1 00:00:00,000 --> 00:00:09,250 2 00:00:09,250 --> 00:00:10,300 >> ЛУЧАНО Аранго: Добре, момчета. 3 00:00:10,300 --> 00:00:11,550 Моето име е Luciano Arango. 4 00:00:11,550 --> 00:00:13,915 Аз съм второкурсник в Adams House. 5 00:00:13,915 --> 00:00:17,550 И ние ще трябва да се говори за уеб сигурност активна отбрана. 6 00:00:17,550 --> 00:00:24,220 Така че аз работя за кабинета на информационния Сигурността в SEAS. 7 00:00:24,220 --> 00:00:28,670 И през лятото, аз интерниран в SeguraTec, която е била информация 8 00:00:28,670 --> 00:00:31,310 охранителна фирма, която служеше за Банката на Колумбия. 9 00:00:31,310 --> 00:00:34,740 Това е най-вече, когато се научих това, което съм научил досега. 10 00:00:34,740 --> 00:00:37,990 >> И така някои от материала, който сме Ще отида днес, ние не трябва 11 00:00:37,990 --> 00:00:39,670 наистина говори в клас. 12 00:00:39,670 --> 00:00:40,410 Но скоро ще го направим. 13 00:00:40,410 --> 00:00:42,360 Това ще бъде като SQL, JavaScript. 14 00:00:42,360 --> 00:00:44,870 И ние наистина не са отишли ​​над него. 15 00:00:44,870 --> 00:00:47,730 Така че може да се справи с полет през нея, и може би не знаете някои неща. 16 00:00:47,730 --> 00:00:48,890 Но скоро, ще го научите. 17 00:00:48,890 --> 00:00:52,080 И всичко това ще има смисъл. 18 00:00:52,080 --> 00:00:54,010 Също така още нещо - 19 00:00:54,010 --> 00:00:55,780 останете етично. 20 00:00:55,780 --> 00:01:00,560 Някои от нещата, които сте научили, вие може да се използва в не-етични начини. 21 00:01:00,560 --> 00:01:01,950 >> Ако това е твоя, определено опитам. 22 00:01:01,950 --> 00:01:04,500 Аз определено мотивира момчета да опитате вашите собствени сървъри, опитайте 23 00:01:04,500 --> 00:01:05,519 става вътре в тях. 24 00:01:05,519 --> 00:01:08,500 Виж, ако можете да ги проникне, ако можете да получите вътре в тях. 25 00:01:08,500 --> 00:01:09,560 Но не на някой друг. 26 00:01:09,560 --> 00:01:12,390 Полицаи наистина не обичат шегите и Като цяло, ние поставяме този тук. 27 00:01:12,390 --> 00:01:14,040 Бяхме каша наоколо. 28 00:01:14,040 --> 00:01:15,780 Те получават наистина ядосан. 29 00:01:15,780 --> 00:01:18,700 >> Така че над главата на този сайт. 30 00:01:18,700 --> 00:01:23,560 Имам я отвори точно тук. 31 00:01:23,560 --> 00:01:26,780 Това е сайт, и да го има куп примери. 32 00:01:26,780 --> 00:01:30,000 Какво се случва, е, че първият пример е вид ще бъде много по-лесно 33 00:01:30,000 --> 00:01:33,470 от последния пример в известен смисъл че първият пример 34 00:01:33,470 --> 00:01:34,970 е напълно несигурно. 35 00:01:34,970 --> 00:01:40,850 И последната една е нещо, което е нормален човек би направил за уеб сигурност. 36 00:01:40,850 --> 00:01:42,760 Но все още можете да сортиране на се получи около това. 37 00:01:42,760 --> 00:01:44,860 И ние ще се фокусира върху един и две, примери един и два. 38 00:01:44,860 --> 00:01:49,880 39 00:01:49,880 --> 00:01:49,920 >> OK. 40 00:01:49,920 --> 00:01:52,780 Нека да започнем с крос-сайт скриптове. 41 00:01:52,780 --> 00:01:56,100 В JavaScript се движат по браузъра на клиента. 42 00:01:56,100 --> 00:01:59,980 Това е език за програмиране, който използвате да се изпълнява на браузъра на клиента, така че 43 00:01:59,980 --> 00:02:04,120 не е нужно да се актуализира на интернет страницата и да се върнете към сървъра. 44 00:02:04,120 --> 00:02:04,940 Имаш го изпълняват. 45 00:02:04,940 --> 00:02:08,870 Така например, Facebook, не е нужно да се презареди на сайта за нов статут 46 00:02:08,870 --> 00:02:09,710 новини идват. 47 00:02:09,710 --> 00:02:12,170 Това е използване на JavaScript, за да генерира всички тези неща. 48 00:02:12,170 --> 00:02:16,290 Така че ние може да се инжектира зловреден JavaScript в уебсайтовете. 49 00:02:16,290 --> 00:02:20,890 И по този начин, когато ние изпратите линк към някой, бихме могли някак да го изпратите с 50 00:02:20,890 --> 00:02:23,050 някои от кода, който искаме. 51 00:02:23,050 --> 00:02:26,450 >> Налице е трайна и не-устойчиви JavaScript - 52 00:02:26,450 --> 00:02:30,640 устойчиви и не-устойчиви крос-сайт скриптове, искам да кажа. 53 00:02:30,640 --> 00:02:33,760 И разликата е, че персистираща JavaScript е, че ще бъде 54 00:02:33,760 --> 00:02:36,060 записан на сайта. 55 00:02:36,060 --> 00:02:39,780 И не-устойчиви ще бъде JavaScript че действително ще се случи само веднъж. 56 00:02:39,780 --> 00:02:41,795 Така че нека да разгледаме един пример много бързо. 57 00:02:41,795 --> 00:02:45,660 58 00:02:45,660 --> 00:02:46,130 >> OK. 59 00:02:46,130 --> 00:02:51,620 Така че този сайт, просто, нищо не се случва тук. 60 00:02:51,620 --> 00:02:53,070 И ние ще се опитаме да вмъкнете някои JavaScript. 61 00:02:53,070 --> 00:02:58,110 Така че начина, по който започнете да пишете JavaScript е да започнем с началото сценария. 62 00:02:58,110 --> 00:03:00,570 И ние го затворите с скрипт. 63 00:03:00,570 --> 00:03:03,770 Ние просто ще се сложи съобщение - 64 00:03:03,770 --> 00:03:05,410 Ще ви покажа - 65 00:03:05,410 --> 00:03:06,500 нащрек. 66 00:03:06,500 --> 00:03:11,150 Alert е функция, която JavaScript използва, за да покаже нещо. 67 00:03:11,150 --> 00:03:12,400 Така че нека да опитаме наистина бързо. 68 00:03:12,400 --> 00:03:15,600 69 00:03:15,600 --> 00:03:18,944 Отивам да отида, предупреждение здравей. 70 00:03:18,944 --> 00:03:20,400 Е, аз забравих да си - 71 00:03:20,400 --> 00:03:24,510 72 00:03:24,510 --> 00:03:25,460 OK. 73 00:03:25,460 --> 00:03:26,540 Така че това е просто. 74 00:03:26,540 --> 00:03:28,730 >> Ние поставяме JavaScript на уебсайт, и тя дойде. 75 00:03:28,730 --> 00:03:31,200 И това нещо се случва само на нашия сайт, нали? 76 00:03:31,200 --> 00:03:33,040 Така изглежда, че това не е проблем, нали? 77 00:03:33,040 --> 00:03:34,920 Искам да кажа, как може да се използва това злонамерено? 78 00:03:34,920 --> 00:03:39,930 Така че начинът, по който хакерите правят това е много проста. 79 00:03:39,930 --> 00:03:40,970 Те ще го вземете. 80 00:03:40,970 --> 00:03:43,750 Те могат да изпращат тази връзка за вас. 81 00:03:43,750 --> 00:03:46,780 Ако Ще изпратя тази връзка да ви точно сега, и ти го отвори, тя ще 82 00:03:46,780 --> 00:03:51,620 кажа, здравей, казвайки, че моя сайт е да кажа здрасти. 83 00:03:51,620 --> 00:03:57,280 >> И така, ако трябва да кажа нещо малко по-умни, ако аз издърпайте нагоре 84 00:03:57,280 --> 00:03:59,880 JavaScript функция I вид на вече писа - 85 00:03:59,880 --> 00:04:03,940 но ако се вгледате в него, аз ще отида Свърши преди да съм го написал. 86 00:04:03,940 --> 00:04:06,650 Така че ние отиваме да зададете изчакване. 87 00:04:06,650 --> 00:04:08,450 Отиваме да се изчака няколко секунди. 88 00:04:08,450 --> 00:04:13,970 В действителност, ние ще чакаме, ако Аз не греша, пет секунди. 89 00:04:13,970 --> 00:04:15,870 Това се отнася в милисекунди. 90 00:04:15,870 --> 00:04:18,640 И тогава това, което ще направя, е, че сме ще предупредим, че вход 91 00:04:18,640 --> 00:04:21,459 във времето, за да се регистрира отново инча 92 00:04:21,459 --> 00:04:23,990 И ние няма да се промени местоположението на друго място. 93 00:04:23,990 --> 00:04:30,370 94 00:04:30,370 --> 00:04:32,970 >> Така че, ако изпратите този сайт, за да някого, те ще бъдат 95 00:04:32,970 --> 00:04:34,380 браузвате наоколо, спокойно. 96 00:04:34,380 --> 00:04:35,650 Нищо не се случва. 97 00:04:35,650 --> 00:04:38,550 И пет секунди, тя ще да се каже, си паролата изтече. 98 00:04:38,550 --> 00:04:40,200 Моля, влезте отново инча 99 00:04:40,200 --> 00:04:43,400 След като щракнете върху OK, аз отивам да да ги отведе до друг сайт. 100 00:04:43,400 --> 00:04:45,980 Предполага се, че на сайта няма да да бъде подобна на уеб сайт, който 101 00:04:45,980 --> 00:04:47,280 те са в преди. 102 00:04:47,280 --> 00:04:50,770 И те започват да влезете си пълномощията в вместо на моя сайт 103 00:04:50,770 --> 00:04:51,850 техния уебсайт. 104 00:04:51,850 --> 00:04:54,780 >> И така, аз може да изпрати хора на имейл с тази връзка. 105 00:04:54,780 --> 00:04:56,240 Аз казвам, о, ето линк. 106 00:04:56,240 --> 00:04:57,290 Това е банка, например. 107 00:04:57,290 --> 00:05:01,390 Аз казвам, тук, отидете на този линк. 108 00:05:01,390 --> 00:05:03,730 И след като го изпратите, те са ще бъде разглеждащи наоколо. 109 00:05:03,730 --> 00:05:07,560 Мога да чакам за 15 секунди, 20 секунди и след това поп че моля влезте отново в 110 00:05:07,560 --> 00:05:08,840 подпише отново. 111 00:05:08,840 --> 00:05:10,120 Вие, момчета, да го опитате с много повече неща. 112 00:05:10,120 --> 00:05:13,190 Тя е сложно, защото вие Не съм виждал JavaScript, така че може да 113 00:05:13,190 --> 00:05:14,750 не знаете някои функции. 114 00:05:14,750 --> 00:05:18,625 Но всичко, което трябва да направите е да започнете с скрипт, завършва с скрипт. 115 00:05:18,625 --> 00:05:22,105 116 00:05:22,105 --> 00:05:25,510 И можеш да сложиш нещо в средата. 117 00:05:25,510 --> 00:05:27,350 >> Alert е функция, изчакайте. 118 00:05:27,350 --> 00:05:29,365 Местоположение Window ви отвежда на ново място. 119 00:05:29,365 --> 00:05:31,370 Но можете да направите много повече. 120 00:05:31,370 --> 00:05:32,630 И така, идеята е, че ние приемаме, че на разстояние. 121 00:05:32,630 --> 00:05:39,350 Ако отида на пример две, и аз сложи в същия този кодекс, това е 122 00:05:39,350 --> 00:05:40,210 не ще да работи. 123 00:05:40,210 --> 00:05:43,620 Така че това е печат на всичко, защото какво този сайт първоначално 124 00:05:43,620 --> 00:05:50,350 прави се ако сложа нещо тук, тя ще го разпечатате точно тук. 125 00:05:50,350 --> 00:05:52,390 Така че това не е нищо печат. 126 00:05:52,390 --> 00:05:55,560 Този пример е всъщност проверка за да видите дали скрипт е там. 127 00:05:55,560 --> 00:05:57,163 Така че, да, давай напред. 128 00:05:57,163 --> 00:05:57,606 Питай ме. 129 00:05:57,606 --> 00:05:59,560 >> ПУБЛИКАТА: Не е изпращане А Вземи или публикувате искане? 130 00:05:59,560 --> 00:06:00,670 >> ЛУЧАНО Аранго: Да. те са изпращане на заявка за GET. 131 00:06:00,670 --> 00:06:01,350 >> ПУБЛИКАТА: Така ли? 132 00:06:01,350 --> 00:06:02,490 >> ЛУЧАНО Аранго: Да. 133 00:06:02,490 --> 00:06:04,030 Също браузъри използват публикувайте искания. 134 00:06:04,030 --> 00:06:07,470 Но аз се опитвам да покажа заявки GET така че да можем да видим какво е 135 00:06:07,470 --> 00:06:10,760 всъщност става. 136 00:06:10,760 --> 00:06:12,880 И така, ако се вгледаме в този кодекс - така че тя не работи вече. 137 00:06:12,880 --> 00:06:24,870 И ако можем да разгледаме в този код, тя ще бъде в пример две. 138 00:06:24,870 --> 00:06:29,300 Това, което човек прави, лицето , отговарящ за този браузър - 139 00:06:29,300 --> 00:06:35,370 отвори, OK - 140 00:06:35,370 --> 00:06:39,290 се замени думата сценария. 141 00:06:39,290 --> 00:06:42,850 Това е PHP, които вие може са видели малко още. 142 00:06:42,850 --> 00:06:46,250 >> Той просто замяна на Думата скрипт с име. 143 00:06:46,250 --> 00:06:50,895 Така обаче, ако отида напред и съм сложил в - 144 00:06:50,895 --> 00:06:58,520 145 00:06:58,520 --> 00:07:02,360 ако аз си взема код отново, и аз отивам да го променят съвсем малко. 146 00:07:02,360 --> 00:07:15,010 Вместо скрипт, аз отивам да се промени то за скрипт с капитал R. И 147 00:07:15,010 --> 00:07:16,390 отиваме да видим дали този код работи. 148 00:07:16,390 --> 00:07:19,090 Така че не го разпечатате, което е добър знак. 149 00:07:19,090 --> 00:07:21,990 И се надяваме, че в още две секунди, това ще изскочи. 150 00:07:21,990 --> 00:07:22,820 >> Вашето потребителско име изтече. 151 00:07:22,820 --> 00:07:23,210 OK. 152 00:07:23,210 --> 00:07:24,460 Всичко е наред. 153 00:07:24,460 --> 00:07:27,670 Така че проверка за скрипт може не е задължително да работи. 154 00:07:27,670 --> 00:07:28,130 Лицето - 155 00:07:28,130 --> 00:07:32,290 то също може да се провери за скрипт главни букви, скрипт, с малки букви, ул. случай 156 00:07:32,290 --> 00:07:34,180 за сравнение, се уверете, че те са едни и същи. 157 00:07:34,180 --> 00:07:38,480 Но хакерът все още може да се направи нещо като това, което направихме в Vigenere когато се преместихме 158 00:07:38,480 --> 00:07:40,620 обратно няколко герои, се движат напред. 159 00:07:40,620 --> 00:07:43,470 И това може да разбера как да се сложи скрипт се върна там, така че може да се инжектира 160 00:07:43,470 --> 00:07:44,460 този скрипт. 161 00:07:44,460 --> 00:07:50,370 >> Така че това, което искате да използвате htmlspecialchars е да 162 00:07:50,370 --> 00:07:51,330 защита на вашия сайт. 163 00:07:51,330 --> 00:07:56,490 И това, което прави е да го прави сигурни, че това, което ще ви постави в - 164 00:07:56,490 --> 00:07:59,610 например, цитати или този по-голяма или по-малко от - 165 00:07:59,610 --> 00:08:04,701 се заменя с нещо че няма да бъде - 166 00:08:04,701 --> 00:08:05,951 позволете ми да увеличите тук - 167 00:08:05,951 --> 00:08:08,730 168 00:08:08,730 --> 00:08:09,685 действителната амперсант. 169 00:08:09,685 --> 00:08:13,420 Той ще замени тези специални HTML символи, които ще видим, когато сме 170 00:08:13,420 --> 00:08:14,670 Говоря за - 171 00:08:14,670 --> 00:08:18,635 172 00:08:18,635 --> 00:08:20,740 О, това ще ме отведе обратно към - 173 00:08:20,740 --> 00:08:24,220 174 00:08:24,220 --> 00:08:25,380 тези герои тук. 175 00:08:25,380 --> 00:08:28,180 >> Това означава, че нещо е смешен. 176 00:08:28,180 --> 00:08:31,570 За HTML, че започва скоба ни казва, че нещо 177 00:08:31,570 --> 00:08:33,299 HTML свързаната идва. 178 00:08:33,299 --> 00:08:33,980 И ние искаме да се отървем от това. 179 00:08:33,980 --> 00:08:36,200 Ние не искаме да се сложи HTML в website.k Ние не искаме на потребителя да бъде 180 00:08:36,200 --> 00:08:40,260 в състояние да сложи нещо в сайта им , които могат да се отразят на тяхната интернет страница, като 181 00:08:40,260 --> 00:08:43,480 скрипт или HTML или нещо подобно. 182 00:08:43,480 --> 00:08:53,090 Важното е, че вие дезинфекцирайте приноса на потребителите. 183 00:08:53,090 --> 00:08:54,720 >> Така че потребителите може да въведе много неща. 184 00:08:54,720 --> 00:08:58,110 Той може да добавя един куп неща, които да опитате да подвежда вашия браузър в още 185 00:08:58,110 --> 00:08:59,410 работи този скрипт код. 186 00:08:59,410 --> 00:09:02,870 Какво искате да направите, е не просто погледнете за скрипт, но изглежда за всичко 187 00:09:02,870 --> 00:09:04,250 че може да бъде опасен. 188 00:09:04,250 --> 00:09:06,800 И htmlspecialchars ще правят това за вас, така че не е нужно 189 00:09:06,800 --> 00:09:07,340 да се тревожи за това. 190 00:09:07,340 --> 00:09:12,280 Но не се опитвайте да направите от себе си нещо със собствения си код. 191 00:09:12,280 --> 00:09:14,055 Всички ли са наясно по XSS? 192 00:09:14,055 --> 00:09:14,370 >> OK. 193 00:09:14,370 --> 00:09:16,355 Да отидем в SQL инжекция. 194 00:09:16,355 --> 00:09:21,010 Така че, SQL инжекция е може би най- номер едно уязвимост 195 00:09:21,010 --> 00:09:22,490 в различни уебсайтове. 196 00:09:22,490 --> 00:09:24,350 Искам да кажа, е добър пример - 197 00:09:24,350 --> 00:09:27,350 Просто се изследва отдалечени за това нещо. 198 00:09:27,350 --> 00:09:34,430 И намерих тази страхотна статия, където Видях, че Харвард е било нарушено, 199 00:09:34,430 --> 00:09:35,390 е опростен. 200 00:09:35,390 --> 00:09:37,370 И аз се чудех, добре, как ще го правят? 201 00:09:37,370 --> 00:09:41,660 Харвард е най-страхотното, най- осигуряване университет някога. 202 00:09:41,660 --> 00:09:43,850 Нали така? 203 00:09:43,850 --> 00:09:45,410 Е, да наруши сървърите, хакерите са използвали 204 00:09:45,410 --> 00:09:47,710 техника, наречена SQL инжекция. 205 00:09:47,710 --> 00:09:50,250 >> Така че това се случва за един ден за ден основа. 206 00:09:50,250 --> 00:09:53,590 Хората забравят, да се вземе предвид за SQL инжекция. 207 00:09:53,590 --> 00:09:54,930 Харвард прави. 208 00:09:54,930 --> 00:10:00,050 Мисля, че тук пише, Принстън, Станфорд, Корнел. 209 00:10:00,050 --> 00:10:03,550 Е, как да направим - така че какъв е този SQL инжекция, която е обединяване на всички тези 210 00:10:03,550 --> 00:10:05,668 хора долу? 211 00:10:05,668 --> 00:10:08,010 OK. 212 00:10:08,010 --> 00:10:12,090 Така че SQL е език за програмиране, който ние използваме за достъп до бази данни. 213 00:10:12,090 --> 00:10:14,560 Това, което ние правим, е да изберете - 214 00:10:14,560 --> 00:10:18,510 И така, какво пише в момента, е да изберете всичко от масата. 215 00:10:18,510 --> 00:10:22,640 >> SQL, той се променя в тези бази данни , които имат маси, пълни с информация. 216 00:10:22,640 --> 00:10:26,550 Така че изберете всичко от потребители когато наименованието е потребителско име. 217 00:10:26,550 --> 00:10:28,120 Нали така? 218 00:10:28,120 --> 00:10:30,770 Обикновено е достатъчно. 219 00:10:30,770 --> 00:10:34,490 Идеята на SQL инжекция е, че вмъкнете някакъв зловреден код, който ще 220 00:10:34,490 --> 00:10:37,270 трик сървъра в течаща нещо по-различно от това, което го 221 00:10:37,270 --> 00:10:38,430 първоначално е действал. 222 00:10:38,430 --> 00:10:44,970 Така че нека да кажем за потребителско име, ще се постави в една или равен на 1. 223 00:10:44,970 --> 00:10:46,700 Така ще се постави в една или равен на 1. 224 00:10:46,700 --> 00:10:49,890 Начинът, по който тя ще прочетете сега ще бъде изберете от потребители, всичко от 225 00:10:49,890 --> 00:10:51,360 потребители - това е всичко - 226 00:10:51,360 --> 00:10:55,880 където име е име, но потребителско име или е равен на 1 милиард. 227 00:10:55,880 --> 00:11:01,760 >> Така че името не е нищо или едно е равно на 1. 228 00:11:01,760 --> 00:11:04,060 1 е равно на 1 винаги е вярно. 229 00:11:04,060 --> 00:11:07,690 Така че това винаги ще върне информация от потребителите. 230 00:11:07,690 --> 00:11:08,100 OK. 231 00:11:08,100 --> 00:11:10,030 Ние не трябва да имат правилното потребителско име. 232 00:11:10,030 --> 00:11:14,240 Ние можем само да има нещо, което ние искаме, и тя ще се върне информация 233 00:11:14,240 --> 00:11:15,690 че имаме нужда. 234 00:11:15,690 --> 00:11:17,160 Нека разгледаме още един пример. 235 00:11:17,160 --> 00:11:22,720 >> Ако ние сме изберете всичко от употреба, където име е ПАДАЩИ потребители на маса - 236 00:11:22,720 --> 00:11:26,420 И така, какво мислиш, че тази воля правя ако сложа в потребителското име 237 00:11:26,420 --> 00:11:29,560 като потребители DROP TABLE? 238 00:11:29,560 --> 00:11:30,230 Всеки, който има идея? 239 00:11:30,230 --> 00:11:31,050 Да. 240 00:11:31,050 --> 00:11:32,470 >> ПУБЛИКАТА: Ще кажа той да зареже всички маси. 241 00:11:32,470 --> 00:11:35,460 >> ЛУЧАНО Аранго: Той ще ни каже да зареже всичко в сайта, 242 00:11:35,460 --> 00:11:38,290 всичко в базата данни. 243 00:11:38,290 --> 00:11:41,910 И това, което хората използват това за - така Отивам да ви покажа момчета. 244 00:11:41,910 --> 00:11:45,462 I забранил отпадане таблиците защото аз не искате 245 00:11:45,462 --> 00:11:48,240 момчета, за да паднат моите маси. 246 00:11:48,240 --> 00:11:49,850 Нека хвърлим един поглед на това. 247 00:11:49,850 --> 00:11:54,410 Така че това просто дърпа нагоре информацията за определен човек. 248 00:11:54,410 --> 00:11:57,550 И така, как можем да знаем дали това е засегнати от SQL инжекция. 249 00:11:57,550 --> 00:12:01,545 Отиваме да се провери много бързо ако можем да сложим нещо - 250 00:12:01,545 --> 00:12:04,990 251 00:12:04,990 --> 00:12:06,080 позволете ми да копирате кода. 252 00:12:06,080 --> 00:12:08,140 Отивам да го прегледаме в секунда. 253 00:12:08,140 --> 00:12:12,210 Отивам да се сложи корен и едно е равно на 1. 254 00:12:12,210 --> 00:12:15,510 >> Това право тук, това знак за процент 23 - 255 00:12:15,510 --> 00:12:19,970 какво всъщност е, ако аз изглежда точно тук, в - 256 00:12:19,970 --> 00:12:23,820 Между другото HTML отнема в цифри, ако да разгледаме, когато сложих в пространството 257 00:12:23,820 --> 00:12:28,380 тук - ако бях в космоса нещо тук, то той се променя до 2 процента. 258 00:12:28,380 --> 00:12:31,420 Смятате ли, момчета, вижте това тук когато сложих в пространството? 259 00:12:31,420 --> 00:12:36,710 Начинът, по който тя работи е само, че можете да изпрати стойности ASCII чрез HTML. 260 00:12:36,710 --> 00:12:40,330 Така че той замества, например, пространство с процента на 20. 261 00:12:40,330 --> 00:12:41,970 Аз не знам, ако вие съм виждал това преди. 262 00:12:41,970 --> 00:12:45,100 >> Той заменя на hashtag с процента 23. 263 00:12:45,100 --> 00:12:50,840 Имаме нужда от hashtag в края на или изявление, така че ние можем да кажем на 264 00:12:50,840 --> 00:13:00,885 база данни, да се забрави да коментирате тази последна точка и запетая в края. 265 00:13:00,885 --> 00:13:03,060 Искаме тя да не мисля за това. 266 00:13:03,060 --> 00:13:05,980 Ние просто искаме да стартирате всичко че имаме предварително и 267 00:13:05,980 --> 00:13:07,450 коментирам това. 268 00:13:07,450 --> 00:13:08,710 Нека хвърлим един поглед към него. 269 00:13:08,710 --> 00:13:14,670 >> Така че, ако аз трябваше да сложи нещо не е наред - нека да кажем, например, сложих две равни 270 00:13:14,670 --> 00:13:15,690 1, той не ми даде нищо. 271 00:13:15,690 --> 00:13:22,930 Когато сложих в едно е равно на 1, и го прави върнете нещо, това ми казва, че 272 00:13:22,930 --> 00:13:24,660 това е уязвима на SQL инжекция. 273 00:13:24,660 --> 00:13:29,090 Сега знам, че каквото и да Сложих след това - 274 00:13:29,090 --> 00:13:39,110 и например, пускате таблици или нещо подобно 275 00:13:39,110 --> 00:13:41,190 Определено ще работи. 276 00:13:41,190 --> 00:13:44,350 Знам, че е уязвим за SQL инжекция защото знам, че 277 00:13:44,350 --> 00:13:49,850 под капака, това е отдаване под наем ми направи едно е равно на едно нещо. 278 00:13:49,850 --> 00:13:51,100 OK? 279 00:13:51,100 --> 00:13:53,950 280 00:13:53,950 --> 00:13:56,540 >> И ако се вгледаме в тези други такива, номер две и номер три, това е 281 00:13:56,540 --> 00:13:59,110 ще се направи малко по- на проверка под 282 00:13:59,110 --> 00:14:03,680 качулка на какво е то. 283 00:14:03,680 --> 00:14:07,425 Така че всеки, който даде възможност на спад Все още нищо или са се опитали? 284 00:14:07,425 --> 00:14:08,760 Мислите ли, нещо като получите SQL все още? 285 00:14:08,760 --> 00:14:10,430 Защото знам, че момчетата не са го видели още, така че това е вид 286 00:14:10,430 --> 00:14:11,759 объркващо за вас, момчета. 287 00:14:11,759 --> 00:14:16,160 288 00:14:16,160 --> 00:14:18,480 Нека хвърлим един поглед. 289 00:14:18,480 --> 00:14:21,270 Така че това, което е начин да се предотврати SQLI? 290 00:14:21,270 --> 00:14:21,390 OK. 291 00:14:21,390 --> 00:14:23,330 Така че това е наистина важно, защото момчета определено искат да се предотврати 292 00:14:23,330 --> 00:14:24,090 това във вашите сайтове. 293 00:14:24,090 --> 00:14:28,040 >> Ако не, всички ваши приятели ще да се шегува с теб, когато те капка всички 294 00:14:28,040 --> 00:14:29,390 Вашите маси. 295 00:14:29,390 --> 00:14:36,150 Така че идеята е, че ремонт на SQL по определен начин, докато ти мач 296 00:14:36,150 --> 00:14:41,940 това, което потребителят входовете с определен низ. 297 00:14:41,940 --> 00:14:46,120 Така че начина, по който това работи ли е получаване на данни. 298 00:14:46,120 --> 00:14:50,830 Вие избирате име, цвят и калории от база данни, наречена плодове. 299 00:14:50,830 --> 00:14:53,580 И тогава, когато е по-малко калории, отколкото, и ще се постави въпросителен знак там 300 00:14:53,580 --> 00:14:56,530 Казваш, че започваш да се вход нещо в секунда. 301 00:14:56,530 --> 00:14:58,850 >> И цвета е равен, и ние поставяме въпрос марка казват, че ще 302 00:14:58,850 --> 00:15:00,913 въвеждане нещо в секунда, както добре. 303 00:15:00,913 --> 00:15:02,660 OK? 304 00:15:02,660 --> 00:15:09,920 И след това ние го изпълни, извеждайки в 150 и червено. 305 00:15:09,920 --> 00:15:12,820 И това ще провери уверите, че тези две - 306 00:15:12,820 --> 00:15:15,300 този масив ще проверява дали тези две са цяло число и 307 00:15:15,300 --> 00:15:16,550 че това е низ. 308 00:15:16,550 --> 00:15:18,810 309 00:15:18,810 --> 00:15:20,890 Тогава да отидем и ние донесе всички, ние го сложи в червено. 310 00:15:20,890 --> 00:15:21,964 Това означава, че ние донесе всичко. 311 00:15:21,964 --> 00:15:26,790 Това означава, че ние всъщност се изпълни SQL изявление и да го пуснат обратно в червено. 312 00:15:26,790 --> 00:15:30,530 Тук ние правим същото, но ние направи същото за жълто. 313 00:15:30,530 --> 00:15:32,490 И ние донесе всичко. 314 00:15:32,490 --> 00:15:36,140 >> И по този начин, можем да предотвратим потребителя от възможността за въвеждане на нещо 315 00:15:36,140 --> 00:15:41,710 , че не е това, което е определено, низ или цяло число, например. 316 00:15:41,710 --> 00:15:45,100 317 00:15:45,100 --> 00:15:46,610 Аз говорех по-рано за разчита на другите. 318 00:15:46,610 --> 00:15:50,010 Когато вие започнете вашия проект, вие сте най-категорично ще използваме 319 00:15:50,010 --> 00:15:52,310 работят поетапно или нещо подобно. 320 00:15:52,310 --> 00:15:53,490 Били ли сте някога, използвани Wordpress? 321 00:15:53,490 --> 00:15:57,170 Вероятно вие момчета са използвали Wordpress, най-вероятно. 322 00:15:57,170 --> 00:16:00,050 Така че проблемът с използването неща на други хора - 323 00:16:00,050 --> 00:16:05,940 Аз съм просто ще Google много бързо Wordpress уязвимост. 324 00:16:05,940 --> 00:16:07,495 >> Ако аз извадя това точно сега - 325 00:16:07,495 --> 00:16:08,995 Аз буквално направи две секунди Google. 326 00:16:08,995 --> 00:16:12,300 327 00:16:12,300 --> 00:16:13,800 Ние можем да видим, че Wordpress - 328 00:16:13,800 --> 00:16:17,450 това е с дата през септември '12. 329 00:16:17,450 --> 00:16:19,120 26 се обновява. 330 00:16:19,120 --> 00:16:23,620 Конфигурацията по подразбиране на Wordpress преди 3.6 не пречи на тези 331 00:16:23,620 --> 00:16:27,110 някои качвания, които биха могли да направи по-лесно за 332 00:16:27,110 --> 00:16:29,790 крос-сайт скриптове атаки. 333 00:16:29,790 --> 00:16:34,530 Така че една история на бързо, след като ние работехме с - така че аз бях, през лятото, работещи на 334 00:16:34,530 --> 00:16:34,970 стаж. 335 00:16:34,970 --> 00:16:40,400 И ние работехме с вид като дружество с голяма кредитна карта. 336 00:16:40,400 --> 00:16:42,020 >> И те разчитат на нещо, наречено - 337 00:16:42,020 --> 00:16:45,740 Аз не знам, ако вие някога съм играл с един продукт, наречен Joomla. 338 00:16:45,740 --> 00:16:51,750 Joomla е продукт, който се използва за контрол - нещо подобно на 339 00:16:51,750 --> 00:16:54,340 Wordpress, използвани за изграждане на уеб сайтове. 340 00:16:54,340 --> 00:16:56,060 Така че те имаха своя уебсайт работи върху Joomla. 341 00:16:56,060 --> 00:16:59,290 Това всъщност е кредитна карта фирма в Колумбия. 342 00:16:59,290 --> 00:17:01,000 Аз ще ви отведе до тяхната сайт много бързо. 343 00:17:01,000 --> 00:17:04,550 344 00:17:04,550 --> 00:17:05,400 >> Така че те са използвали Joomla. 345 00:17:05,400 --> 00:17:08,630 И те не бяха актуализира Joomla за най-новото попълнение. 346 00:17:08,630 --> 00:17:12,160 И така, когато ние бяхме като погледнете кода си, ние бяхме в състояние действително да 347 00:17:12,160 --> 00:17:18,430 влезем вътре кода си и да открадне всички информация за кредитна карта, която те са имали, 348 00:17:18,430 --> 00:17:21,670 всички номера на кредитни карти, имената, адресите. 349 00:17:21,670 --> 00:17:22,740 И това е просто - 350 00:17:22,740 --> 00:17:23,569 и техният код е съвършено глоба. 351 00:17:23,569 --> 00:17:24,710 Те имаха голямо код. 352 00:17:24,710 --> 00:17:25,389 Това беше всичко сигурност. 353 00:17:25,389 --> 00:17:26,520 Те проверяват всички бази данни. 354 00:17:26,520 --> 00:17:29,020 Те се е убедил, крос-сайт скриптове беше наред. 355 00:17:29,020 --> 00:17:34,390 >> Но те използват нещо, което не е било актуализира, че не е сигурна. 356 00:17:34,390 --> 00:17:36,940 И така, че да ги доведе до - така вие момчета Определено ще използвам друга 357 00:17:36,940 --> 00:17:40,650 код, рамки на хората на други хора да изградят своя уебсайт. 358 00:17:40,650 --> 00:17:43,860 Уверете се, че те са сигурни, защото понякога това не си ти, този, който 359 00:17:43,860 --> 00:17:44,480 прави грешка. 360 00:17:44,480 --> 00:17:47,440 Но някой друг прави грешка, и тогава да падне заради това. 361 00:17:47,440 --> 00:17:51,190 362 00:17:51,190 --> 00:17:53,885 >> Пароли и PII. 363 00:17:53,885 --> 00:17:56,820 Така пароли. 364 00:17:56,820 --> 00:17:58,070 OK. 365 00:17:58,070 --> 00:17:59,980 366 00:17:59,980 --> 00:18:04,230 Нека да разгледаме най-пароли много бързо. 367 00:18:04,230 --> 00:18:04,590 OK. 368 00:18:04,590 --> 00:18:06,520 Моля, кажете ми, че всеки използва защитен - 369 00:18:06,520 --> 00:18:09,030 Аз съм с надеждата всички тук използва сигурни пароли. 370 00:18:09,030 --> 00:18:12,890 Аз съм просто отдаване под наем, които в като предположение. 371 00:18:12,890 --> 00:18:14,850 Така че, вие определено ще съхранява пароли за вашия уеб сайтове. 372 00:18:14,850 --> 00:18:17,440 Ти започваш да се направи нещо подобно логин или нещо подобно. 373 00:18:17,440 --> 00:18:19,610 Важното е да не се съхранява пароли в обикновен текст. 374 00:18:19,610 --> 00:18:20,860 Това е изключително важно. 375 00:18:20,860 --> 00:18:23,960 Вие не искате да съхраните парола в обикновен текст. 376 00:18:23,960 --> 00:18:27,370 >> И вие определено не искам да я съхранява в един начин хеш. 377 00:18:27,370 --> 00:18:32,440 Така че това, което е един от начините за сегментиране е, че когато генериране на една дума, когато поставите този 378 00:18:32,440 --> 00:18:36,200 дума в хеш функция, тя ще генерира обратно някакъв загадъчен 379 00:18:36,200 --> 00:18:39,390 съобщение или загадъчен набор от ключове. 380 00:18:39,390 --> 00:18:40,640 Аз ще ви покажа един пример. 381 00:18:40,640 --> 00:18:44,620 382 00:18:44,620 --> 00:18:50,250 Отивам да хеш те дума password1. 383 00:18:50,250 --> 00:18:55,280 Така md5 хеш ще ме върне някаква странна информация. 384 00:18:55,280 --> 00:18:59,140 >> Проблемът е, че хората там че искал да отиде в сайтове имат 385 00:18:59,140 --> 00:19:02,750 вече разбра сортиране на всички хешове на md5. 386 00:19:02,750 --> 00:19:06,030 Това, което те са се те седна на тяхната компютри, и те сегментира всеки 387 00:19:06,030 --> 00:19:09,660 единствен възможен дума там, докато те имам нещо като какво е това. 388 00:19:09,660 --> 00:19:11,420 Ако аз трябваше да гледам това нагоре - 389 00:19:11,420 --> 00:19:12,420 Аз просто хвана този хеш. 390 00:19:12,420 --> 00:19:14,120 Ако получа тази хеш от - 391 00:19:14,120 --> 00:19:17,470 ако отида в един сайт, и аз намирам този хеш, защото аз стигнем до 392 00:19:17,470 --> 00:19:24,100 бази данни, и аз го гледам, някой вече го измисли за мен. 393 00:19:24,100 --> 00:19:28,600 394 00:19:28,600 --> 00:19:29,100 >> Да. 395 00:19:29,100 --> 00:19:35,030 Така че хората седнаха, и каквото и md5 хашиш, че сте поставили, те ще 396 00:19:35,030 --> 00:19:37,760 се върне към вас нещо че е една дума. 397 00:19:37,760 --> 00:19:39,800 Ако хеш друга дума, като - 398 00:19:39,800 --> 00:19:42,410 Аз не знам - 399 00:19:42,410 --> 00:19:43,490 trees2. 400 00:19:43,490 --> 00:19:46,050 Аз не искам да бъда разочарован от моите Google търсения. 401 00:19:46,050 --> 00:19:49,820 402 00:19:49,820 --> 00:19:52,780 Ето го, trees2. 403 00:19:52,780 --> 00:19:55,930 Така че много сайтове все още използват md5 хеш. 404 00:19:55,930 --> 00:19:57,730 Те казват, о, това е сигурно. 405 00:19:57,730 --> 00:19:58,570 Ние не се съхранява в обикновен текст. 406 00:19:58,570 --> 00:19:59,740 Ние имаме този md5 хеш. 407 00:19:59,740 --> 00:20:01,880 И всичко, което трябва да направите, е просто Гугъл номера. 408 00:20:01,880 --> 00:20:03,940 >> Дори не е нужно да се изчисли. 409 00:20:03,940 --> 00:20:06,790 Просто не мога да го в Гугъл, и някой вече го е направил за мен. 410 00:20:06,790 --> 00:20:08,010 Ето един куп от тях. 411 00:20:08,010 --> 00:20:09,260 Ето един куп пароли. 412 00:20:09,260 --> 00:20:13,890 413 00:20:13,890 --> 00:20:18,680 Така че определено не използвайте md5 хеш, защото всичко, което трябва да 414 00:20:18,680 --> 00:20:19,140 направите, е Google него. 415 00:20:19,140 --> 00:20:20,390 Така че това, което искаш, вместо да се използва? 416 00:20:20,390 --> 00:20:29,340 417 00:20:29,340 --> 00:20:30,170 OK. 418 00:20:30,170 --> 00:20:31,260 Нещо, наречено осоляване. 419 00:20:31,260 --> 00:20:32,460 Така че това, което е осоляване - 420 00:20:32,460 --> 00:20:36,280 Мислите ли, помня, когато бяхме Говорим за произволно - 421 00:20:36,280 --> 00:20:37,920 Аз не съм сигурен какво PSET беше - 422 00:20:37,920 --> 00:20:41,140 бе я PSET там или четири? 423 00:20:41,140 --> 00:20:45,150 >> Ние говорехме за намиране на игла в купа сено. 424 00:20:45,150 --> 00:20:48,480 И в PSET, тя каза, че бихте могли да всъщност разбера какво случаен 425 00:20:48,480 --> 00:20:51,840 генерира, защото някой вече се завтече случайни милион пъти и само 426 00:20:51,840 --> 00:20:53,230 вид формира това, което те генерират. 427 00:20:53,230 --> 00:20:55,840 Какво искате да направите, е да постави в един вход. 428 00:20:55,840 --> 00:20:57,130 Така че това е, което осоляване вид е. 429 00:20:57,130 --> 00:21:00,900 Те вече разбра какво осоляване връща за всяка работа. 430 00:21:00,900 --> 00:21:04,750 >> Така че това, което прави, е да осоляване ще ви постави в сол. 431 00:21:04,750 --> 00:21:06,160 Слагаш в определена дума. 432 00:21:06,160 --> 00:21:09,720 И това ще разискват тази дума в зависимост върху това, което ще ви постави в тук. 433 00:21:09,720 --> 00:21:13,570 Така че, ако аз хеш парола едно с този изречение, че ще ходи да хеш 434 00:21:13,570 --> 00:21:17,180 по различен начин, ако аз хеш password1 с различна присъда. 435 00:21:17,180 --> 00:21:21,670 Това нещо го дава някъде да начало за хеширане да започне. 436 00:21:21,670 --> 00:21:25,970 Така че това е много по-трудно да се изчисли, но вие все още може да го изчисли, особено 437 00:21:25,970 --> 00:21:26,830 ако използвате лоша сол. 438 00:21:26,830 --> 00:21:29,650 >> Хората, които вече също измислили общи соли и измисли 439 00:21:29,650 --> 00:21:31,500 какво е то. 440 00:21:31,500 --> 00:21:34,980 Случайни соли са много по-добри, но най-добрият начин е да се използва 441 00:21:34,980 --> 00:21:38,160 нещо, наречено крипта. 442 00:21:38,160 --> 00:21:40,480 И това, което ви позволява да крипта да - така че тези функции са 443 00:21:40,480 --> 00:21:41,820 вече построен за вас. 444 00:21:41,820 --> 00:21:44,910 Много хора забравят, че, или те забравят да го използвам. 445 00:21:44,910 --> 00:21:54,520 Но ако погледнете нагоре крипта PHP, крипта вече връща низ хеш за мен. 446 00:21:54,520 --> 00:21:58,790 И това всъщност го много пъти и соли и хешове много пъти. 447 00:21:58,790 --> 00:22:00,070 >> Така че ние не трябва да правим това. 448 00:22:00,070 --> 00:22:04,790 Така че всичко, което трябва да направите, е да да го изпратите в крипта. 449 00:22:04,790 --> 00:22:08,170 И това ще създаде голям хеш без да ви се налага да се притеснявате за сол 450 00:22:08,170 --> 00:22:08,990 или нещо подобно. 451 00:22:08,990 --> 00:22:12,000 Защото, ако ви се налага да го сол, имате да си спомните какво сте използвали сол 452 00:22:12,000 --> 00:22:13,800 защото, ако не, не можете да получите вашия парола обратно без съгласието на 453 00:22:13,800 --> 00:22:15,760 сол, която сте използвали. 454 00:22:15,760 --> 00:22:17,010 OK. 455 00:22:17,010 --> 00:22:21,120 456 00:22:21,120 --> 00:22:23,150 >> А също и лична идентифицираща информация. 457 00:22:23,150 --> 00:22:26,730 Така социалното осигуряване, кредитна карта - това е доста очевидно. 458 00:22:26,730 --> 00:22:31,880 Но понякога хората забравят начина, по който дела е, колко много информация, което правите 459 00:22:31,880 --> 00:22:35,690 всъщност трябва да се намери някой човек? 460 00:22:35,690 --> 00:22:37,740 Някой е направил проучване за този път назад. 461 00:22:37,740 --> 00:22:40,870 И това е като, ако имате пълното име, не можете да намерите 462 00:22:40,870 --> 00:22:41,610 някой, който лесно. 463 00:22:41,610 --> 00:22:43,900 Но какво, ако имате пълно име и датата на раждане? 464 00:22:43,900 --> 00:22:47,770 Това ли е достатъчно, за да се идентифицират някой конкретно? 465 00:22:47,770 --> 00:22:52,760 >> Какво става, ако имате своето име и Адресът, че те живеят тук? 466 00:22:52,760 --> 00:22:55,110 Това ли е достатъчно, за да се намери някой? 467 00:22:55,110 --> 00:23:02,490 И това е, когато те поставят под въпрос, какво е лична идентификационна информация, и 468 00:23:02,490 --> 00:23:05,360 какво трябва да се тревожи за не раздаването? 469 00:23:05,360 --> 00:23:08,770 Ако раздават персонално идентифицираща информация, че някой ти дава, 470 00:23:08,770 --> 00:23:11,420 вие потенциално биха могли да те осъдят. 471 00:23:11,420 --> 00:23:12,610 И ние определено не искам това. 472 00:23:12,610 --> 00:23:14,955 >> Така че, когато сте пускането вашия сайт навън, а вие имате една наистина страхотно 473 00:23:14,955 --> 00:23:17,230 дизайн, надявам се сте направили едно страхотно окончателен проект. 474 00:23:17,230 --> 00:23:18,370 Всеки ли нещо искам да го сложи там. 475 00:23:18,370 --> 00:23:21,420 Вие искате да сте сигурни, че каквото и да сте като от страна на потребителя, ако това е 476 00:23:21,420 --> 00:23:25,310 лична идентифицираща информация, можете искате да сте сигурни, че е наистина 477 00:23:25,310 --> 00:23:26,560 внимателни с него. 478 00:23:26,560 --> 00:23:29,670 479 00:23:29,670 --> 00:23:31,080 >> Инжектиране Shell. 480 00:23:31,080 --> 00:23:31,350 OK. 481 00:23:31,350 --> 00:23:37,590 Инжектиране Shell позволява на нарушител да да получите достъп до вашата действителна командния ред 482 00:23:37,590 --> 00:23:39,660 във вашия сървър. 483 00:23:39,660 --> 00:23:44,060 И така, той е в състояние да тече код че не можете да контролирате. 484 00:23:44,060 --> 00:23:49,560 Да вземем един пример за това красива низ точно тук. 485 00:23:49,560 --> 00:23:55,570 Ако отидем в сайта отново, аз съм ще отидат в код инжекция. 486 00:23:55,570 --> 00:23:58,910 Така че това, което прави е - 487 00:23:58,910 --> 00:24:00,420 тя също е това, което бяхме гледа преди. 488 00:24:00,420 --> 00:24:11,200 Пускаме потребителят постави под каквато и да той иска, и това ще отпечата 489 00:24:11,200 --> 00:24:12,220 каквото си искате. 490 00:24:12,220 --> 00:24:13,890 >> Така че аз отивам да поставите разговор. 491 00:24:13,890 --> 00:24:15,540 Това, което прави, е - 492 00:24:15,540 --> 00:24:16,940 тя ще започне от слепване. 493 00:24:16,940 --> 00:24:19,520 Така че това ще ми позволи да тече независимо заповядвам Спринт на лицето 494 00:24:19,520 --> 00:24:21,500 преди и по моя команда. 495 00:24:21,500 --> 00:24:23,980 И аз бягам по-командна система. 496 00:24:23,980 --> 00:24:27,310 И тези последните струни са - не забравяйте, това, което съм говорил с вас за, 497 00:24:27,310 --> 00:24:31,725 като има предвид, че трябва да се кодират то в метод URL. 498 00:24:31,725 --> 00:24:35,010 499 00:24:35,010 --> 00:24:36,992 Ако стартирате тази сега - 500 00:24:36,992 --> 00:24:39,150 Аз ще ви покажа тук - 501 00:24:39,150 --> 00:24:41,100 ще видите, че аз накрая до изпълняване на командата. 502 00:24:41,100 --> 00:24:45,700 503 00:24:45,700 --> 00:24:49,320 >> Това е всъщност сървъра че моя сайт е стартиран на. 504 00:24:49,320 --> 00:24:55,840 505 00:24:55,840 --> 00:24:58,510 Така че ние не искаме това, защото мога да тичам - 506 00:24:58,510 --> 00:25:00,320 този сървър не е мое. 507 00:25:00,320 --> 00:25:04,030 Така че аз не искам да се забъркваш си сестра, сървър Маркъс. 508 00:25:04,030 --> 00:25:07,470 Но можете да стартирате повече команди че са опасни. 509 00:25:07,470 --> 00:25:11,885 И потенциално, бихте могли да изтриете файлове, премахване на директории. 510 00:25:11,885 --> 00:25:14,390 511 00:25:14,390 --> 00:25:17,970 Мога да премахнете определена директория, ако Исках, но не искам 512 00:25:17,970 --> 00:25:19,530 да направя, че да Marcus. 513 00:25:19,530 --> 00:25:20,420 Той е добро момче. 514 00:25:20,420 --> 00:25:21,470 Той нека да заеме неговото сървър. 515 00:25:21,470 --> 00:25:24,620 Така че аз отивам да го пусне изключване на една добра. 516 00:25:24,620 --> 00:25:32,280 >> Така че това, което ние не искаме да се използва - не го правим искате да използвате Eval или система. 517 00:25:32,280 --> 00:25:34,755 Eval или система ни позволява да направи тези системни повиквания. 518 00:25:34,755 --> 00:25:37,410 519 00:25:37,410 --> 00:25:38,410 Eval средства оценяват. 520 00:25:38,410 --> 00:25:40,790 System означава това, което аз се завтече. 521 00:25:40,790 --> 00:25:42,490 Тя тече нещо в системата. 522 00:25:42,490 --> 00:25:46,730 Но ние можем да обявят за незаконни тези неща в PHP, така че ние не ги използваме. 523 00:25:46,730 --> 00:25:47,400 И за качване на файлове. 524 00:25:47,400 --> 00:25:49,180 Щях да направя едно страхотно нещо с качването на файла. 525 00:25:49,180 --> 00:25:52,740 Но както ти казах, момчета, ми файл качване нещо не работи. 526 00:25:52,740 --> 00:25:54,590 Ако аз трябваше да качите файл в момента - 527 00:25:54,590 --> 00:25:57,120 528 00:25:57,120 --> 00:26:00,830 ако трябва да качите файл, и това е една картина - 529 00:26:00,830 --> 00:26:03,180 Имате ли нещо за качване това е една картина. 530 00:26:03,180 --> 00:26:03,660 Това е добре. 531 00:26:03,660 --> 00:26:04,280 Нищо не се случва. 532 00:26:04,280 --> 00:26:10,840 >> Но ако имате за качване на файлове, за Например, и потребителят всъщност качени 533 00:26:10,840 --> 00:26:19,220 файл, PHP или файл Exe или нещо като това, тогава бихте могли потенциално 534 00:26:19,220 --> 00:26:19,740 имате проблем. 535 00:26:19,740 --> 00:26:21,390 Това е работил преди. 536 00:26:21,390 --> 00:26:25,202 За съжаление, за мен, това е не работи вече. 537 00:26:25,202 --> 00:26:30,230 Ако аз, например, качване на този файл, аз съм ако не се получи разрешение да качите 538 00:26:30,230 --> 00:26:33,400 дължимото към сървъра файла Не е моя. 539 00:26:33,400 --> 00:26:38,670 Така че човекът е наистина умен. 540 00:26:38,670 --> 00:26:39,610 >> Така че ние не искаме да - 541 00:26:39,610 --> 00:26:40,130 Отивам да ви покажа момчета - 542 00:26:40,130 --> 00:26:41,840 OK, това са някои наистина готини инструменти. 543 00:26:41,840 --> 00:26:45,100 Така че те - 544 00:26:45,100 --> 00:26:47,715 отидете в - ако вие имате Firefox - да се надяваме, което правите. 545 00:26:47,715 --> 00:26:54,260 Има две добавки, наречени SQL Инжектирайте Me и Cross-Site Script Me. 546 00:26:54,260 --> 00:26:56,870 Те откриват най-малко странични барове на страната. 547 00:26:56,870 --> 00:27:01,480 И ако трябва да отидете на CS60 например - 548 00:27:01,480 --> 00:27:04,210 така че това, което той прави, е да го гледа за всички форми, които - 549 00:27:04,210 --> 00:27:07,220 550 00:27:07,220 --> 00:27:08,760 да се надяваме, че няма да имам в беда за това. 551 00:27:08,760 --> 00:27:09,190 >> Но OK. 552 00:27:09,190 --> 00:27:12,600 Ето системата на щифт. 553 00:27:12,600 --> 00:27:18,946 Така че, когато започнете да търсите за дупки в системата, първото нещо, което правя, е 554 00:27:18,946 --> 00:27:21,820 отвори тази красива малко инструмент на страната. 555 00:27:21,820 --> 00:27:24,160 И аз отивам да тестват форми с авто атаки. 556 00:27:24,160 --> 00:27:28,510 И така, какво прави това е бавно ще отвори един куп браузъри. 557 00:27:28,510 --> 00:27:29,930 Ето един куп браузъри. 558 00:27:29,930 --> 00:27:33,320 И тя се опитва всеки един комбинация на кръстосана сайт скриптове 559 00:27:33,320 --> 00:27:37,380 че вероятно е, ако виждате отстрани. 560 00:27:37,380 --> 00:27:42,080 >> И това ще ми даде резултат нещо, което отговорът е. 561 00:27:42,080 --> 00:27:42,860 All мине. 562 00:27:42,860 --> 00:27:43,910 Очевидно е, че всички те преминават. 563 00:27:43,910 --> 00:27:46,190 Искам да кажа, те са наистина умни хората там. 564 00:27:46,190 --> 00:27:48,010 Но ако трябва да се осъществи - 565 00:27:48,010 --> 00:27:52,050 Аз съм имал пъти преди, когато аз тичам този на окончателните проекти на учениците. 566 00:27:52,050 --> 00:27:56,080 Аз просто стартирате SQL Инжектирайте Me с всички различни атаки. 567 00:27:56,080 --> 00:28:00,080 И тя се опитва да инжектира SQL този ПИН сървър. 568 00:28:00,080 --> 00:28:03,590 Така че, ако ние превъртете надолу, за Например, той казва - 569 00:28:03,590 --> 00:28:04,960 това е добре, ако той се връща. 570 00:28:04,960 --> 00:28:08,250 >> Така че го изпитват някои определени ценности. 571 00:28:08,250 --> 00:28:11,170 И сървъра се връща на код, който е отрицателен. 572 00:28:11,170 --> 00:28:11,780 Премахнете временно. 573 00:28:11,780 --> 00:28:13,030 Това е добре. 574 00:28:13,030 --> 00:28:17,050 575 00:28:17,050 --> 00:28:20,750 Той се опитва всички тези тестове. 576 00:28:20,750 --> 00:28:21,790 Така бихте могли просто да тичам - 577 00:28:21,790 --> 00:28:27,860 Иска ми се да се намери сайт за недвижими бързо, че ще ме пусне - 578 00:28:27,860 --> 00:28:29,110 може би магазина CS50. 579 00:28:29,110 --> 00:28:43,890 580 00:28:43,890 --> 00:28:45,711 >> Уау, това ще взема твърде дълго. 581 00:28:45,711 --> 00:28:53,090 582 00:28:53,090 --> 00:28:55,130 Ще оставя на първия тест не завърши добре. 583 00:28:55,130 --> 00:28:57,330 Така тя се оплаква. 584 00:28:57,330 --> 00:28:58,470 Така че това са три неща. 585 00:28:58,470 --> 00:29:00,430 Тези инструменти са безплатни. 586 00:29:00,430 --> 00:29:03,960 Можете да ги изтеглите и да ги управляват по вашия сайт, и тя ще ви каже, ако 587 00:29:03,960 --> 00:29:06,650 имате крос-сайт скриптове, ако имате SQL, ако имате 588 00:29:06,650 --> 00:29:07,900 нещо от други подобни. 589 00:29:07,900 --> 00:29:12,230 590 00:29:12,230 --> 00:29:14,500 Аз съм нещо като каша. 591 00:29:14,500 --> 00:29:15,550 >> Какво е важно - 592 00:29:15,550 --> 00:29:17,900 ОК, така че никога не се доверявате на потребителя. 593 00:29:17,900 --> 00:29:21,920 Каквито и да са потребителски входове за вас, направете Сигурни ли сте, че се санира, можете да го почистите, 594 00:29:21,920 --> 00:29:25,300 да проверите за правилните неща, че тя ти дава това, което 595 00:29:25,300 --> 00:29:28,240 искам да ви дам. 596 00:29:28,240 --> 00:29:32,460 Винаги се актуализира какво рамки че вие ​​всъщност използвате. 597 00:29:32,460 --> 00:29:34,630 Ако използвате нещо като връзки за обувки - 598 00:29:34,630 --> 00:29:36,340 Знам, че вие, момчета, ще се използва работят поетапно, защото той ще отиде 599 00:29:36,340 --> 00:29:38,140 над тази скоро в клас - 600 00:29:38,140 --> 00:29:43,120 и Wordpress или нещо подобно, Обикновено това може да бъде хакнат. 601 00:29:43,120 --> 00:29:44,770 >> И тогава вие дори не знаете. 602 00:29:44,770 --> 00:29:45,800 Вие сте само тичане вашия сайт. 603 00:29:45,800 --> 00:29:47,360 И това е напълно сигурно. 604 00:29:47,360 --> 00:29:51,730 И вие се понижат. 605 00:29:51,730 --> 00:29:54,000 Така че аз съм на риболов много рано. 606 00:29:54,000 --> 00:29:55,770 Но аз искам да благодаря на Pentest Labs. 607 00:29:55,770 --> 00:29:58,140 Отивам да ви покажа нещо наречен Pentest Labs. 608 00:29:58,140 --> 00:30:05,000 Ако вие сте наистина се интересуват от каква сигурност наистина е, че има 609 00:30:05,000 --> 00:30:07,300 сайт наречен Pentest Labs, ако момчета отиват да го точно сега. 610 00:30:07,300 --> 00:30:10,730 О, добре, че не е това. 611 00:30:10,730 --> 00:30:12,030 Аз съм просто ще го изпълним така. 612 00:30:12,030 --> 00:30:14,400 Google ми казва отговора. 613 00:30:14,400 --> 00:30:16,590 >> OK. 614 00:30:16,590 --> 00:30:19,030 И тя учи използвате - така че казва, да научат проникване в Мрежата 615 00:30:19,030 --> 00:30:21,060 тестване по правилния начин. 616 00:30:21,060 --> 00:30:23,650 Той ви учи - 617 00:30:23,650 --> 00:30:25,150 надявам се, че си един етичен човек. 618 00:30:25,150 --> 00:30:29,200 Но тя ни учи как можете да погледнете как можете да получите вътре уебсайтове. 619 00:30:29,200 --> 00:30:31,130 И ако се научите как можете да получите вътре уеб сайтове, можете да научите как да 620 00:30:31,130 --> 00:30:34,960 защитят себе си от получаване на вътрешни страници. 621 00:30:34,960 --> 00:30:39,100 Позволете ми да увеличите, защото може би вие момчета не се гледа на това право. 622 00:30:39,100 --> 00:30:46,350 >> От SQL инжекция, за да плащам, така че нещо как мога да получа от SQL 623 00:30:46,350 --> 00:30:48,530 инжектиране на черупката. 624 00:30:48,530 --> 00:30:53,890 И да изтеглите тази виртуална машина. 625 00:30:53,890 --> 00:30:55,690 А виртуалната машина вече идва с уебсайта, който сте 626 00:30:55,690 --> 00:30:56,780 Ще го пробвам. 627 00:30:56,780 --> 00:30:58,030 Можете да изтеглите този PDF. 628 00:30:58,030 --> 00:31:03,610 629 00:31:03,610 --> 00:31:08,370 И тя ще ви покаже ред по ред какво което трябва да направите, каквото ви се покажат. 630 00:31:08,370 --> 00:31:14,560 Това е, което един хакер действително прави, за да вляза в един сайт. 631 00:31:14,560 --> 00:31:15,750 >> А някои от тези неща е сложно. 632 00:31:15,750 --> 00:31:17,520 Иска ми се да отида в продължение на повече неща с вас, момчета. 633 00:31:17,520 --> 00:31:21,090 Но аз се притеснявам, че вие, момчета, наистина не са - 634 00:31:21,090 --> 00:31:23,090 това е, което аз отидох с вие, уеб тестове 635 00:31:23,090 --> 00:31:26,830 за проникване тестване. 636 00:31:26,830 --> 00:31:33,540 Не наистина знаят какво SQL и за какво - 637 00:31:33,540 --> 00:31:35,960 Семинар Carl Джексън е страхотно, както добре. 638 00:31:35,960 --> 00:31:37,360 Вие, момчета, не знаят сортиране от какво е това. 639 00:31:37,360 --> 00:31:39,450 Но ако отидете на този сайт, а вие изтеглите тези уроци и тези 640 00:31:39,450 --> 00:31:43,290 PDF файлове, които можете да предприемете погледнете вид какво областта на сигурността наистина 641 00:31:43,290 --> 00:31:46,940 в проникване тестване, вижте как можете да Влизай вътре сайтове и защита 642 00:31:46,940 --> 00:31:48,020 себе си от него. 643 00:31:48,020 --> 00:31:56,360 >> Така че, ако направя супер бърз преглед, тя ще бъде предотвратяване на кръстосано-сайт скриптове. 644 00:31:56,360 --> 00:32:00,160 Вие искате да използвате всеки htmlspecialchars Време потребителски входове нещо. 645 00:32:00,160 --> 00:32:01,580 Предотвратяване на SQL инжекция. 646 00:32:01,580 --> 00:32:04,510 Ако направите това, вие вече сте по-добре от Харвард беше 647 00:32:04,510 --> 00:32:06,530 Когато стигнаха нарушен. 648 00:32:06,530 --> 00:32:10,510 И се уверете, че вашите пароли не са в обикновен текст. 649 00:32:10,510 --> 00:32:16,220 Уверете се, че не само един начин хеш тях, но че използвате крипта, на PHP 650 00:32:16,220 --> 00:32:18,670 функция, която ви показах момчета. 651 00:32:18,670 --> 00:32:20,060 По този начин, трябва да бъде добър. 652 00:32:20,060 --> 00:32:25,830 >> Също така, ако вашите приятели ви позволяват да, стартирайте SQL Me Инжектират на своите уебсайтове. 653 00:32:25,830 --> 00:32:28,140 Тичане кръстосано сайт скриптове на интернет страниците им. 654 00:32:28,140 --> 00:32:33,720 И вие ще видите много от тези сайтове има тон на уязвимости. 655 00:32:33,720 --> 00:32:40,400 Това е невероятно колко много хора забравят санираме техните бази данни или да направи 656 00:32:40,400 --> 00:32:46,340 сигурен какво е въвело данните на лицето не е скрипт код. 657 00:32:46,340 --> 00:32:47,200 OK. 658 00:32:47,200 --> 00:32:49,182 Някак приключи много рано. 659 00:32:49,182 --> 00:32:56,510 Но ако някой има някакви въпроси относно нищо, можете да ме застреля един въпрос. 660 00:32:56,510 --> 00:32:56,630 Да. 661 00:32:56,630 --> 00:32:56,970 Давай, давай. 662 00:32:56,970 --> 00:32:59,846 >> ПУБЛИКАТА: Аз просто искам да попитам, Можеш ли да обясниш как файла 663 00:32:59,846 --> 00:33:03,160 качите точно работи. 664 00:33:03,160 --> 00:33:03,480 >> ЛУЧАНО Аранго: Да. 665 00:33:03,480 --> 00:33:06,350 Така че нека да ви покажа файла качите бързо. 666 00:33:06,350 --> 00:33:11,300 Така че качването на файла - 667 00:33:11,300 --> 00:33:14,500 проблемът остроумие качване на файлове точно сега е, че - 668 00:33:14,500 --> 00:33:18,541 Отивам да отвори кода, така че момчета видите кода зад кулисите. 669 00:33:18,541 --> 00:33:22,390 670 00:33:22,390 --> 00:33:24,305 И то е да качите. 671 00:33:24,305 --> 00:33:28,030 672 00:33:28,030 --> 00:33:31,560 Ето един код за качване на файлове. 673 00:33:31,560 --> 00:33:33,980 >> Опитваме се да отида в това указател тук. 674 00:33:33,980 --> 00:33:37,380 675 00:33:37,380 --> 00:33:44,880 И ние се опитваме да, веднъж ние въвеждане на файл, Isset файл - така че, когато е налице 676 00:33:44,880 --> 00:33:50,900 подаде в FILES, че снимката, след това ние се опитваме да го преместите тук. 677 00:33:50,900 --> 00:33:51,910 Ние вземете файла тук. 678 00:33:51,910 --> 00:33:58,350 Методът е POST, вид, изображение, файл. 679 00:33:58,350 --> 00:33:59,630 И ние сме изпращане на този файл. 680 00:33:59,630 --> 00:34:03,910 И тогава, след като ние го получи, така че щом файл има един образ, ние се опитваме да го изпратите 681 00:34:03,910 --> 00:34:05,060 в тази директория. 682 00:34:05,060 --> 00:34:09,814 >> Проблемът е, че на сайта не е ми позволи да отида в тази директория, 683 00:34:09,814 --> 00:34:12,239 защото тя не иска да се върне. 684 00:34:12,239 --> 00:34:13,489 Той не иска от мен да отида - 685 00:34:13,489 --> 00:34:15,620 686 00:34:15,620 --> 00:34:17,070 Трябва да тръгвам - така че тук е качите. 687 00:34:17,070 --> 00:34:17,639 Ето снимки. 688 00:34:17,639 --> 00:34:21,780 Трябва да отидем по целия път обратно до начало и го сложи там и след това 689 00:34:21,780 --> 00:34:23,820 отида и да го сложи в директорията. 690 00:34:23,820 --> 00:34:30,000 Така че, ако бягах терминален прозорец, и аз исках да преместите файл - 691 00:34:30,000 --> 00:34:30,409 [Недоловим] 692 00:34:30,409 --> 00:34:32,159 може да я види. 693 00:34:32,159 --> 00:34:37,940 Ако исках да преместите файл, имам да се сложи името на файла и след това 694 00:34:37,940 --> 00:34:40,860 пълния път искам да го изпратите. 695 00:34:40,860 --> 00:34:45,110 >> И след това на сървъра не е че ми позволихте да се върне. 696 00:34:45,110 --> 00:34:46,929 И така, това не е отдаване под наем ме стигнете до този файл. 697 00:34:46,929 --> 00:34:47,670 Но обикновено - 698 00:34:47,670 --> 00:34:49,360 така че има код за качване на файл. 699 00:34:49,360 --> 00:34:52,260 Така че нормално това, което ще се случи е, че лице, което не е проверка дали моето досие 700 00:34:52,260 --> 00:34:57,920 завършва с. JPEG, така че ще искате да проверите. 701 00:34:57,920 --> 00:35:00,054 Позволете ми да отворите например прекалено бързо. 702 00:35:00,054 --> 00:35:07,766 703 00:35:07,766 --> 00:35:08,260 >> OK. 704 00:35:08,260 --> 00:35:09,230 Този човек прав - 705 00:35:09,230 --> 00:35:11,980 така например два проверява ако preg_match - 706 00:35:11,980 --> 00:35:14,180 ето го тук - 707 00:35:14,180 --> 00:35:19,660 да се уверите, че завършва с PHP, което е добре. 708 00:35:19,660 --> 00:35:20,580 Това е добре. 709 00:35:20,580 --> 00:35:22,820 Но има един истински голям проблем с това. 710 00:35:22,820 --> 00:35:24,600 Това е добре. 711 00:35:24,600 --> 00:35:44,190 Но ако трябва да се сложи файл, наречен myfavoritepicture.php.jpeg, можех 712 00:35:44,190 --> 00:35:50,060 все още потенциално се отървете от JPEG и тичам it.k Това PHP е опасно. 713 00:35:50,060 --> 00:35:53,850 Вие не искате лицето да бъде в състояние да тече код на вашия сайт. 714 00:35:53,850 --> 00:35:55,750 >> Но след това. JPEG ви позволява да го давате. 715 00:35:55,750 --> 00:36:00,720 Идеята е това, което наистина искам да направя не се вземат файлове, A., но OK, какво 716 00:36:00,720 --> 00:36:07,500 Наистина ли искате да направите, е да се уверите, че четете над целия свят. 717 00:36:07,500 --> 00:36:08,720 И няма нищо. PHP в него. 718 00:36:08,720 --> 00:36:10,500 Няма никаква. PHP в на Цялата името на файла. 719 00:36:10,500 --> 00:36:12,780 >> ПУБЛИКАТА: но бихте могли да сложи. JPEG на края. 720 00:36:12,780 --> 00:36:15,830 Сървърите все още работят на кода. 721 00:36:15,830 --> 00:36:16,870 >> ЛУЧАНО Аранго: Не, това няма да тече в началото. 722 00:36:16,870 --> 00:36:22,310 Трябва да се върна и да се опитам , за да видите, ако можете - 723 00:36:22,310 --> 00:36:24,210 >> ПУБЛИКАТА: Така че ние трябва да - 724 00:36:24,210 --> 00:36:26,020 OK, просто още един комплект, който включва - 725 00:36:26,020 --> 00:36:26,936 >> ЛУЧАНО Аранго: Да. 726 00:36:26,936 --> 00:36:29,230 >> ПУБЛИКАТА: OK. 727 00:36:29,230 --> 00:36:31,486 >> ЛУЧАНО Аранго: Да. 728 00:36:31,486 --> 00:36:31,900 OK. 729 00:36:31,900 --> 00:36:32,865 Някакви други въпроси? 730 00:36:32,865 --> 00:36:33,180 OK. 731 00:36:33,180 --> 00:36:37,350 Отивам да напусне това и сортирате от опитаме да видим, ако вие може - 732 00:36:37,350 --> 00:36:40,490 други такива са малко повече сложно, защото те изискват много 733 00:36:40,490 --> 00:36:44,050 повече знания за SQL, отколкото само започващ познаване на уеб SQL е и 734 00:36:44,050 --> 00:36:47,010 какво е JavaScript. 735 00:36:47,010 --> 00:36:49,730 Но аз ще се опитам да продължавам така, и се надявам вие ще се научат 736 00:36:49,730 --> 00:36:53,230 за това и се опита да вземе един поглед на какво можете да направите и колко примери 737 00:36:53,230 --> 00:36:54,420 можете да се измъкне сам. 738 00:36:54,420 --> 00:36:56,020 >> Всеки, който има всяка друга въпроси за това? 739 00:36:56,020 --> 00:36:59,387 740 00:36:59,387 --> 00:37:00,350 Давай напред. 741 00:37:00,350 --> 00:37:01,170 Да, да стрелят, да стрелят. 742 00:37:01,170 --> 00:37:01,580 Да, давай. 743 00:37:01,580 --> 00:37:01,850 Давай напред. 744 00:37:01,850 --> 00:37:02,310 >> ПУБЛИКАТА: OK. 745 00:37:02,310 --> 00:37:08,870 Така че аз чух за това как Меджик Цитати не са достатъчно сигурен. 746 00:37:08,870 --> 00:37:09,280 >> ЛУЧАНО Аранго: Какво - 747 00:37:09,280 --> 00:37:10,110 Магически Цитати? 748 00:37:10,110 --> 00:37:10,595 >> Публика: Да. 749 00:37:10,595 --> 00:37:15,445 Така тя добавя - така всеки път, когато вход нещо, то винаги добавя кавички. 750 00:37:15,445 --> 00:37:15,930 >> ЛУЧАНО Аранго: Да. 751 00:37:15,930 --> 00:37:16,000 Да. 752 00:37:16,000 --> 00:37:16,496 OK. 753 00:37:16,496 --> 00:37:19,113 >> ПУБЛИКАТА: И тогава си помислих, че е работил, но след това го търси нагоре. 754 00:37:19,113 --> 00:37:21,648 И тя каза, че това не е добре. 755 00:37:21,648 --> 00:37:23,050 Но аз не съм сигурен защо. 756 00:37:23,050 --> 00:37:23,360 >> ЛУЧАНО Аранго: Да. 757 00:37:23,360 --> 00:37:26,240 >> ПУБЛИКАТА: Не използвайте Магически Цитати, защото това не е сигурно. 758 00:37:26,240 --> 00:37:26,360 >> ЛУЧАНО Аранго: OK. 759 00:37:26,360 --> 00:37:31,735 Така Магически Цитати е, когато поставите SQL и тя вече добавя оферта за вас. 760 00:37:31,735 --> 00:37:33,520 >> ПУБЛИКАТА: Тя винаги добавя кавички около каквото и да сложи инча 761 00:37:33,520 --> 00:37:34,210 >> ЛУЧАНО Аранго: Да. 762 00:37:34,210 --> 00:37:37,190 Така че проблемът с това е, че - 763 00:37:37,190 --> 00:37:38,445 Ще погледнете - 764 00:37:38,445 --> 00:37:41,390 >> ПУБЛИКАТА: Как се придобива изявлението SQL? 765 00:37:41,390 --> 00:37:44,690 Или аз предполагам, че може да бъде като цитат изберете. 766 00:37:44,690 --> 00:37:49,030 >> ЛУЧАНО Аранго: Да, имате нужда добри оферти за SQL. 767 00:37:49,030 --> 00:37:52,900 >> ПУБЛИКАТА: Не, но сървърът тя прави за вас. 768 00:37:52,900 --> 00:37:54,460 >> ЛУЧАНО Аранго: Тези малки цитати точно тук, тези малки кавички? 769 00:37:54,460 --> 00:37:55,670 >> Публика: Да. 770 00:37:55,670 --> 00:37:56,450 >> ЛУЧАНО Аранго: Да. 771 00:37:56,450 --> 00:37:59,860 Проблемът е, че можете да коментирайте на последно място - 772 00:37:59,860 --> 00:38:05,770 ОК, така че това, което мога да направя е, че аз мога да коментирам навън - така че нека да разгледаме най - нека ме 773 00:38:05,770 --> 00:38:07,920 отворите файл редактиране на текст. 774 00:38:07,920 --> 00:38:09,610 Нека само да редактирате тази точно тук директно. 775 00:38:09,610 --> 00:38:19,510 776 00:38:19,510 --> 00:38:20,400 OK. 777 00:38:20,400 --> 00:38:23,710 Можете ли момчета видите, че ясно? 778 00:38:23,710 --> 00:38:29,730 Какво мога да направя, е, че аз мога да коментирам от последната една. 779 00:38:29,730 --> 00:38:32,190 Това ще коментирате последната една. 780 00:38:32,190 --> 00:38:36,760 И тогава аз ще сложа една тук, сложете всички злонамерени неща тук. 781 00:38:36,760 --> 00:38:39,840 782 00:38:39,840 --> 00:38:42,630 >> Така потребителят е всъщност въвеждането, нали? 783 00:38:42,630 --> 00:38:45,230 Потребителят не е въвела нещата, нали? 784 00:38:45,230 --> 00:38:47,430 Това е, което аз отивам да въведете като лицето, опитвайки се да влезем вътре. 785 00:38:47,430 --> 00:38:49,430 Отивам да се сложи в - 786 00:38:49,430 --> 00:38:59,290 787 00:38:59,290 --> 00:39:00,180 това е една кавички. 788 00:39:00,180 --> 00:39:01,760 Това е просто вълнообразна подредба. 789 00:39:01,760 --> 00:39:15,080 790 00:39:15,080 --> 00:39:19,400 И тогава какво кода е ще направя - 791 00:39:19,400 --> 00:39:20,190 Съжалявам, аз ще се възползвам от тази навън. 792 00:39:20,190 --> 00:39:22,170 Какво кода ще направите, е да то се случва, за да добавите първия 793 00:39:22,170 --> 00:39:24,030 котировка марка тук. 794 00:39:24,030 --> 00:39:26,040 И това ще добави към него последните кавички, както добре. 795 00:39:26,040 --> 00:39:29,350 796 00:39:29,350 --> 00:39:33,270 >> И тя също щеше да добавите последна, последна котировка марка. 797 00:39:33,270 --> 00:39:37,380 Но аз съм коментира тези котировки маркира, така че те не работят. 798 00:39:37,380 --> 00:39:41,440 И аз съм довършителни този цитат марка тук. 799 00:39:41,440 --> 00:39:42,290 Разбираш ли? 800 00:39:42,290 --> 00:39:43,750 Загуби ли се? 801 00:39:43,750 --> 00:39:45,880 Аз мога да коментирам последната котировка марка, и да се грижи за 802 00:39:45,880 --> 00:39:46,680 първа котировка марка. 803 00:39:46,680 --> 00:39:47,350 >> ПУБЛИКАТА: И точно покритие първият. 804 00:39:47,350 --> 00:39:47,480 >> ЛУЧАНО Аранго: Да. 805 00:39:47,480 --> 00:39:48,400 И точно завърши първия милион. 806 00:39:48,400 --> 00:39:48,790 Да, точно така. 807 00:39:48,790 --> 00:39:50,800 Това е, което мога да направя. 808 00:39:50,800 --> 00:39:51,890 Да. 809 00:39:51,890 --> 00:39:52,980 Всякакви други въпроси, като този? 810 00:39:52,980 --> 00:39:54,230 Това е чудесен въпрос. 811 00:39:54,230 --> 00:39:56,960 812 00:39:56,960 --> 00:39:59,790 Не, да, може би. 813 00:39:59,790 --> 00:40:06,150 Надяваме се, че вие, момчета, нещо ще направят повече смисъл, когато изучавате и SQL 814 00:40:06,150 --> 00:40:06,650 такива неща. 815 00:40:06,650 --> 00:40:07,980 Но се уверете, че - 816 00:40:07,980 --> 00:40:10,340 пазете тези инструменти в часовник. 817 00:40:10,340 --> 00:40:12,760 За съжаление, тези средства над тук. 818 00:40:12,760 --> 00:40:14,200 Тези инструменти са страхотни. 819 00:40:14,200 --> 00:40:17,190 Ако някой има някакви въпроси, можете да ми пишете. 820 00:40:17,190 --> 00:40:19,020 Това е нормално моя имейл. 821 00:40:19,020 --> 00:40:25,015 И това е работата ми имейл, който е, когато се работи на SEAS. 822 00:40:25,015 --> 00:40:26,040 >> Добре, благодаря. 823 00:40:26,040 --> 00:40:26,740 Благодаря, момчета. 824 00:40:26,740 --> 00:40:27,860 Вие сте добре да тръгвам. 825 00:40:27,860 --> 00:40:28,830 Вие не трябва да остана тук. 826 00:40:28,830 --> 00:40:29,570 Не пляскат. 827 00:40:29,570 --> 00:40:30,170 Това е странно. 828 00:40:30,170 --> 00:40:31,420 Добре, благодаря, момчета. 829 00:40:31,420 --> 00:40:32,320