1 00:00:00,000 --> 00:00:09,250 2 00:00:09,250 --> 00:00:10,300 >> LUCIANO ARANGO: OK, nois. 3 00:00:10,300 --> 00:00:11,550 El meu nom és Luciano Arango. 4 00:00:11,550 --> 00:00:13,915 Sóc un estudiant de segon any a la Casa d'Adams. 5 00:00:13,915 --> 00:00:17,550 I estarem parlant d' defensa activa seguretat web. 6 00:00:17,550 --> 00:00:24,220 Així que jo treball per a l'Oficina d'Informació Seguretat en SEAS. 7 00:00:24,220 --> 00:00:28,670 I durant l'estiu, em van internar en SeguraTec, que era una informació 8 00:00:28,670 --> 00:00:31,310 empresa de seguretat que va servir per al Banc de Columbia. 9 00:00:31,310 --> 00:00:34,740 Això és sobretot on vaig aprendre el que he après fins ara. 10 00:00:34,740 --> 00:00:37,990 >> I així, alguns dels materials que estem anirà avui, no tenim 11 00:00:37,990 --> 00:00:39,670 realment es parla a classe. 12 00:00:39,670 --> 00:00:40,410 Però ho farem aviat. 13 00:00:40,410 --> 00:00:42,360 Serà com SQL, JavaScript. 14 00:00:42,360 --> 00:00:44,870 I en realitat no hem repassat. 15 00:00:44,870 --> 00:00:47,730 Així que pot ordenar de vol a través d'ell, i vostè pot no saber algunes coses. 16 00:00:47,730 --> 00:00:48,890 Però aviat, vostè aprendrà ell. 17 00:00:48,890 --> 00:00:52,080 I tot tindrà sentit. 18 00:00:52,080 --> 00:00:54,010 També una altra cosa - 19 00:00:54,010 --> 00:00:55,780 romandre ètic. 20 00:00:55,780 --> 00:01:00,560 Algunes de les coses que aprens, et podria utilitzar en formes no ètiques. 21 00:01:00,560 --> 00:01:01,950 >> Si és teu, sens dubte prova. 22 00:01:01,950 --> 00:01:04,500 Definitivament em motiu a vostès per tractar els seus propis servidors, intenti 23 00:01:04,500 --> 00:01:05,519 anar dins d'ells. 24 00:01:05,519 --> 00:01:08,500 A veure si pots penetrar en ells, si vostè pot aconseguir en el seu interior. 25 00:01:08,500 --> 00:01:09,560 Però no de qualsevol altre. 26 00:01:09,560 --> 00:01:12,390 Els policies no els agrada realment els acudits i general, ens va posar això aquí. 27 00:01:12,390 --> 00:01:14,040 Estàvem tontejant. 28 00:01:14,040 --> 00:01:15,780 Aconsegueixen realment enutjat. 29 00:01:15,780 --> 00:01:18,700 >> Així que dirigeix-te a aquest lloc web. 30 00:01:18,700 --> 00:01:23,560 Ho tinc obert aquí. 31 00:01:23,560 --> 00:01:26,780 Es tracta d'un lloc web, i té un munt d'exemples. 32 00:01:26,780 --> 00:01:30,000 El que passa és que el primer exemple és una espècie de serà molt més fàcil 33 00:01:30,000 --> 00:01:33,470 que l'anterior exemple, en un sentit que el primer exemple 34 00:01:33,470 --> 00:01:34,970 és completament insegur. 35 00:01:34,970 --> 00:01:40,850 I l'últim és una espècie del que és un persona normal de seguretat web faria. 36 00:01:40,850 --> 00:01:42,760 Però encara es pot ordenar d'aconseguir al voltant d'això. 37 00:01:42,760 --> 00:01:44,860 I anem a centrar en un i dos, l'un i dos exemples. 38 00:01:44,860 --> 00:01:49,880 39 00:01:49,880 --> 00:01:49,920 >> D'acord. 40 00:01:49,920 --> 00:01:52,780 Anem a començar amb cross-site scripting. 41 00:01:52,780 --> 00:01:56,100 El JavaScript s'executa en el navegador del client. 42 00:01:56,100 --> 00:01:59,980 És un llenguatge de programació que s'utilitza per executar en el navegador del client per 43 00:01:59,980 --> 00:02:04,120 vostè no ha de actualitzar el lloc web i anar de nou al servidor. 44 00:02:04,120 --> 00:02:04,940 Vostè ha de córrer. 45 00:02:04,940 --> 00:02:08,870 Per exemple, Facebook, vostè no té tornar a carregar la pàgina web per al nou estat 46 00:02:08,870 --> 00:02:09,710 canvis a pujar. 47 00:02:09,710 --> 00:02:12,170 Es tracta d'utilitzar JavaScript per generar totes aquestes coses. 48 00:02:12,170 --> 00:02:16,290 Així que podem injectar codi JavaScript maliciós en els llocs web. 49 00:02:16,290 --> 00:02:20,890 I d'aquesta manera, quan enviem un enllaç a algú, podríem espècie d'enviar amb 50 00:02:20,890 --> 00:02:23,050 una part del codi que volem. 51 00:02:23,050 --> 00:02:26,450 >> Hi persistent i no persistent JavaScript - 52 00:02:26,450 --> 00:02:30,640 cross-site persistent i no persistent scripting, vull dir. 53 00:02:30,640 --> 00:02:33,760 I la diferència que persistent és JavaScript que serà 54 00:02:33,760 --> 00:02:36,060 guardat en el lloc web. 55 00:02:36,060 --> 00:02:39,780 I no persistent serà JavaScript que serà en realitat només passarà una vegada. 56 00:02:39,780 --> 00:02:41,795 Així que donem una ullada a un exemple molt ràpid. 57 00:02:41,795 --> 00:02:45,660 58 00:02:45,660 --> 00:02:46,130 >> D'acord. 59 00:02:46,130 --> 00:02:51,620 Així que aquest lloc web, simple, aquí no passa res. 60 00:02:51,620 --> 00:02:53,070 I anem a tractar de inserir una mica de JavaScript. 61 00:02:53,070 --> 00:02:58,110 Així que la manera de començar a escriure JavaScript és que vam començar amb la seqüència de comandaments d'inici. 62 00:02:58,110 --> 00:03:00,570 I tanquem amb l'escriptura. 63 00:03:00,570 --> 00:03:03,770 Estem simplement va a posar un missatge - 64 00:03:03,770 --> 00:03:05,410 Et vaig a mostrar - 65 00:03:05,410 --> 00:03:06,500 d'alerta. 66 00:03:06,500 --> 00:03:11,150 Alerta és una funció que JavaScript s'utilitza per mostrar alguna cosa. 67 00:03:11,150 --> 00:03:12,400 Així que anem a intentar realment ràpid. 68 00:03:12,400 --> 00:03:15,600 69 00:03:15,600 --> 00:03:18,944 Jo aniré, hola alerta. 70 00:03:18,944 --> 00:03:20,400 Bé, es va oblidar posar - 71 00:03:20,400 --> 00:03:24,510 72 00:03:24,510 --> 00:03:25,460 D'acord. 73 00:03:25,460 --> 00:03:26,540 Així que això és simple. 74 00:03:26,540 --> 00:03:28,730 >> Posem JavaScript en un lloc web, i s'ha produït. 75 00:03:28,730 --> 00:03:31,200 I quin tipus de només passa al nostre lloc web, no? 76 00:03:31,200 --> 00:03:33,040 Així que sembla que no és un problema, oi? 77 00:03:33,040 --> 00:03:34,920 Vull dir, com pot vostè utilitzar aquesta forma maliciosa? 78 00:03:34,920 --> 00:03:39,930 Així que la forma en què ho facin els hackers això és realment simple. 79 00:03:39,930 --> 00:03:40,970 Ells van a agafar. 80 00:03:40,970 --> 00:03:43,750 Poden enviar aquest enllaç a vostè. 81 00:03:43,750 --> 00:03:46,780 Si vaig a enviar aquest enllaç a vostè en aquest moment, i obrir-lo, es va a 82 00:03:46,780 --> 00:03:51,620 dir hola, dir que el meu lloc web li està dient hola. 83 00:03:51,620 --> 00:03:57,280 >> I així, si jo fos a dir alguna cosa una poc més intel · ligent, si em llevo 01:00 84 00:03:57,280 --> 00:03:59,880 Funció de JavaScript que tipus que ja va escriure - 85 00:03:59,880 --> 00:04:03,940 però si vostè ho mira, vaig a anar sobre ell abans que jo vaig escriure. 86 00:04:03,940 --> 00:04:06,650 Així que anem a establir un temps d'espera. 87 00:04:06,650 --> 00:04:08,450 Anem a esperar que un parell de segons. 88 00:04:08,450 --> 00:04:13,970 De fet, anem a esperar que, si No m'equivoco, a cinc segons. 89 00:04:13,970 --> 00:04:15,870 Això va en mil · lisegons. 90 00:04:15,870 --> 00:04:18,640 I llavors el que farem és que estem va a alertar que l'inici de sessió 91 00:04:18,640 --> 00:04:21,459 el temps d'espera per tornar a iniciar sessió 92 00:04:21,459 --> 00:04:23,990 I anem a canviar la ubicació a un lloc diferent. 93 00:04:23,990 --> 00:04:30,370 94 00:04:30,370 --> 00:04:32,970 >> Així que si li envio aquesta pàgina web a una altra, que seran 95 00:04:32,970 --> 00:04:34,380 navegar al voltant, calma. 96 00:04:34,380 --> 00:04:35,650 No passa res. 97 00:04:35,650 --> 00:04:38,550 I en cinc segons, es va dir, el temps d'espera de connexió. 98 00:04:38,550 --> 00:04:40,200 Si us plau, torneu a iniciar sessió polz 99 00:04:40,200 --> 00:04:43,400 Quan feu clic a OK, vaig a portar-los a un altre lloc web. 100 00:04:43,400 --> 00:04:45,980 Presumiblement, el lloc va a ser similar a la pàgina web que 101 00:04:45,980 --> 00:04:47,280 en què estaven abans. 102 00:04:47,280 --> 00:04:50,770 I van a iniciar la seva credencials al meu lloc web en lloc de 103 00:04:50,770 --> 00:04:51,850 seva pàgina web. 104 00:04:51,850 --> 00:04:54,780 >> I perquè pugui enviar a la gent una un correu electrònic amb l'enllaç. 105 00:04:54,780 --> 00:04:56,240 Jo dic, oh, aquí hi ha un enllaç. 106 00:04:56,240 --> 00:04:57,290 Es tracta d'un banc, per exemple. 107 00:04:57,290 --> 00:05:01,390 Dic, aquí, vaig en aquest enllaç. 108 00:05:01,390 --> 00:05:03,730 I una vegada que l'envien, són va a navegar al voltant. 109 00:05:03,730 --> 00:05:07,560 Puc esperar durant 15 segons, 20 segons, i després pop que si us plau torni a entrar 110 00:05:07,560 --> 00:05:08,840 signar de nou. 111 00:05:08,840 --> 00:05:10,120 Vostès poden tractar amb moltes més coses. 112 00:05:10,120 --> 00:05:13,190 És complicat perquè vostès no han vist JavaScript, de manera que podria 113 00:05:13,190 --> 00:05:14,750 No sé algunes funcions. 114 00:05:14,750 --> 00:05:18,625 Però tot el que has de fer és començar amb l'escriptura, acabar amb guió. 115 00:05:18,625 --> 00:05:22,105 116 00:05:22,105 --> 00:05:25,510 I es pot posar qualsevol cosa en el medi. 117 00:05:25,510 --> 00:05:27,350 >> Alerta és una funció, esperi. 118 00:05:27,350 --> 00:05:29,365 Ubicació de la finestra et porta a una nova ubicació. 119 00:05:29,365 --> 00:05:31,370 Però es pot fer molt més. 120 00:05:31,370 --> 00:05:32,630 I així, la idea és que prenem això. 121 00:05:32,630 --> 00:05:39,350 Si vaig a l'exemple 2, i jo va posar en aquest mateix codi, és 122 00:05:39,350 --> 00:05:40,210 no funcionarà. 123 00:05:40,210 --> 00:05:43,620 Així que ha d'imprimir tot el que fos perquè el que aquest lloc web originalment 124 00:05:43,620 --> 00:05:50,350 fa és si poso res aquí, que voleu imprimir cap a fora aquí. 125 00:05:50,350 --> 00:05:52,390 Així que no és gens fora d'impressió. 126 00:05:52,390 --> 00:05:55,560 Aquest exemple és en realitat la comprovació per veure si l'script hi és. 127 00:05:55,560 --> 00:05:57,163 Així que sí, endavant. 128 00:05:57,163 --> 00:05:57,606 Demana-m'ho. 129 00:05:57,606 --> 00:05:59,560 >> AUDIÈNCIA: no envia una petició GET o POST? 130 00:05:59,560 --> 00:06:00,670 >> LUCIANO ARANGO: Si. són enviant una sol · licitud GET. 131 00:06:00,670 --> 00:06:01,350 >> AUDIÈNCIA: Ho és? 132 00:06:01,350 --> 00:06:02,490 >> LUCIANO ARANGO: Si. 133 00:06:02,490 --> 00:06:04,030 També navegadors utilitzen les peticions POST. 134 00:06:04,030 --> 00:06:07,470 Però estic tractant de mostrar les sol · licituds get perquè puguem veure el que hi 135 00:06:07,470 --> 00:06:10,760 realment està passant. 136 00:06:10,760 --> 00:06:12,880 I així, si ens fixem en el codi - pel que no funciona més. 137 00:06:12,880 --> 00:06:24,870 I si fem una ullada a aquest codi, que serà en l'exemple 2. 138 00:06:24,870 --> 00:06:29,300 El que aquesta persona està fent, la persona a càrrec d'aquest navegador - 139 00:06:29,300 --> 00:06:35,370 obrir, OK - 140 00:06:35,370 --> 00:06:39,290 està substituint el guió paraula. 141 00:06:39,290 --> 00:06:42,850 Aquesta és PHP, que vostès podrien han vist una mica el moment. 142 00:06:42,850 --> 00:06:46,250 >> Ell només la substitució de la escriptura de paraules amb el nom. 143 00:06:46,250 --> 00:06:50,895 Així que, però, si vaig per davant i només cal posar en - 144 00:06:50,895 --> 00:06:58,520 145 00:06:58,520 --> 00:07:02,360 si jo agafo el meu codi de nou, i vaig modificar una mica. 146 00:07:02,360 --> 00:07:15,010 En lloc de l'escriptura, jo canviaré per escriptura amb majúscula R. I 147 00:07:15,010 --> 00:07:16,390 anem a veure si el codi funciona. 148 00:07:16,390 --> 00:07:19,090 Per tant, no s'ha imprès a terme, la qual és un bon senyal. 149 00:07:19,090 --> 00:07:21,990 I espero que en dos segons més, que apareixerà. 150 00:07:21,990 --> 00:07:22,820 >> El seu nom d'usuari el temps d'espera. 151 00:07:22,820 --> 00:07:23,210 D'acord. 152 00:07:23,210 --> 00:07:24,460 Tot està bé. 153 00:07:24,460 --> 00:07:27,670 Així que la comprovació de seqüència de comandaments podria no necessàriament funcionarà. 154 00:07:27,670 --> 00:07:28,130 La persona - 155 00:07:28,130 --> 00:07:32,290 també pot comprovar si hi ha majúscules guió, minúscula escriptura, cas str 156 00:07:32,290 --> 00:07:34,180 comparar, assegureu-vos que són el mateix. 157 00:07:34,180 --> 00:07:38,480 Però el hacker encara pot fer més o menys el ho vam fer en Vigenère quan ens mudem 158 00:07:38,480 --> 00:07:40,620 personatges de nou una parella, seguir endavant. 159 00:07:40,620 --> 00:07:43,470 I es pot trobar la manera de posar l'escriptura tornar aquí perquè pugui injectar 160 00:07:43,470 --> 00:07:44,460 aquest guió. 161 00:07:44,460 --> 00:07:50,370 >> Així que el que vol utilitzar és htmlspecialchars a 162 00:07:50,370 --> 00:07:51,330 protegir al seu lloc web. 163 00:07:51,330 --> 00:07:56,490 I el que això fa és que fa Assegureu-vos que el que poses en - 164 00:07:56,490 --> 00:07:59,610 per exemple, les cotitzacions o els aquesta més gran que o més petit que - 165 00:07:59,610 --> 00:08:04,701 se substitueix amb alguna cosa això no serà - 166 00:08:04,701 --> 00:08:05,951 m'ho dius a mi el zoom aquí - 167 00:08:05,951 --> 00:08:08,730 168 00:08:08,730 --> 00:08:09,685 el signe real. 169 00:08:09,685 --> 00:08:13,420 Substituirà els especials HTML personatges que veurem quan estiguem 170 00:08:13,420 --> 00:08:14,670 parlant - 171 00:08:14,670 --> 00:08:18,635 172 00:08:18,635 --> 00:08:20,740 oh, això va a portar de tornada a - 173 00:08:20,740 --> 00:08:24,220 174 00:08:24,220 --> 00:08:25,380 aquests personatges aquí. 175 00:08:25,380 --> 00:08:28,180 >> Aquests signifiquen que alguna cosa que ve. 176 00:08:28,180 --> 00:08:31,570 Per HTML, aquesta franja que comença ens diu que alguna cosa 177 00:08:31,570 --> 00:08:33,299 HTML relacionada està arribant. 178 00:08:33,299 --> 00:08:33,980 I volem desfer-nos d'això. 179 00:08:33,980 --> 00:08:36,200 No volem posar HTML en un website.k No volem que l'usuari sigui 180 00:08:36,200 --> 00:08:40,260 capaç de posar alguna cosa a la seva pàgina web que poden afectar a la seva pàgina web, igual que 181 00:08:40,260 --> 00:08:43,480 script o HTML, o alguna cosa així. 182 00:08:43,480 --> 00:08:53,090 El que és important és que vostè desinfectar la entrada de l'usuari. 183 00:08:53,090 --> 00:08:54,720 >> Així els usuaris poden d'entrada de moltes coses. 184 00:08:54,720 --> 00:08:58,110 Es pot introduir un munt de coses per intentar enganyar al seu navegador en encara 185 00:08:58,110 --> 00:08:59,410 l'execució d'aquest codi de script. 186 00:08:59,410 --> 00:09:02,870 El que vull fer és que no n'hi ha prou amb veure per la seqüència de comandaments, però mira per tot 187 00:09:02,870 --> 00:09:04,250 això podria ser perjudicial. 188 00:09:04,250 --> 00:09:06,800 I htmlspecialchars faran que per vostè, pel que no té 189 00:09:06,800 --> 00:09:07,340 de preocupar per això. 190 00:09:07,340 --> 00:09:12,280 Però no tracti de fer per tu mateix espècie de amb el seu propi codi. 191 00:09:12,280 --> 00:09:14,055 És clar en XSS tot el món? 192 00:09:14,055 --> 00:09:14,370 >> D'acord. 193 00:09:14,370 --> 00:09:16,355 Anirem a la injecció de SQL. 194 00:09:16,355 --> 00:09:21,010 Així que la injecció de SQL és probablement la el número u de la vulnerabilitat 195 00:09:21,010 --> 00:09:22,490 en diferents llocs web. 196 00:09:22,490 --> 00:09:24,350 És a dir, un bon exemple - 197 00:09:24,350 --> 00:09:27,350 Estava investigant més lluny per això. 198 00:09:27,350 --> 00:09:34,430 I em vaig trobar amb aquest article impressionant, on Vaig veure que Harvard va ser violada, 199 00:09:34,430 --> 00:09:35,390 va ser hacker. 200 00:09:35,390 --> 00:09:37,370 I em preguntava, bé, Com anaven a fer-ho? 201 00:09:37,370 --> 00:09:41,660 Harvard és la més impressionant, més assegurar universitat mai. 202 00:09:41,660 --> 00:09:43,850 Cert? 203 00:09:43,850 --> 00:09:45,410 Bé, a la violació dels servidors, els pirates informàtics utilitzen un 204 00:09:45,410 --> 00:09:47,710 tècnica anomenada injecció SQL. 205 00:09:47,710 --> 00:09:50,250 >> Així que això passa en el dia a dia. 206 00:09:50,250 --> 00:09:53,590 La gent s'oblida de tenir en compte per a la injecció SQL. 207 00:09:53,590 --> 00:09:54,930 Harvard fa. 208 00:09:54,930 --> 00:10:00,050 Crec que diu aquí, Princeton, Stanford, Cornell. 209 00:10:00,050 --> 00:10:03,550 Llavors, com - i què és això SQL injecció que està portant tot això 210 00:10:03,550 --> 00:10:05,668 gent sota? 211 00:10:05,668 --> 00:10:08,010 D'acord. 212 00:10:08,010 --> 00:10:12,090 Així SQL és un llenguatge de programació que podem accedir a bases de dades. 213 00:10:12,090 --> 00:10:14,560 El que fem és seleccionar - 214 00:10:14,560 --> 00:10:18,510 així que el que això es llegeix en aquest moment és de selecció tot, des de la taula. 215 00:10:18,510 --> 00:10:22,640 >> SQL, es transforma en aquestes bases de dades que tenen taules plenes d'informació. 216 00:10:22,640 --> 00:10:26,550 Així que seleccioneu tot, des dels usuaris on el nom és nom d'usuari. 217 00:10:26,550 --> 00:10:28,120 Cert? 218 00:10:28,120 --> 00:10:30,770 Bastant simple. 219 00:10:30,770 --> 00:10:34,490 La idea d'injecció SQL és que inserir algun codi maliciós que faria 220 00:10:34,490 --> 00:10:37,270 enganyar al servidor perquè executi alguna cosa diferent del que 221 00:10:37,270 --> 00:10:38,430 originalment s'executa. 222 00:10:38,430 --> 00:10:44,970 Així que diguem que el nom d'usuari, posem en o 1 és igual a 1. 223 00:10:44,970 --> 00:10:46,700 Per això, vam posar en o 1 és igual a 1. 224 00:10:46,700 --> 00:10:49,890 La forma en què es va a llegir ara serà select dels usuaris, de tot, des 225 00:10:49,890 --> 00:10:51,360 usuaris - això és tot - 226 00:10:51,360 --> 00:10:55,880 on nom és nom d'usuari, però nom d'usuari és o 1 és igual a 1. 227 00:10:55,880 --> 00:11:01,760 >> Així que el nom no és gens o 1 és igual a 1. 228 00:11:01,760 --> 00:11:04,060 1 és igual a 1 és sempre cert. 229 00:11:04,060 --> 00:11:07,690 Així que això sempre retornarà informació dels usuaris. 230 00:11:07,690 --> 00:11:08,100 D'acord. 231 00:11:08,100 --> 00:11:10,030 No cal tenir la nom d'usuari correcte. 232 00:11:10,030 --> 00:11:14,240 Només podem tenir el que volem, i ha de retornar la informació 233 00:11:14,240 --> 00:11:15,690 el que necessitem. 234 00:11:15,690 --> 00:11:17,160 Vegem un altre exemple. 235 00:11:17,160 --> 00:11:22,720 >> Si hem seleccionar tot d'usuari, on nom és usuaris DROP TABLE - 236 00:11:22,720 --> 00:11:26,420 així que què creu vostè que aquesta voluntat fer si poso el nom d'usuari 237 00:11:26,420 --> 00:11:29,560 com a usuaris DROP TABLE? 238 00:11:29,560 --> 00:11:30,230 Algú té una idea? 239 00:11:30,230 --> 00:11:31,050 Sí 240 00:11:31,050 --> 00:11:32,470 >> AUDIÈNCIA: L'hi diré a bolcar totes les taules. 241 00:11:32,470 --> 00:11:35,460 >> LUCIANO ARANGO: Va a dir-nos per bolcar sobretot en la pàgina web, 242 00:11:35,460 --> 00:11:38,290 tot a la base de dades. 243 00:11:38,290 --> 00:11:41,910 I el que la gent fa servir això per - si més Vaig a mostrar. 244 00:11:41,910 --> 00:11:45,462 He desactivat eliminar les taules perquè jo no et vull 245 00:11:45,462 --> 00:11:48,240 nois a deixar anar els meus taules. 246 00:11:48,240 --> 00:11:49,850 Fem una ullada a això. 247 00:11:49,850 --> 00:11:54,410 Així que això simplement s'aixeca la informació per a una persona determinada. 248 00:11:54,410 --> 00:11:57,550 Així que, com sabem si això és afectada per la injecció de SQL. 249 00:11:57,550 --> 00:12:01,545 Anem a revisar molt ràpid si podem posar una mica - 250 00:12:01,545 --> 00:12:04,990 251 00:12:04,990 --> 00:12:06,080 m'ho dius a mi copiar aquest codi. 252 00:12:06,080 --> 00:12:08,140 Jo vaig a anar-hi en un segon. 253 00:12:08,140 --> 00:12:12,210 Em vaig a posar l'arrel i 1 és igual a 1. 254 00:12:12,210 --> 00:12:15,510 >> Aquest dret aquí, això signe de percentatge 23 - 255 00:12:15,510 --> 00:12:19,970 el que realment és, si jo buscar aquí mateix, a - 256 00:12:19,970 --> 00:12:23,820 la forma en què HTML té en nombre, si fer una ullada a quan vaig posar en un espai 257 00:12:23,820 --> 00:12:28,380 aquí - si jo fos l'espai alguna cosa aquí, canvia a un 2 per cent. 258 00:12:28,380 --> 00:12:31,420 Vostès veuen això aquí quan vaig posar en un espai? 259 00:12:31,420 --> 00:12:36,710 La forma en que funciona és que només es pot enviar valors ASCII a través d'HTML. 260 00:12:36,710 --> 00:12:40,330 De manera que substitueix, per exemple, un espai amb 20 per cent. 261 00:12:40,330 --> 00:12:41,970 No sé si vostès han vist això abans. 262 00:12:41,970 --> 00:12:45,100 >> Substitueix un hashtag amb 23 per cent. 263 00:12:45,100 --> 00:12:50,840 Necessitem un hashtag al final o declaració perquè puguem dir-li al 264 00:12:50,840 --> 00:13:00,885 base de dades que t'oblidis de comentar aquest últim punt i coma al final. 265 00:13:00,885 --> 00:13:03,060 Volem que no pensa en això. 266 00:13:03,060 --> 00:13:05,980 Només volem que s'executi tot que tenim per endavant i 267 00:13:05,980 --> 00:13:07,450 comentar això. 268 00:13:07,450 --> 00:13:08,710 Anem a fer una ullada. 269 00:13:08,710 --> 00:13:14,670 >> Així que si jo fos a posar alguna cosa malament - diguem, per exemple, em poso 2 iguals 270 00:13:14,670 --> 00:13:15,690 1, no em dóna res. 271 00:13:15,690 --> 00:13:22,930 Quan em vaig posar en 1 és igual a 1, i ho fa tornar alguna cosa, això em diu que 272 00:13:22,930 --> 00:13:24,660 aquest és vulnerable a una injecció SQL. 273 00:13:24,660 --> 00:13:29,090 Jo sé ara que tot el que Vaig posar després d'això - 274 00:13:29,090 --> 00:13:39,110 i, per exemple, eliminar taules o alguna cosa per l'estil 275 00:13:39,110 --> 00:13:41,190 sens dubte treballar. 276 00:13:41,190 --> 00:13:44,350 Sé que és vulnerable a injecció SQL perquè sé que 277 00:13:44,350 --> 00:13:49,850 sota de la capella, que està deixant em faig l'1 és igual a 1 cosa. 278 00:13:49,850 --> 00:13:51,100 ¿D'acord? 279 00:13:51,100 --> 00:13:53,950 280 00:13:53,950 --> 00:13:56,540 >> I si ens fixem en les altres, número dos i número tres, és 281 00:13:56,540 --> 00:13:59,110 farem una mica més de comprovar sota de la 282 00:13:59,110 --> 00:14:03,680 capó del que és. 283 00:14:03,680 --> 00:14:07,425 Així que qualsevol habilitar la gota res ni jutjat? 284 00:14:07,425 --> 00:14:08,760 Vostès sort d'aconseguir SQL encara? 285 00:14:08,760 --> 00:14:10,430 Perquè jo sé que vostès no han vist encara, així que és una espècie de 286 00:14:10,430 --> 00:14:11,759 confús per a vostès. 287 00:14:11,759 --> 00:14:16,160 288 00:14:16,160 --> 00:14:18,480 Anem a fer una ullada. 289 00:14:18,480 --> 00:14:21,270 Quina és la manera de prevenir SQLI? 290 00:14:21,270 --> 00:14:21,390 D'acord. 291 00:14:21,390 --> 00:14:23,330 Així que això és realment important, ja que nois definitivament volen evitar 292 00:14:23,330 --> 00:14:24,090 això en els seus llocs web. 293 00:14:24,090 --> 00:14:28,040 >> Si no és així, tots els seus amics van a es burlen de vostè quan se'ls cau tot 294 00:14:28,040 --> 00:14:29,390 les seves taules. 295 00:14:29,390 --> 00:14:36,150 Així que la idea és que reparar el SQL en certa manera, mentre que coincideixen 296 00:14:36,150 --> 00:14:41,940 el que les entrades de l'usuari amb una cadena determinada. 297 00:14:41,940 --> 00:14:46,120 Així que la forma en que funciona és que preparar la base de dades. 298 00:14:46,120 --> 00:14:50,830 Seleccioneu el nom, el color i calories a partir d'una base de dades anomenada fruita. 299 00:14:50,830 --> 00:14:53,580 I llavors, on calories és menor que, i posem un signe d'interrogació no 300 00:14:53,580 --> 00:14:56,530 dient que anem a l'entrada alguna cosa en un segon. 301 00:14:56,530 --> 00:14:58,850 >> I el color és igual, i ens fa una pregunta marca dient que anem a 302 00:14:58,850 --> 00:15:00,913 introdueixi dades en un segon també. 303 00:15:00,913 --> 00:15:02,660 ¿D'acord? 304 00:15:02,660 --> 00:15:09,920 I després l'executem, posant en 150 i vermell. 305 00:15:09,920 --> 00:15:12,820 I això va a comprovar per assegurar Assegureu-vos que aquests dos - 306 00:15:12,820 --> 00:15:15,300 aquesta matriu es comprovi que aquestes dos són un nombre enter i 307 00:15:15,300 --> 00:15:16,550 que això és una cadena. 308 00:15:16,550 --> 00:15:18,810 309 00:15:18,810 --> 00:15:20,890 Després anem i busquem tot, ho posem en vermell. 310 00:15:20,890 --> 00:15:21,964 Això vol dir que busquem a tots. 311 00:15:21,964 --> 00:15:26,790 Això vol dir que en realitat executa l'SQL declaració i posar de nou en vermell. 312 00:15:26,790 --> 00:15:30,530 Aquí fem el mateix, però nosaltres fer el mateix per al groc. 313 00:15:30,530 --> 00:15:32,490 I busquem a tots. 314 00:15:32,490 --> 00:15:36,140 >> I d'aquesta manera, evitem que l'usuari de ser capaç d'introduir alguna cosa 315 00:15:36,140 --> 00:15:41,710 això no és el que hem especificat, una cadena o un nombre enter, per exemple. 316 00:15:41,710 --> 00:15:45,100 317 00:15:45,100 --> 00:15:46,610 Jo estava parlant abans sobre dependre d'altres. 318 00:15:46,610 --> 00:15:50,010 Quan vostès el seu projecte, vostè és definitivament va a utilitzar 319 00:15:50,010 --> 00:15:52,310 arrencar o alguna cosa semblant. 320 00:15:52,310 --> 00:15:53,490 Han utilitzat alguna vegada Wordpress? 321 00:15:53,490 --> 00:15:57,170 Probablement vostès han utilitzat Wordpress més probable. 322 00:15:57,170 --> 00:16:00,050 Així que el problema amb l'ús coses dels altres - 323 00:16:00,050 --> 00:16:05,940 Jo només vaig a béns ràpida de Google Vulnerabilitat Wordpress. 324 00:16:05,940 --> 00:16:07,495 >> Si tir d'això ara mateix - 325 00:16:07,495 --> 00:16:08,995 Jo, literalment, vaig fer un dos segons Google. 326 00:16:08,995 --> 00:16:12,300 327 00:16:12,300 --> 00:16:13,800 Podem veure que Wordpress - 328 00:16:13,800 --> 00:16:17,450 aquest té data al setembre '12. 329 00:16:17,450 --> 00:16:19,120 26 s'actualitza. 330 00:16:19,120 --> 00:16:23,620 La configuració per defecte de Wordpress abans 3.6 no impedeix aquests 331 00:16:23,620 --> 00:16:27,110 certs arxius, el que podria fer que sigui més fàcil per als 332 00:16:27,110 --> 00:16:29,790 atacs cross-site scripting. 333 00:16:29,790 --> 00:16:34,530 Així que una història ràpida, un cop estaven treballant - Així estava jo, a l'estiu, un treball 334 00:16:34,530 --> 00:16:34,970 de pràctiques. 335 00:16:34,970 --> 00:16:40,400 I estàvem treballant amb una mena de com una gran companyia de targeta de crèdit. 336 00:16:40,400 --> 00:16:42,020 >> I es basen en alguna cosa que es diu - 337 00:16:42,020 --> 00:16:45,740 No sé si vostès alguna vegada van jugar amb un producte anomenat Joomla. 338 00:16:45,740 --> 00:16:51,750 Joomla és un producte que s'utilitza per de control - tipus de similar 339 00:16:51,750 --> 00:16:54,340 Wordpress, usat per construir llocs web. 340 00:16:54,340 --> 00:16:56,060 Així que van tenir la seva pàgina web treballant en Joomla. 341 00:16:56,060 --> 00:16:59,290 Això és en realitat una targeta de crèdit empresa a Colòmbia. 342 00:16:59,290 --> 00:17:01,000 Et portaré a la seva lloc molt ràpid. 343 00:17:01,000 --> 00:17:04,550 344 00:17:04,550 --> 00:17:05,400 >> Així que ells fan servir Joomla. 345 00:17:05,400 --> 00:17:08,630 I no havien actualitzat Joomla a l'última incorporació. 346 00:17:08,630 --> 00:17:12,160 I així, quan ens estàvem prenent una ullada a el seu codi, vam poder realment 347 00:17:12,160 --> 00:17:18,430 entrar el seu codi i robar tot el informació de la targeta de crèdit que tenien, 348 00:17:18,430 --> 00:17:21,670 tots els números de targetes de crèdit, els noms, les adreces. 349 00:17:21,670 --> 00:17:22,740 I això va ser només - 350 00:17:22,740 --> 00:17:23,569 i el seu codi era perfectament bé. 351 00:17:23,569 --> 00:17:24,710 Tenien un gran codi. 352 00:17:24,710 --> 00:17:25,389 Era tota la seguretat. 353 00:17:25,389 --> 00:17:26,520 Revisar totes les bases de dades. 354 00:17:26,520 --> 00:17:29,020 Es van assegurar de cross-site scripting estava bé. 355 00:17:29,020 --> 00:17:34,390 >> Però van usar una cosa que no era actualitzada, que no era segur. 356 00:17:34,390 --> 00:17:36,940 I perquè els va portar a - així que vostès definitivament es va a utilitzar una altra 357 00:17:36,940 --> 00:17:40,650 codi, els marcs de la gent de la gent per construir el seu lloc web. 358 00:17:40,650 --> 00:17:43,860 Assegureu-vos que són segures perquè de vegades no ets tu, el que 359 00:17:43,860 --> 00:17:44,480 comet un error. 360 00:17:44,480 --> 00:17:47,440 Però algú comet un error, i llavors caus per això. 361 00:17:47,440 --> 00:17:51,190 362 00:17:51,190 --> 00:17:53,885 >> Contrasenyes i PII. 363 00:17:53,885 --> 00:17:56,820 Així contrasenyes. 364 00:17:56,820 --> 00:17:58,070 D'acord. 365 00:17:58,070 --> 00:17:59,980 366 00:17:59,980 --> 00:18:04,230 Fem una ullada a les contrasenyes molt ràpid. 367 00:18:04,230 --> 00:18:04,590 D'acord. 368 00:18:04,590 --> 00:18:06,520 Si us plau, digues-me que tothom utilitza segur - 369 00:18:06,520 --> 00:18:09,030 Espero que tothom aquí utilitza contrasenyes segures. 370 00:18:09,030 --> 00:18:12,890 Jo només vaig a deixar que com una suposició. 371 00:18:12,890 --> 00:18:14,850 Així que vostès són sens dubte va a emmagatzemar les contrasenyes dels teus llocs web. 372 00:18:14,850 --> 00:18:17,440 Vas a fer alguna cosa com un inici de sessió, o alguna cosa així. 373 00:18:17,440 --> 00:18:19,610 L'important és no emmagatzemar contrasenyes en text pla. 374 00:18:19,610 --> 00:18:20,860 Això és extremadament important. 375 00:18:20,860 --> 00:18:23,960 Vostè no desitja emmagatzemar un contrasenya en text pla. 376 00:18:23,960 --> 00:18:27,370 >> I definitivament no vol realment per emmagatzemar-lo en un hash d'una manera. 377 00:18:27,370 --> 00:18:32,440 Així que el que és un hash d'un sentit és que quan es generar una paraula, quan es posa aquesta 378 00:18:32,440 --> 00:18:36,200 paraula en una funció hash, ho farà generar de nou algun tipus de críptic 379 00:18:36,200 --> 00:18:39,390 missatge o conjunt críptica de claus. 380 00:18:39,390 --> 00:18:40,640 Et vaig a mostrar un exemple. 381 00:18:40,640 --> 00:18:44,620 382 00:18:44,620 --> 00:18:50,250 Vaig hash que contraseña1 paraula. 383 00:18:50,250 --> 00:18:55,280 Hash md5 Així em tornarà algun tipus d'informació estranya. 384 00:18:55,280 --> 00:18:59,140 >> El problema és que la gent per aquí que els agrada anar als llocs web tenen 385 00:18:59,140 --> 00:19:02,750 ja descobert espècie de tots els hashes MD5. 386 00:19:02,750 --> 00:19:06,030 El que van fer és que es van asseure en el seu ordinadors, i hash cada 387 00:19:06,030 --> 00:19:09,660 sola paraula possible per aquí fins que van aconseguir una espècie del que és això. 388 00:19:09,660 --> 00:19:11,420 Si jo anés a veure això - 389 00:19:11,420 --> 00:19:12,420 Vaig agafar aquest hash. 390 00:19:12,420 --> 00:19:14,120 Si aconsegueixo aquest hash de - 391 00:19:14,120 --> 00:19:17,470 si entro en un lloc web, i em trobo amb aquest hash perquè em permet la 392 00:19:17,470 --> 00:19:24,100 bases de dades, i miro cap amunt, algú ja descobert per mi. 393 00:19:24,100 --> 00:19:28,600 394 00:19:28,600 --> 00:19:29,100 >> Sí 395 00:19:29,100 --> 00:19:35,030 Així que la gent es va asseure, i qualsevol que sigui md5 hash que vostè posa en, van a 396 00:19:35,030 --> 00:19:37,760 tornar a alguna cosa és a dir una paraula. 397 00:19:37,760 --> 00:19:39,800 Si Haixix altra paraula, com - 398 00:19:39,800 --> 00:19:42,410 No sé - 399 00:19:42,410 --> 00:19:43,490 trees2. 400 00:19:43,490 --> 00:19:46,050 No vull que es decebi per les meves cerques de Google. 401 00:19:46,050 --> 00:19:49,820 402 00:19:49,820 --> 00:19:52,780 Aquí està, trees2. 403 00:19:52,780 --> 00:19:55,930 Així que un munt de llocs web seguir utilitzant hash MD5. 404 00:19:55,930 --> 00:19:57,730 Ells diuen, oh, és segur. 405 00:19:57,730 --> 00:19:58,570 No anem a emmagatzemar en text pla. 406 00:19:58,570 --> 00:19:59,740 Tenim aquest hash md5. 407 00:19:59,740 --> 00:20:01,880 I tot el que he de fer és Google el nombre. 408 00:20:01,880 --> 00:20:03,940 >> Ni tan sols he de calcular a mi mateix. 409 00:20:03,940 --> 00:20:06,790 Jo només puc buscar a Google, i algú Ja ho va fer per mi. 410 00:20:06,790 --> 00:20:08,010 Aquí hi ha un munt d'ells. 411 00:20:08,010 --> 00:20:09,260 Aquí hi ha un munt de contrasenyes. 412 00:20:09,260 --> 00:20:13,890 413 00:20:13,890 --> 00:20:18,680 Així que, definitivament, no ha d'emprar hash md5, perquè tot el que ha de 414 00:20:18,680 --> 00:20:19,140 fer és Google ell. 415 00:20:19,140 --> 00:20:20,390 Així que què és el que voleu utilitzar en el seu lloc? 416 00:20:20,390 --> 00:20:29,340 417 00:20:29,340 --> 00:20:30,170 D'acord. 418 00:20:30,170 --> 00:20:31,260 Cosa anomenada salaó. 419 00:20:31,260 --> 00:20:32,460 Llavors, quin és el salat - 420 00:20:32,460 --> 00:20:36,280 és el que vostès recordin quan érem parlant d'atzar en - 421 00:20:36,280 --> 00:20:37,920 No estic segur de quin conjunt de processadors que era - 422 00:20:37,920 --> 00:20:41,140 L'hi PSET allà o quatre? 423 00:20:41,140 --> 00:20:45,150 >> Estàvem parlant de la recerca l'agulla al paller. 424 00:20:45,150 --> 00:20:48,480 I en el conjunt de processadors, es va dir que es podia realment esbrinar el aleatori 425 00:20:48,480 --> 00:20:51,840 genera perquè algú ja està corrent l'atzar un milió de vegades i només 426 00:20:51,840 --> 00:20:53,230 sort de formar el que ells generen. 427 00:20:53,230 --> 00:20:55,840 El que vull fer és posar en una entrada. 428 00:20:55,840 --> 00:20:57,130 Així que això és el que la salaó tipus de és. 429 00:20:57,130 --> 00:21:00,900 Ja adonar del salat torna per a cada obra. 430 00:21:00,900 --> 00:21:04,750 >> Així que el que fa és salat es posa en una sal. 431 00:21:04,750 --> 00:21:06,160 Es posa en una determinada paraula. 432 00:21:06,160 --> 00:21:09,720 I serà hash d'aquesta paraula en funció en el que es posa aquí. 433 00:21:09,720 --> 00:21:13,570 Així que si jo hash de la contrasenya un amb aquest frase, va per discutir 434 00:21:13,570 --> 00:21:17,180 diferent si Haixix contraseña1 amb una frase diferent. 435 00:21:17,180 --> 00:21:21,670 D'alguna manera se li dóna un lloc per començar pel hash per començar. 436 00:21:21,670 --> 00:21:25,970 Així que és molt més difícil de calcular, però encara pot calcular-la, especialment 437 00:21:25,970 --> 00:21:26,830 si utilitza una mala sal. 438 00:21:26,830 --> 00:21:29,650 >> La gent ja ha també descobert sals comunes i descobert 439 00:21:29,650 --> 00:21:31,500 el que és. 440 00:21:31,500 --> 00:21:34,980 Sales d'atzar són molt millors, però la millor manera és fer servir 441 00:21:34,980 --> 00:21:38,160 cosa que es diu cripta. 442 00:21:38,160 --> 00:21:40,480 I què cripta li permet no - de manera que aquestes funcions són 443 00:21:40,480 --> 00:21:41,820 ja construït per a vostè. 444 00:21:41,820 --> 00:21:44,910 Molta gent s'oblida que, o s'obliden d'utilitzar. 445 00:21:44,910 --> 00:21:54,520 Però si miro cap amunt cripta PHP, cripta Ja retorna una cadena hash per a mi. 446 00:21:54,520 --> 00:21:58,790 I el que realment sals moltes vegades i hashes moltes vegades. 447 00:21:58,790 --> 00:22:00,070 >> Així que no hem de fer això. 448 00:22:00,070 --> 00:22:04,790 L'únic que has de fer és enviar-lo a la cripta. 449 00:22:04,790 --> 00:22:08,170 I crearà un gran picada sense haver de preocupar sobre la sal 450 00:22:08,170 --> 00:22:08,990 ni res. 451 00:22:08,990 --> 00:22:12,000 Perquè si anés a la sal, tens recordar el que la sal que va utilitzar 452 00:22:12,000 --> 00:22:13,800 perquè si no, no pots aconseguir la seva contrasenya de nou sense el 453 00:22:13,800 --> 00:22:15,760 sal que utilitza. 454 00:22:15,760 --> 00:22:17,010 D'acord. 455 00:22:17,010 --> 00:22:21,120 456 00:22:21,120 --> 00:22:23,150 >> I també identificable personal informació. 457 00:22:23,150 --> 00:22:26,730 Així que la seguretat social, la targeta de crèdit - això és bastant obvi. 458 00:22:26,730 --> 00:22:31,880 Però de vegades la gent s'oblida de la manera que obres és, la quantitat d'informació fa que 459 00:22:31,880 --> 00:22:35,690 en realitat la necessitat de trobar alguna persona? 460 00:22:35,690 --> 00:22:37,740 Algú va fer un estudi sobre aquest un camí de tornada. 461 00:22:37,740 --> 00:22:40,870 I va ser com, si vostè té el nom complet, no es pot trobar 462 00:22:40,870 --> 00:22:41,610 algú tan fàcilment. 463 00:22:41,610 --> 00:22:43,900 Però el que si vostè té un nom complet i la data de naixement? 464 00:22:43,900 --> 00:22:47,770 És això suficient per identificar algú en concret? 465 00:22:47,770 --> 00:22:52,760 >> Què passa si vostè té el seu nom i la direcció del carrer que viuen? 466 00:22:52,760 --> 00:22:55,110 És això suficient per trobar algú? 467 00:22:55,110 --> 00:23:02,490 I va ser llavors quan es pregunten, quin és informació d'identificació personal, i 468 00:23:02,490 --> 00:23:05,360 Què s'ha de preocupar per no regalar? 469 00:23:05,360 --> 00:23:08,770 Si vostè regala identificable personal informació que algú et dóna, 470 00:23:08,770 --> 00:23:11,420 vostè pot ser demandat. 471 00:23:11,420 --> 00:23:12,610 I definitivament no volem això. 472 00:23:12,610 --> 00:23:14,955 >> Així que quan vostè està posant el seu lloc web , I vostè té una molt cool 473 00:23:14,955 --> 00:23:17,230 disseny, és d'esperar que vostè va fer un projecte final impressionant. 474 00:23:17,230 --> 00:23:18,370 Qualsevol espècie que desitges el va posar aquí. 475 00:23:18,370 --> 00:23:21,420 Vostè vol assegurar-se que tot el que vostè està prenent per part de l'usuari, si és 476 00:23:21,420 --> 00:23:25,310 informació d'identificació personal, voldrà assegurar-se que vostè està sent realment 477 00:23:25,310 --> 00:23:26,560 compte amb ell. 478 00:23:26,560 --> 00:23:29,670 479 00:23:29,670 --> 00:23:31,080 >> Injecció de Shell. 480 00:23:31,080 --> 00:23:31,350 D'acord. 481 00:23:31,350 --> 00:23:37,590 Injecció de carcassa permet que l'intrús accedir a la línia d'ordres real 482 00:23:37,590 --> 00:23:39,660 en el seu servidor. 483 00:23:39,660 --> 00:23:44,060 I així que ell és capaç d'executar codi que no es pot controlar. 484 00:23:44,060 --> 00:23:49,560 Vegem un exemple d'això bella cadena aquí. 485 00:23:49,560 --> 00:23:55,570 Si entrem a la pàgina web de nou, estic entrarà en la injecció de codi. 486 00:23:55,570 --> 00:23:58,910 Així que el que això fa és - 487 00:23:58,910 --> 00:24:00,420 que és també el que vam ser mirant abans. 488 00:24:00,420 --> 00:24:11,200 Estem deixant a l'usuari posar en qualsevol que vol, i el que imprimirà 489 00:24:11,200 --> 00:24:12,220 el que vulguis. 490 00:24:12,220 --> 00:24:13,890 >> Així que em vaig a posar una trucada. 491 00:24:13,890 --> 00:24:15,540 El que això fa és - 492 00:24:15,540 --> 00:24:16,940 s'iniciarà mitjançant la concatenació. 493 00:24:16,940 --> 00:24:19,520 Així que em permet executar qualsevol comandament de fórmula de la persona 494 00:24:19,520 --> 00:24:21,500 abans i el meu comandament. 495 00:24:21,500 --> 00:24:23,980 I m'estic quedant una ordre del sistema. 496 00:24:23,980 --> 00:24:27,310 I aquestes últimes cadenes són - recorda el que vaig parlar amb vostès sobre, 497 00:24:27,310 --> 00:24:31,725 mentre que vostè ha de codificar en un mètode d'URL. 498 00:24:31,725 --> 00:24:35,010 499 00:24:35,010 --> 00:24:36,992 Si em quedo això ara - 500 00:24:36,992 --> 00:24:39,150 Et vaig a mostrar aquí - 501 00:24:39,150 --> 00:24:41,100 veuràs que vaig acabar fins a l'execució d'un comandament. 502 00:24:41,100 --> 00:24:45,700 503 00:24:45,700 --> 00:24:49,320 >> Això és en realitat el servidor real que el meu lloc web s'està executant. 504 00:24:49,320 --> 00:24:55,840 505 00:24:55,840 --> 00:24:58,510 Així que nosaltres no volem això, perquè puc córrer - 506 00:24:58,510 --> 00:25:00,320 aquest servidor no és meu. 507 00:25:00,320 --> 00:25:04,030 Així que no vull fer malbé la seva germana, servidor de Marcus. 508 00:25:04,030 --> 00:25:07,470 Però es pot executar més ordres que són perillosos. 509 00:25:07,470 --> 00:25:11,885 I potencialment, podria eliminar arxius, eliminar directoris. 510 00:25:11,885 --> 00:25:14,390 511 00:25:14,390 --> 00:25:17,970 Puc eliminar un directori determinat si Jo volia, però jo no vull 512 00:25:17,970 --> 00:25:19,530 fer-li això a Marcus. 513 00:25:19,530 --> 00:25:20,420 Ell és un bon tipus. 514 00:25:20,420 --> 00:25:21,470 Ell em va prestar el seu servidor. 515 00:25:21,470 --> 00:25:24,620 Així que vaig a deixar-ho de descompte en la bona. 516 00:25:24,620 --> 00:25:32,280 >> Així que el que no volen fer servir - no ho fem vulgui utilitzar eval o sistema. 517 00:25:32,280 --> 00:25:34,755 Aval o el sistema ens permet fer aquestes crides al sistema. 518 00:25:34,755 --> 00:25:37,410 519 00:25:37,410 --> 00:25:38,410 Mitjans d'avaluació avaluen. 520 00:25:38,410 --> 00:25:40,790 Sistema significa el que em vaig trobar. 521 00:25:40,790 --> 00:25:42,490 Està dirigit alguna cosa en el sistema. 522 00:25:42,490 --> 00:25:46,730 Però podem prohibir aquestes coses en PHP perquè no els fem servir. 523 00:25:46,730 --> 00:25:47,400 I la càrrega d'arxius. 524 00:25:47,400 --> 00:25:49,180 Jo anava a fer una impressionant cosa amb la càrrega d'arxius. 525 00:25:49,180 --> 00:25:52,740 Però com et vaig dir nois, el meu arxiu El càrrega no està funcionant. 526 00:25:52,740 --> 00:25:54,590 Si hagués de carregar un arxiu en aquest moment - 527 00:25:54,590 --> 00:25:57,120 528 00:25:57,120 --> 00:26:00,830 si hagués de carregar un arxiu, i és una imatge - 529 00:26:00,830 --> 00:26:03,180 vostè té alguna cosa de càrrega això és una foto. 530 00:26:03,180 --> 00:26:03,660 Això està bé. 531 00:26:03,660 --> 00:26:04,280 No passa res. 532 00:26:04,280 --> 00:26:10,840 >> Però si vostè té un arxiu de càrrega, per exemple, i l'usuari realment arxius 533 00:26:10,840 --> 00:26:19,220 un arxiu PHP o un arxiu exe o alguna cosa així, llavors vostè podria potencialment 534 00:26:19,220 --> 00:26:19,740 tenir un problema. 535 00:26:19,740 --> 00:26:21,390 Això funcionava abans. 536 00:26:21,390 --> 00:26:25,202 Per desgràcia per a mi, és no treballar mai més. 537 00:26:25,202 --> 00:26:30,230 Si jo, per exemple, pujar l'arxiu, estic no obtenir permís per pujar 538 00:26:30,230 --> 00:26:33,400 l'arxiu perquè el servidor no sent meva. 539 00:26:33,400 --> 00:26:38,670 Així que el noi és molt intel · ligent. 540 00:26:38,670 --> 00:26:39,610 >> Així que no volem - 541 00:26:39,610 --> 00:26:40,130 Vaig a mostrar que vostès - 542 00:26:40,130 --> 00:26:41,840 Bé, aquestes són algunes eines molt interessants. 543 00:26:41,840 --> 00:26:45,100 Així que aquests - 544 00:26:45,100 --> 00:26:47,715 entrar - si vostès tenen Firefox - espero que si. 545 00:26:47,715 --> 00:26:54,260 Hi ha dos agregacions trucades SQL Inject Jo i Cross-Site Guió Me. 546 00:26:54,260 --> 00:26:56,870 Obren tan poc de costat bars al costat. 547 00:26:56,870 --> 00:27:01,480 I si hagués d'anar a CS60, per exemple - 548 00:27:01,480 --> 00:27:04,210 així que el que fa és el que sembla per a totes les formes que - 549 00:27:04,210 --> 00:27:07,220 550 00:27:07,220 --> 00:27:08,760 amb sort, no vaig a entrar en problemes per això. 551 00:27:08,760 --> 00:27:09,190 >> Però a D'acord. 552 00:27:09,190 --> 00:27:12,600 Aquí hi ha el sistema de pin. 553 00:27:12,600 --> 00:27:18,946 Així que quan em poso a buscar forats en el sistema, el primer que faig és 554 00:27:18,946 --> 00:27:21,820 obrir aquesta petita i bonica eina al costat. 555 00:27:21,820 --> 00:27:24,160 I jo vaig a provar formes amb atacs automàtics. 556 00:27:24,160 --> 00:27:28,510 I així, el que això fa és que a poc a poc obrir un munt de navegadors. 557 00:27:28,510 --> 00:27:29,930 Aquí hi ha un munt de navegadors. 558 00:27:29,930 --> 00:27:33,320 I està tractant cada combinació única de cross-site scripting 559 00:27:33,320 --> 00:27:37,380 que possiblement és a dir, si que es veu al costat. 560 00:27:37,380 --> 00:27:42,080 >> I que em donarà un resultat espècie de quina és la resposta. 561 00:27:42,080 --> 00:27:42,860 Tots passar. 562 00:27:42,860 --> 00:27:43,910 Òbviament, tots ells passen. 563 00:27:43,910 --> 00:27:46,190 Vull dir, ells són molt intel · ligents la gent d'allà dalt. 564 00:27:46,190 --> 00:27:48,010 Però si jo fos a córrer - 565 00:27:48,010 --> 00:27:52,050 He tingut moments abans, quan executo això sobre els projectes finals dels alumnes. 566 00:27:52,050 --> 00:27:56,080 Jo simplement executar SQL Inject Em amb tots els diferents atacs. 567 00:27:56,080 --> 00:28:00,080 I està tractant d'injectar SQL aquest servidor pin. 568 00:28:00,080 --> 00:28:03,590 Així que si ens desplacem cap avall, per exemple, es diu - 569 00:28:03,590 --> 00:28:04,960 això és bo si torna. 570 00:28:04,960 --> 00:28:08,250 >> Així que va provar alguns certs valors. 571 00:28:08,250 --> 00:28:11,170 I el servidor ha retornat un codi que va ser negatiu. 572 00:28:11,170 --> 00:28:11,780 Traieu temporalment. 573 00:28:11,780 --> 00:28:13,030 Això és bo. 574 00:28:13,030 --> 00:28:17,050 575 00:28:17,050 --> 00:28:20,750 Tracta totes aquestes proves. 576 00:28:20,750 --> 00:28:21,790 Així que vostè pot simplement executar - 577 00:28:21,790 --> 00:28:27,860 M'agradaria poder trobar un lloc web de béns ràpida que em van deixar - 578 00:28:27,860 --> 00:28:29,110 potser la botiga CS50. 579 00:28:29,110 --> 00:28:43,890 580 00:28:43,890 --> 00:28:45,711 >> Wow, això va a prendre massa temps. 581 00:28:45,711 --> 00:28:53,090 582 00:28:53,090 --> 00:28:55,130 Vaig a deixar que la primera prova No va acabar bé. 583 00:28:55,130 --> 00:28:57,330 Per tant, es queixa. 584 00:28:57,330 --> 00:28:58,470 Així que aquestes són tres coses. 585 00:28:58,470 --> 00:29:00,430 Aquestes eines són gratuïts. 586 00:29:00,430 --> 00:29:03,960 Pots descarregar-los i executar-los en seu lloc web, i li dirà si 587 00:29:03,960 --> 00:29:06,650 vostè té cross-site scripting, si té SQL, si vostè té 588 00:29:06,650 --> 00:29:07,900 alguna cosa per l'estil. 589 00:29:07,900 --> 00:29:12,230 590 00:29:12,230 --> 00:29:14,500 Jo sóc una mena de fer malbé. 591 00:29:14,500 --> 00:29:15,550 >> El que és important - 592 00:29:15,550 --> 00:29:17,900 OK, així que mai confiar en l'usuari. 593 00:29:17,900 --> 00:29:21,920 Qualsevol que sigui l'usuari introdueix per a tu, enviem Segur que desinfectar, el netegeu, 594 00:29:21,920 --> 00:29:25,300 comprovar per les coses correctes, que li està donant el que 595 00:29:25,300 --> 00:29:28,240 volia que se li donen. 596 00:29:28,240 --> 00:29:32,460 Estigui sempre al dia del marcs que en realitat estàs fent servir. 597 00:29:32,460 --> 00:29:34,630 Si utilitzeu alguna cosa com bootstrap - 598 00:29:34,630 --> 00:29:36,340 Jo sé que vostès van a utilitzar arrencar perquè ell va a anar 599 00:29:36,340 --> 00:29:38,140 sobre això aviat a la classe - 600 00:29:38,140 --> 00:29:43,120 i Wordpress o alguna cosa per l'estil, Normalment això podria ser hacker. 601 00:29:43,120 --> 00:29:44,770 >> I llavors vostè ni tan sols coneix. 602 00:29:44,770 --> 00:29:45,800 No ets més que el funcionament del seu lloc web. 603 00:29:45,800 --> 00:29:47,360 I és totalment segur. 604 00:29:47,360 --> 00:29:51,730 I vostè va avall. 605 00:29:51,730 --> 00:29:54,000 Així que em vaig a pescar molt d'hora. 606 00:29:54,000 --> 00:29:55,770 Però vull agrair Pentest laboratoris. 607 00:29:55,770 --> 00:29:58,140 Vaig a mostrar que vostès alguna cosa anomenat Pentest laboratoris. 608 00:29:58,140 --> 00:30:05,000 Si vostès són realment interessat en el que la seguretat és en realitat, hi ha una 609 00:30:05,000 --> 00:30:07,300 lloc web anomenat Pentest laboratoris si vostès van a ell en aquests moments. 610 00:30:07,300 --> 00:30:10,730 Oh, bé, això no és tot. 611 00:30:10,730 --> 00:30:12,030 Jo només vaig a córrer així. 612 00:30:12,030 --> 00:30:14,400 Google em diu la resposta. 613 00:30:14,400 --> 00:30:16,590 >> D'acord. 614 00:30:16,590 --> 00:30:19,030 I t'ensenya l'ús - pel que diu, aprendre penetració web 615 00:30:19,030 --> 00:30:21,060 les proves de la manera correcta. 616 00:30:21,060 --> 00:30:23,650 T'ensenya - 617 00:30:23,650 --> 00:30:25,150 amb sort, vostè és una persona ètica. 618 00:30:25,150 --> 00:30:29,200 Però li ensenya com es pot veure en com es pot aconseguir dins de llocs web. 619 00:30:29,200 --> 00:30:31,130 I si s'assabenta de com es pot aconseguir dins llocs web, vostè pot aprendre a 620 00:30:31,130 --> 00:30:34,960 protegir un contra llocs web en el seu interior. 621 00:30:34,960 --> 00:30:39,100 Déjame el zoom en perquè potser vostès no estan mirant a aquest dret. 622 00:30:39,100 --> 00:30:46,350 >> D'injecció de SQL a la closca, de manera que espècie de com puc obtenir de SQL 623 00:30:46,350 --> 00:30:48,530 injecció de shell. 624 00:30:48,530 --> 00:30:53,890 I vostè descàrrega aquesta màquina virtual. 625 00:30:53,890 --> 00:30:55,690 I la màquina virtual ja ve amb el lloc web que vostè està 626 00:30:55,690 --> 00:30:56,780 va a provar. 627 00:30:56,780 --> 00:30:58,030 Vostè descarrega el PDF. 628 00:30:58,030 --> 00:31:03,610 629 00:31:03,610 --> 00:31:08,370 I us mostrarà línia per línia el que el que has de fer, el que comprova. 630 00:31:08,370 --> 00:31:14,560 Això és el que un atacant en realitat Com arribar dins d'una pàgina web. 631 00:31:14,560 --> 00:31:15,750 >> I algunes d'aquestes coses és complicat. 632 00:31:15,750 --> 00:31:17,520 M'agradaria poder anar més coses amb vostès. 633 00:31:17,520 --> 00:31:21,090 Però em preocupa que vostès no té en realitat - 634 00:31:21,090 --> 00:31:23,090 això és el que em vaig apropar amb vostès, proves web 635 00:31:23,090 --> 00:31:26,830 per a les proves de penetració. 636 00:31:26,830 --> 00:31:33,540 Realment no sé el que SQL és i el que - 637 00:31:33,540 --> 00:31:35,960 El seminari de Carl Jackson és increïble. 638 00:31:35,960 --> 00:31:37,360 Vostès no saben ordenar del que es tracta. 639 00:31:37,360 --> 00:31:39,450 Però si vas a aquest lloc web, i vostè descarregar aquests tutorials i aquests 640 00:31:39,450 --> 00:31:43,290 PDF, vostè pot fer una ullada a una espècie de el que l'àrea de la seguretat que realment fa 641 00:31:43,290 --> 00:31:46,940 en proves de penetració, veure com es pot aconseguir llocs web dins i protegir 642 00:31:46,940 --> 00:31:48,020 a si mateix d'ella. 643 00:31:48,020 --> 00:31:56,360 >> Així que si faig un resum molt ràpid, Serà prevenir cross-site scripting. 644 00:31:56,360 --> 00:32:00,160 Vols utilitzar htmlspecialchars cada moment en què l'usuari introdueix alguna cosa. 645 00:32:00,160 --> 00:32:01,580 Evitar la injecció SQL. 646 00:32:01,580 --> 00:32:04,510 Si vostè fa això, vostè ja està millor que Harvard estava 647 00:32:04,510 --> 00:32:06,530 quan van ser violades. 648 00:32:06,530 --> 00:32:10,510 I assegureu-vos que les seves contrasenyes no estan en text pla. 649 00:32:10,510 --> 00:32:16,220 Assegureu-vos de fer no només una forma de hash ells, sinó que s'utilitza cripta, el PHP 650 00:32:16,220 --> 00:32:18,670 funció que els vaig mostrar nois. 651 00:32:18,670 --> 00:32:20,060 D'aquesta manera, ha de ser bo. 652 00:32:20,060 --> 00:32:25,830 >> A més, si els seus amics li permeten, executa SQL Inject Em en els seus llocs web. 653 00:32:25,830 --> 00:32:28,140 Executar seqüències d'ordres en llocs creuats en els seus llocs web. 654 00:32:28,140 --> 00:32:33,720 I veuràs que molts d'aquests llocs web tenir un munt de vulnerabilitats. 655 00:32:33,720 --> 00:32:40,400 És increïble com s'obliden de molta gent per desinfectar les seves bases de dades o per fer 656 00:32:40,400 --> 00:32:46,340 segur del d'introducció de la persona no és de codi script. 657 00:32:46,340 --> 00:32:47,200 D'acord. 658 00:32:47,200 --> 00:32:49,182 En certa manera em vaig acabar molt d'hora. 659 00:32:49,182 --> 00:32:56,510 Però si algú té alguna pregunta sobre qualsevol cosa, vostè pot disparar-una pregunta. 660 00:32:56,510 --> 00:32:56,630 Sí 661 00:32:56,630 --> 00:32:56,970 Vaja, vaja. 662 00:32:56,970 --> 00:32:59,846 >> AUDIÈNCIA: Només vull preguntar, Pot explicar com l'arxiu 663 00:32:59,846 --> 00:33:03,160 pujar exactament obres. 664 00:33:03,160 --> 00:33:03,480 >> LUCIANO ARANGO: Si. 665 00:33:03,480 --> 00:33:06,350 Així que permetin-me que et ensenyi l'arxiu pujar molt ràpid. 666 00:33:06,350 --> 00:33:11,300 Així que la càrrega d'arxius - 667 00:33:11,300 --> 00:33:14,500 el problema enginy la càrrega d'arxius ara mateix és que - 668 00:33:14,500 --> 00:33:18,541 Vaig a obrir el codi perquè vostès veure el codi darrere de les escenes. 669 00:33:18,541 --> 00:33:22,390 670 00:33:22,390 --> 00:33:24,305 I es puja. 671 00:33:24,305 --> 00:33:28,030 672 00:33:28,030 --> 00:33:31,560 Aquí hi ha un codi per al carregador d'arxius. 673 00:33:31,560 --> 00:33:33,980 >> Estem tractant d'entrar en aquesta directori per aquí. 674 00:33:33,980 --> 00:33:37,380 675 00:33:37,380 --> 00:33:44,880 I estem tractant de, una vegada que l'entrada de arxiu, arxiu isset - així que quan hi ha una 676 00:33:44,880 --> 00:33:50,900 presentar en ARXIUS, aquesta imatge, a continuació, tractem de moure aquí. 677 00:33:50,900 --> 00:33:51,910 Agafem l'arxiu aquí. 678 00:33:51,910 --> 00:33:58,350 El mètode és POST, tipus, imatge, arxiu. 679 00:33:58,350 --> 00:33:59,630 I estem enviant aquest fitxer. 680 00:33:59,630 --> 00:34:03,910 I una vegada que ho fem, així que un cop l'arxiu té una imatge, que estem tractant d'enviar 681 00:34:03,910 --> 00:34:05,060 a aquest directori. 682 00:34:05,060 --> 00:34:09,814 >> El problema és que el lloc web no és deixar-me anar a aquest directori, 683 00:34:09,814 --> 00:34:12,239 ja que no vol que torni. 684 00:34:12,239 --> 00:34:13,489 No vol que em vagi - 685 00:34:13,489 --> 00:34:15,620 686 00:34:15,620 --> 00:34:17,070 Em he d'anar - així que aquí està la carregar. 687 00:34:17,070 --> 00:34:17,639 Heus aquí les imatges. 688 00:34:17,639 --> 00:34:21,780 He d'anar tot el camí de tornada a la començant i el va posar en en l'acte 689 00:34:21,780 --> 00:34:23,820 anar i posar-lo al directori. 690 00:34:23,820 --> 00:34:30,000 Així que si jo estava corrent una finestra de terminal, i volia moure un arxiu - 691 00:34:30,000 --> 00:34:30,409 [Inaudible] 692 00:34:30,409 --> 00:34:32,159 pot veure-ho. 693 00:34:32,159 --> 00:34:37,940 Si volgués moure un arxiu, tinc per posar el nom de l'arxiu i després el 694 00:34:37,940 --> 00:34:40,860 camí complet Vull enviar el missatge. 695 00:34:40,860 --> 00:34:45,110 >> I a continuació, el servidor no està deixar-me anar cap enrere. 696 00:34:45,110 --> 00:34:46,929 I el que no està deixant a arribar a aquest arxiu. 697 00:34:46,929 --> 00:34:47,670 Però normalment - 698 00:34:47,670 --> 00:34:49,360 així que hi ha un codi per pujar un arxiu. 699 00:34:49,360 --> 00:34:52,260 Així que normalment el que succeirà és que el persona no està comprovant si el meu arxiu 700 00:34:52,260 --> 00:34:57,920 acaba amb. jpeg, així que que vulgueu comprovar. 701 00:34:57,920 --> 00:35:00,054 Permetin-me obrir un exemple massa ràpid. 702 00:35:00,054 --> 00:35:07,766 703 00:35:07,766 --> 00:35:08,260 >> D'acord. 704 00:35:08,260 --> 00:35:09,230 Aquesta persona adequada - 705 00:35:09,230 --> 00:35:11,980 així exemple dues és la comprovació si preg_match - 706 00:35:11,980 --> 00:35:14,180 aquí és aquí - 707 00:35:14,180 --> 00:35:19,660 per assegurar-se que acaba amb PHP, la qual cosa és bo. 708 00:35:19,660 --> 00:35:20,580 Això és bo. 709 00:35:20,580 --> 00:35:22,820 Però hi ha una gran reals problema amb això. 710 00:35:22,820 --> 00:35:24,600 Això és bo. 711 00:35:24,600 --> 00:35:44,190 Però si hagués de posar un arxiu anomenat myfavoritepicture.php.jpeg, vaig poder 712 00:35:44,190 --> 00:35:50,060 sent potencialment desfer-se del jpeg i executar PHP it.k Això és perillós. 713 00:35:50,060 --> 00:35:53,850 No vol que la persona sigui capaç per a executar codi al seu lloc web. 714 00:35:53,850 --> 00:35:55,750 >> Però llavors. Jpeg el deixa passar. 715 00:35:55,750 --> 00:36:00,720 La idea és el que realment vols fer No és prendre els arxius, A. Però, bé, el que 716 00:36:00,720 --> 00:36:07,500 que realment vull fer és assegurar-se que es llegeix a tot el món. 717 00:36:07,500 --> 00:36:08,720 I no hi ha res. Php-hi. 718 00:36:08,720 --> 00:36:10,500 No n'hi ha. Php a l' nom de l'arxiu sencer. 719 00:36:10,500 --> 00:36:12,780 >> AUDIÈNCIA: Però podries posar. jpeg a l'extrem. 720 00:36:12,780 --> 00:36:15,830 Els servidors segueixen corrent el codi. 721 00:36:15,830 --> 00:36:16,870 >> LUCIANO ARANGO: No, no ho farà córrer pel principi. 722 00:36:16,870 --> 00:36:22,310 Has de tornar i provar per veure si pots - 723 00:36:22,310 --> 00:36:24,210 >> AUDIÈNCIA: Així que hem de - 724 00:36:24,210 --> 00:36:26,020 Bé, només un altre conjunt que implica - 725 00:36:26,020 --> 00:36:26,936 >> LUCIANO ARANGO: Si. 726 00:36:26,936 --> 00:36:29,230 >> AUDIÈNCIA: OK. 727 00:36:29,230 --> 00:36:31,486 >> LUCIANO ARANGO: Si. 728 00:36:31,486 --> 00:36:31,900 D'acord. 729 00:36:31,900 --> 00:36:32,865 Alguna altra pregunta? 730 00:36:32,865 --> 00:36:33,180 D'acord. 731 00:36:33,180 --> 00:36:37,350 Vaig a deixar això i ordenar de tractar de veure si vostès poden - 732 00:36:37,350 --> 00:36:40,490 els altres són una mica més complicat perquè requereixen molt 733 00:36:40,490 --> 00:36:44,050 més coneixements de SQL que només la a partir del coneixement de la web és SQL i 734 00:36:44,050 --> 00:36:47,010 el que JavaScript està. 735 00:36:47,010 --> 00:36:49,730 Però vaig a tractar de seguir amb això, i és d'esperar que els nois s'aprengui 736 00:36:49,730 --> 00:36:53,230 sobre això i tractar de fer una ullada a el que pot fer i quants exemples 737 00:36:53,230 --> 00:36:54,420 vostè pot aconseguir a través. 738 00:36:54,420 --> 00:36:56,020 >> Algú té alguna altra preguntes al respecte? 739 00:36:56,020 --> 00:36:59,387 740 00:36:59,387 --> 00:37:00,350 Endavant. 741 00:37:00,350 --> 00:37:01,170 Sí, disparar, disparar. 742 00:37:01,170 --> 00:37:01,580 Sí, endavant. 743 00:37:01,580 --> 00:37:01,850 Endavant. 744 00:37:01,850 --> 00:37:02,310 >> AUDIÈNCIA: OK. 745 00:37:02,310 --> 00:37:08,870 Així vaig saber com Cotitzacions Màgia no estan prou segur. 746 00:37:08,870 --> 00:37:09,280 >> LUCIANO ARANGO: Què - 747 00:37:09,280 --> 00:37:10,110 Cotitzacions màgia? 748 00:37:10,110 --> 00:37:10,595 >> AUDIÈNCIA: Si. 749 00:37:10,595 --> 00:37:15,445 Per tant, afegeix - així que sempre que l'entrada alguna cosa, que sempre afegeix cometes. 750 00:37:15,445 --> 00:37:15,930 >> LUCIANO ARANGO: Si. 751 00:37:15,930 --> 00:37:16,000 Sí 752 00:37:16,000 --> 00:37:16,496 D'acord. 753 00:37:16,496 --> 00:37:19,113 >> AUDIÈNCIA: I llavors vaig pensar que vaig treballar, però després vaig buscar a dalt. 754 00:37:19,113 --> 00:37:21,648 I va dir que no és bo. 755 00:37:21,648 --> 00:37:23,050 Però no estic segur de per què. 756 00:37:23,050 --> 00:37:23,360 >> LUCIANO ARANGO: Si. 757 00:37:23,360 --> 00:37:26,240 >> AUDIÈNCIA: No utilitzeu Comillas Màgiques, perquè no és segur. 758 00:37:26,240 --> 00:37:26,360 >> LUCIANO ARANGO: OK. 759 00:37:26,360 --> 00:37:31,735 Així Comillas Màgiques és en inserir SQL i ja suma l'oferta per a vostè. 760 00:37:31,735 --> 00:37:33,520 >> AUDIÈNCIA: Sempre afegeix cometes tot el que vostè posa endins 761 00:37:33,520 --> 00:37:34,210 >> LUCIANO ARANGO: Si. 762 00:37:34,210 --> 00:37:37,190 Així que el problema amb això és que - 763 00:37:37,190 --> 00:37:38,445 Vaig a fer una ullada a - 764 00:37:38,445 --> 00:37:41,390 >> AUDIÈNCIA: Com s'adquireixen la sentència de SQL? 765 00:37:41,390 --> 00:37:44,690 O suposo que podria ser com diu la cita seleccionar. 766 00:37:44,690 --> 00:37:49,030 >> LUCIANO ARANGO: Sí, vostè necessita bones cites per al SQL. 767 00:37:49,030 --> 00:37:52,900 >> AUDIÈNCIA: No, però el servidor ho fa per vostè. 768 00:37:52,900 --> 00:37:54,460 >> LUCIANO ARANGO: Aquests petits cotitzacions aquí, aquestes petites frases? 769 00:37:54,460 --> 00:37:55,670 >> AUDIÈNCIA: Si. 770 00:37:55,670 --> 00:37:56,450 >> LUCIANO ARANGO: Si. 771 00:37:56,450 --> 00:37:59,860 El problema és que es pot comenti l'última - 772 00:37:59,860 --> 00:38:05,770 OK, així que el que puc fer és el que puc comentar - Així que anem a fer una ullada a - dejame 773 00:38:05,770 --> 00:38:07,920 obrir un arxiu de text d'edició. 774 00:38:07,920 --> 00:38:09,610 Permetin-me editar aquest aquí directament. 775 00:38:09,610 --> 00:38:19,510 776 00:38:19,510 --> 00:38:20,400 D'acord. 777 00:38:20,400 --> 00:38:23,710 Poden vostès veure que clarament? 778 00:38:23,710 --> 00:38:29,730 El que puc fer és que puc comentar fos l'últim. 779 00:38:29,730 --> 00:38:32,190 Això li comenti l'última. 780 00:38:32,190 --> 00:38:36,760 I després vaig a posar un aquí, ja totes les coses maliciós aquí. 781 00:38:36,760 --> 00:38:39,840 782 00:38:39,840 --> 00:38:42,630 >> Així que l'usuari és en realitat introduir, oi? 783 00:38:42,630 --> 00:38:45,230 L'usuari no està introduint les coses, no? 784 00:38:45,230 --> 00:38:47,430 Això és el que vaig a l'entrada com la persona que intenta entrar. 785 00:38:47,430 --> 00:38:49,430 Em vaig a posar en - 786 00:38:49,430 --> 00:38:59,290 787 00:38:59,290 --> 00:39:00,180 aquesta és una cometa. 788 00:39:00,180 --> 00:39:01,760 És només serpentejant per error. 789 00:39:01,760 --> 00:39:15,080 790 00:39:15,080 --> 00:39:19,400 I llavors el que el codi farà - 791 00:39:19,400 --> 00:39:20,190 ho sento, em vaig a prendre això. 792 00:39:20,190 --> 00:39:22,170 El que el codi va a fer és que va a afegir el primer 793 00:39:22,170 --> 00:39:24,030 cometes aquí. 794 00:39:24,030 --> 00:39:26,040 I es va a afegir a l'última cometa també. 795 00:39:26,040 --> 00:39:29,350 796 00:39:29,350 --> 00:39:33,270 >> I també va a afegir el última, última cometa. 797 00:39:33,270 --> 00:39:37,380 Però jo estic comentant aquests cita marca a terme, pel que no s'executen. 798 00:39:37,380 --> 00:39:41,440 I estic acabant aquesta cita marqui aquí. 799 00:39:41,440 --> 00:39:42,290 Entens? 800 00:39:42,290 --> 00:39:43,750 T'has perdut? 801 00:39:43,750 --> 00:39:45,880 Jo puc comentar l'última cotització marca, i tenir cura de la 802 00:39:45,880 --> 00:39:46,680 primera cometa. 803 00:39:46,680 --> 00:39:47,350 >> AUDIÈNCIA: I acabat just el primer. 804 00:39:47,350 --> 00:39:47,480 >> LUCIANO ARANGO: Si. 805 00:39:47,480 --> 00:39:48,400 I així acabar la primera. 806 00:39:48,400 --> 00:39:48,790 Sí, això és correcte. 807 00:39:48,790 --> 00:39:50,800 Això és el que puc fer. 808 00:39:50,800 --> 00:39:51,890 Sí 809 00:39:51,890 --> 00:39:52,980 Alguna altra pregunta com aquesta? 810 00:39:52,980 --> 00:39:54,230 Aquesta és una gran pregunta. 811 00:39:54,230 --> 00:39:56,960 812 00:39:56,960 --> 00:39:59,790 No, sí, potser. 813 00:39:59,790 --> 00:40:06,150 Amb sort, vostès van a fer una mena de més sentit quan s'estudia SQL i 814 00:40:06,150 --> 00:40:06,650 coses així. 815 00:40:06,650 --> 00:40:07,980 Però assegureu-vos que - 816 00:40:07,980 --> 00:40:10,340 mantenir aquestes eines en el rellotge. 817 00:40:10,340 --> 00:40:12,760 Ho sentim, aquestes eines més aquí. 818 00:40:12,760 --> 00:40:14,200 Aquestes eines són molt bons. 819 00:40:14,200 --> 00:40:17,190 Si algú té alguna pregunta, vostè també pot enviar-me un email. 820 00:40:17,190 --> 00:40:19,020 Aquest és el meu correu electrònic normal. 821 00:40:19,020 --> 00:40:25,015 I aquest és el meu correu electrònic de la feina, que és quan jo treball en SEAS. 822 00:40:25,015 --> 00:40:26,040 >> Bé, gràcies. 823 00:40:26,040 --> 00:40:26,740 Gràcies, nois. 824 00:40:26,740 --> 00:40:27,860 Ets bo per anar. 825 00:40:27,860 --> 00:40:28,830 No ha de quedar-se aquí. 826 00:40:28,830 --> 00:40:29,570 No aplaudeixi. 827 00:40:29,570 --> 00:40:30,170 Això és estrany. 828 00:40:30,170 --> 00:40:31,420 Bé, gràcies, nois. 829 00:40:31,420 --> 00:40:32,320