. اسمحوا لي أن فتح مثال حقيقي جدا سريعة. 

موافق. هذا الشخص المناسب - لذلك المثال اثنين هو التحقق إذا preg_match - هنا هو أكثر من هنا - للتأكد من أن ينتهي PHP، وهو أمر جيد. وهذا أمر جيد. ولكن هناك حقيقية كبيرة المشكلة مع هذا. وهذا أمر جيد. ولكن إذا كان لي أن وضع ملف يسمى myfavoritepicture.php.jpeg، لم أستطع لا يزال من المحتمل التخلص من الحياة السياسية في فرنسا وتشغيل it.k هذا في PHP خطيرة. كنت لا تريد الشخص أن يكون قادرا لتشغيل التعليمات البرمجية على موقع الويب الخاص بك. 

ولكن بعد ذلك. الحياة السياسية في فرنسا يسمح لها بالمرور. والفكرة هي ما تريد حقا القيام به لم يتم اتخاذ الملفات، A. ولكن، حسنا، ما كنت تريد حقا القيام به هو التأكد من أن تقرأ أنحاء العالم كله. وليس هناك شيء. فب في ذلك. ليس هناك. فب في اسم الملف بأكمله. 

الحضور: ولكن هل يمكن أن وضع. الحياة السياسية في فرنسا على النهاية. الملقمات لا يزال تشغيل التعليمات البرمجية. 

LUCIANO ARANGO: لا، انها لن تشغيل في البداية. عليك أن تذهب إلى الوراء ومحاولة لمعرفة ما إذا كان يمكنك - 

الحضور: لذلك علينا أن - حسنا، مجرد مجموعة أخرى تنطوي - 

LUCIANO ARANGO: نعم. 

الحضور: OK. 

LUCIANO ARANGO: نعم. موافق. أي أسئلة أخرى؟ موافق. أنا ذاهب إلى ترك هذا الأمر وفرز من محاولة لمعرفة ما إذا يا رفاق يمكن - تلك الأخرى هي أكثر قليلا معقدة لأنها تتطلب الكثير المزيد من المعرفة من SQL من مجرد بداية المعرفة على شبكة الإنترنت هو SQL و ما هو جافا سكريبت. ولكن انا ذاهب الى محاولة للحفاظ على هذا الأمر، ونأمل يا رفاق تعلم عن هذا ومحاولة لإلقاء نظرة خاطفة على ما يمكنك القيام به وكيف العديد من الأمثلة يمكنك من خلال الحصول على. 

أي شخص لديه أي دولة أخرى أسئلة حول هذا الموضوع؟ المضي قدما. نعم، واطلاق النار، واطلاق النار. نعم، والمضي قدما. المضي قدما. 

الحضور: OK. حتى سمعت حول كيفية الاسعار ماجيك غير آمنة بما فيه الكفاية. 

LUCIANO ARANGO: ما - ونقلت السحر؟ 

الجمهور: نعم. لذلك يضيف - لذلك كلما كنت مدخلات شيء، فإنه دائما يضيف الاقتباس. 

LUCIANO ARANGO: نعم. نعم. موافق. 

الحضور: وبعد ذلك على الرغم من أنه يعمل، ولكن بعد ذلك أنا بحثت عنه. وقالت انها ليست جيدة. لكنني لست متأكدا من السبب. 

LUCIANO ARANGO: نعم. 

الجمهور: لا تستخدم ماجيك الاسعار، لأنها ليست آمنة. 

LUCIANO ARANGO: OK. ونقلت ماجيك لذلك هو عند إدراج SQL ويضيف بالفعل الاقتباس بالنسبة لك. 

الحضور: إنه دائما يضيف يقتبس حول مهما كنت وضعت فيه. 

LUCIANO ARANGO: نعم. وبالتالي فإن المشكلة مع ذلك هو أن - سوف نلقي نظرة على - 

الحضور: كيف الحصول على عبارة SQL؟ أو أعتقد أنه يمكن أن يكون مثل اقتباس حدد. 

LUCIANO ARANGO: نعم، تحتاج ونقلت جيدة للSQL. 

الجمهور: لا، ولكن الخادم يفعل ذلك بالنسبة لك. 

LUCIANO ARANGO: هذه الاقتباسات الصغيرة الحق هنا، هذه الاقتباسات قليلا؟ 

الجمهور: نعم. 

LUCIANO ARANGO: نعم. المشكلة هو أنه يمكنك التعليق الخروج الماضي - حسنا، ما يمكنني القيام به هو أنني أستطيع التعليق خروج - لذلك دعونا نلقي نظرة على - واسمحوا لي فتح ملف تحرير النص. اسمحوا لي فقط تعديل هذه الحق هنا مباشرة. موافق. يمكنك رؤية أن الرجال بشكل واضح؟ ما يمكنني القيام به هو أنني أستطيع التعليق من آخر واحد. وهذا التعليق من واحد آخر. ومن ثم سوف أضع واحد هنا، وضعت كل الاشياء الضارة هنا. 

وبالتالي فإن المستخدم في الواقع إدخال، أليس كذلك؟ المستخدم ليس إدخال الأشياء، أليس كذلك؟ هذا هو ما أنا ذاهب إلى إدخال كما الشخص يحاول أن يحصل في الداخل. انا ذاهب الى وضعها في - هذا هو علامة اقتباس واحد. انها مجرد متعرج عن طريق الخطأ. ثم ما رمز هو ذاهب الى القيام به - آسف، انا ذاهب الى اتخاذ ذلك. ما هو رمز بصدد القيام به هو انها تسير لإضافة أول علامات الاقتباس هنا. وانه سيكون لإضافة مشاركة علامة اقتباس كذلك. 

وانها تسير أيضا إلى إضافة مشاركة، آخر علامة اقتباس. ولكن أنا تعليقه هذه الاقتباس علامات، لذلك أنها لا تعمل. وأنا الانتهاء من هذا الاقتباس بمناسبة أكثر من هنا. هل تفهم؟ هل فقدت؟ يمكن أن أعلق على الاقتباس مشاركة علامة، ورعاية أول علامة اقتباس. 

الحضور: والنهاية فقط أول واحد. 

LUCIANO ARANGO: نعم. ومجرد الانتهاء من أول واحد. نعم، هذا صحيح. هذا ما يمكنني القيام به. نعم. أي أسئلة أخرى من هذا القبيل؟ هذا هو السؤال الكبير. لا، نعم، ربما. ونأمل يا رفاق نوع من جعل أكثر منطقية عند دراسة SQL و أشياء من هذا القبيل. ولكن تأكد من أنك - تبقي هذه الأدوات في الساعة. آسف، هذه الأدوات أكثر من هنا. هذه الأدوات هي كبيرة. إذا كان أي شخص لديه أي أسئلة، يمكنك البريد الالكتروني لي أيضا. هذا هو بريدي الإلكتروني العادي. وهذا هو العمل بريدي الإلكتروني، والتي هو عندما أعمل في البحار. 

موافق، وذلك بفضل. شكرا، الرجال. كنت جيدة للذهاب. ليس لديك إلى البقاء هنا. لا تصفق. هذا غريب. موافق، وذلك بفضل، والرجال.