1 00:00:00,000 --> 00:00:09,250 2 00:00:09,250 --> 00:00:10,300 >> LUCIANO Arango: Εντάξει, παιδιά. 3 00:00:10,300 --> 00:00:11,550 Το όνομά μου είναι Luciano Arango. 4 00:00:11,550 --> 00:00:13,915 Είμαι ένας δευτεροετής φοιτητής στο Adams House. 5 00:00:13,915 --> 00:00:17,550 Και θα πάμε να μιλάμε για ασφάλεια web ενεργητικής άμυνας. 6 00:00:17,550 --> 00:00:24,220 Γι 'αυτό και εργάζονται για το Γραφείο Πληροφοριών Ασφάλεια στο SEAS. 7 00:00:24,220 --> 00:00:28,670 Και το καλοκαίρι, μου υπό περιορισμό σε SeguraTec, η οποία ήταν μια πληροφορία 8 00:00:28,670 --> 00:00:31,310 Η εταιρεία ασφαλείας που εξυπηρετούνται για την Τράπεζα της Κολούμπια. 9 00:00:31,310 --> 00:00:34,740 Αυτό είναι ως επί το πλείστον όταν έμαθα ό, τι έχω μάθει μέχρι τώρα. 10 00:00:34,740 --> 00:00:37,990 >> Και έτσι ένα μέρος του υλικού που είμαστε πρόκειται να πάει πέρα ​​σήμερα, δεν έχουμε 11 00:00:37,990 --> 00:00:39,670 πραγματικά μίλησε στην τάξη. 12 00:00:39,670 --> 00:00:40,410 Αλλά θα το κάνουμε σύντομα. 13 00:00:40,410 --> 00:00:42,360 Είναι πρόκειται να είναι όπως SQL, JavaScript. 14 00:00:42,360 --> 00:00:44,870 Και δεν έχουν πραγματικά περάσει από πάνω του. 15 00:00:44,870 --> 00:00:47,730 Γι 'αυτό να ταξινομήσετε της πτήσης μέσα από αυτό, και που ίσως δεν γνωρίζετε κάποια πράγματα. 16 00:00:47,730 --> 00:00:48,890 Αλλά σύντομα, θα το μάθετε. 17 00:00:48,890 --> 00:00:52,080 Και όλα θα έχουν νόημα. 18 00:00:52,080 --> 00:00:54,010 Επίσης, ένα άλλο πράγμα - 19 00:00:54,010 --> 00:00:55,780 μείνετε δεοντολογίας. 20 00:00:55,780 --> 00:01:00,560 Μερικά από τα πράγματα που μπορείτε να μάθετε, σας θα μπορούσε να χρησιμοποιήσει σε μη ηθικές τρόπους. 21 00:01:00,560 --> 00:01:01,950 >> Αν είναι δική σας, σίγουρα να δοκιμάσετε. 22 00:01:01,950 --> 00:01:04,500 Σίγουρα σας παρακινήσει παιδιά να δοκιμάσουν τη δική τους διακομιστές σας, δοκιμάστε 23 00:01:04,500 --> 00:01:05,519 πηγαίνει στο εσωτερικό τους. 24 00:01:05,519 --> 00:01:08,500 Δείτε αν μπορείτε να τα διαπεράσει, αν μπορείτε να πάρετε μέσα τους. 25 00:01:08,500 --> 00:01:09,560 Αλλά δεν είναι κάποιος άλλος είναι. 26 00:01:09,560 --> 00:01:12,390 Οι μπάτσοι δεν ήθελα πραγματικά τα ανέκδοτα και το σύνολο, βάζουμε αυτό εδώ. 27 00:01:12,390 --> 00:01:14,040 Ήμασταν Messing περίπου. 28 00:01:14,040 --> 00:01:15,780 Παίρνουν πραγματικά θυμωμένος. 29 00:01:15,780 --> 00:01:18,700 >> Έτσι, το κεφάλι πάνω σε αυτή την ιστοσελίδα. 30 00:01:18,700 --> 00:01:23,560 Έχω άνοιξε εδώ. 31 00:01:23,560 --> 00:01:26,780 Αυτή είναι μια ιστοσελίδα, και έχει ένα σωρό παραδείγματα. 32 00:01:26,780 --> 00:01:30,000 Αυτό που συμβαίνει είναι ότι το πρώτο παράδειγμα είναι είδος πρόκειται να είναι πολύ πιο εύκολο 33 00:01:30,000 --> 00:01:33,470 από το τελευταίο παράδειγμα κατά μία έννοια ότι το πρώτο παράδειγμα 34 00:01:33,470 --> 00:01:34,970 είναι εντελώς ανασφαλής. 35 00:01:34,970 --> 00:01:40,850 Και το τελευταίο είναι το είδος του τι φυσιολογικό άτομο διαδικτυακή ασφάλεια θα κάνει. 36 00:01:40,850 --> 00:01:42,760 Αλλά μπορείτε ακόμα να ταξινομήσετε του να πάρει γύρω από αυτό. 37 00:01:42,760 --> 00:01:44,860 Και θα πάμε να επικεντρώνονται σε ένα και δύο παραδείγματα ένα και δύο. 38 00:01:44,860 --> 00:01:49,880 39 00:01:49,880 --> 00:01:49,920 >> OK. 40 00:01:49,920 --> 00:01:52,780 Ας ξεκινήσουμε με cross-site scripting. 41 00:01:52,780 --> 00:01:56,100 Το JavaScript τρέχει σε browser του πελάτη. 42 00:01:56,100 --> 00:01:59,980 Είναι μια γλώσσα προγραμματισμού που χρησιμοποιείτε να τρέχει στον browser του πελάτη, ώστε 43 00:01:59,980 --> 00:02:04,120 δεν χρειάζεται να ενημερώσετε την ιστοσελίδα και να πάει πίσω στο διακομιστή. 44 00:02:04,120 --> 00:02:04,940 Έχετε το τρέξιμο. 45 00:02:04,940 --> 00:02:08,870 Για παράδειγμα, το Facebook, δεν έχετε για να φορτώσετε την ιστοσελίδα για το νέο καθεστώς 46 00:02:08,870 --> 00:02:09,710 ενημερώσεις για να καταλήξει. 47 00:02:09,710 --> 00:02:12,170 Είναι χρησιμοποιώντας JavaScript για να δημιουργήσει όλα αυτά τα πράγματα. 48 00:02:12,170 --> 00:02:16,290 Έτσι, μπορούμε να εισφέρει κακόβουλο κώδικα JavaScript σε ιστοσελίδες. 49 00:02:16,290 --> 00:02:20,890 Και με αυτόν τον τρόπο, όταν θα στείλουν ένα σύνδεσμο για κάποιος, θα μπορούσε το είδος να το στείλετε με 50 00:02:20,890 --> 00:02:23,050 μερικά του κώδικα που θέλουμε. 51 00:02:23,050 --> 00:02:26,450 >> Υπάρχει επίμονη και μη-επίμονο JavaScript - 52 00:02:26,450 --> 00:02:30,640 επίμονη και μη-επίμονο cross-site scripting, εννοώ. 53 00:02:30,640 --> 00:02:33,760 Και η διαφορά είναι ότι η επίμονη Είναι JavaScript που θα είναι 54 00:02:33,760 --> 00:02:36,060 αποθηκεύονται στην ιστοσελίδα. 55 00:02:36,060 --> 00:02:39,780 Και μη επίμονη θα είναι JavaScript ότι θα συμβεί στην πραγματικότητα μόνο μία φορά. 56 00:02:39,780 --> 00:02:41,795 Έτσι, ας δούμε ένα παράδειγμα πραγματικά γρήγορα. 57 00:02:41,795 --> 00:02:45,660 58 00:02:45,660 --> 00:02:46,130 >> OK. 59 00:02:46,130 --> 00:02:51,620 Έτσι, αυτή την ιστοσελίδα, απλά, τίποτα δεν συμβαίνει εδώ. 60 00:02:51,620 --> 00:02:53,070 Και θα πάμε να προσπαθήσουμε να εισάγετε κάποια JavaScript. 61 00:02:53,070 --> 00:02:58,110 Έτσι, ο τρόπος που αρχίσετε να γράφετε JavaScript είναι να αρχίσουμε με την αρχή σενάριο. 62 00:02:58,110 --> 00:03:00,570 Και θα το κλείσει με το σενάριο. 63 00:03:00,570 --> 00:03:03,770 Είμαστε απλώς πρόκειται να τεθεί ένα μήνυμα - 64 00:03:03,770 --> 00:03:05,410 Θα σας δείξω - 65 00:03:05,410 --> 00:03:06,500 συναγερμού. 66 00:03:06,500 --> 00:03:11,150 Alert είναι μια λειτουργία που JavaScript χρησιμοποιεί για να εμφανίσει κάτι. 67 00:03:11,150 --> 00:03:12,400 Ας το προσπαθήσουμε πραγματικά γρήγορα. 68 00:03:12,400 --> 00:03:15,600 69 00:03:15,600 --> 00:03:18,944 Πάω να πάει, γεια σου σε εγρήγορση. 70 00:03:18,944 --> 00:03:20,400 Λοιπόν, ξέχασα να πω - 71 00:03:20,400 --> 00:03:24,510 72 00:03:24,510 --> 00:03:25,460 OK. 73 00:03:25,460 --> 00:03:26,540 Έτσι, αυτό είναι απλό. 74 00:03:26,540 --> 00:03:28,730 >> Βάζουμε JavaScript σε μια ιστοσελίδα, και ήρθε. 75 00:03:28,730 --> 00:03:31,200 Και αυτό το είδος της συμβαίνει μόνο στην ιστοσελίδα μας, έτσι δεν είναι; 76 00:03:31,200 --> 00:03:33,040 Φαίνεται λοιπόν ότι δεν είναι ένα πρόβλημα, σωστά; 77 00:03:33,040 --> 00:03:34,920 Θέλω να πω, πώς θα μπορούσατε να χρησιμοποιήσετε κακοπροαίρετα; 78 00:03:34,920 --> 00:03:39,930 Έτσι, ο τρόπος που οι hackers κάνουν αυτό είναι πραγματικά απλή. 79 00:03:39,930 --> 00:03:40,970 Θα πάμε για να το αρπάξει. 80 00:03:40,970 --> 00:03:43,750 Μπορούν να στείλετε αυτό το σύνδεσμο σας. 81 00:03:43,750 --> 00:03:46,780 Αν θα στείλετε αυτό τον σύνδεσμο σας τώρα, και να το ανοίξει, πρόκειται να 82 00:03:46,780 --> 00:03:51,620 πω, γεια, λέγοντας ότι η ιστοσελίδα μου σας λέει γεια. 83 00:03:51,620 --> 00:03:57,280 >> Και έτσι, αν ήμουν στη θέση να πω κάτι λίγο πιο έξυπνη, αν σηκώσει ένα 84 00:03:57,280 --> 00:03:59,880 JavaScript καθηκόντων I είδος ήδη έγραψε - 85 00:03:59,880 --> 00:04:03,940 αλλά αν το δει κανείς, θα πάω υπερ πριν το έγραψα. 86 00:04:03,940 --> 00:04:06,650 Έτσι θα πάμε για να ορίσετε ένα χρονικό όριο. 87 00:04:06,650 --> 00:04:08,450 Εμείς πάμε να περιμένουμε για ένα ζευγάρι δευτερόλεπτα. 88 00:04:08,450 --> 00:04:13,970 Στην πραγματικότητα, θα πάμε να περιμένουμε, αν Δεν είμαι λάθος, πέντε δευτερόλεπτα. 89 00:04:13,970 --> 00:04:15,870 Αυτό ισχύει σε χιλιοστά του δευτερολέπτου. 90 00:04:15,870 --> 00:04:18,640 Και τότε τι θα πάμε να κάνουμε είναι να είμαστε πρόκειται να προειδοποιήσει ότι η σύνδεση 91 00:04:18,640 --> 00:04:21,459 Εξαντλήθηκε το χρονικό όριο για να συνδεθείτε ξανά 92 00:04:21,459 --> 00:04:23,990 Και θα πάμε να αλλάξετε τη θέση σε μια διαφορετική θέση. 93 00:04:23,990 --> 00:04:30,370 94 00:04:30,370 --> 00:04:32,970 >> Έτσι, αν μπορώ να στείλω αυτή την ιστοσελίδα σε κάποιον, από όπου και αν πρόκειται να είναι 95 00:04:32,970 --> 00:04:34,380 περιήγηση γύρω, ηρεμία. 96 00:04:34,380 --> 00:04:35,650 Τίποτα δεν συμβαίνει. 97 00:04:35,650 --> 00:04:38,550 Και σε πέντε δευτερόλεπτα, πρόκειται να πω, σύνδεσής σας έληξε. 98 00:04:38,550 --> 00:04:40,200 Παρακαλούμε συνδεθείτε ξανά 99 00:04:40,200 --> 00:04:43,400 Μόλις κάνετε κλικ στο κουμπί OK, Πάω να να τους σε μια άλλη ιστοσελίδα. 100 00:04:43,400 --> 00:04:45,980 Προφανώς, η ιστοσελίδα πρόκειται να είναι παρόμοιο με το δικτυακό τόπο που 101 00:04:45,980 --> 00:04:47,280 ήταν πριν. 102 00:04:47,280 --> 00:04:50,770 Και θα πάμε να συνδεθείτε τους διαπιστευτήρια στην ιστοσελίδα μου, αντί να 103 00:04:50,770 --> 00:04:51,850 ιστοσελίδα τους. 104 00:04:51,850 --> 00:04:54,780 >> Και έτσι μπορώ να στείλω ανθρώπους μια e-mail με αυτό το σύνδεσμο. 105 00:04:54,780 --> 00:04:56,240 Λέω, OH, εδώ είναι μια σύνδεση. 106 00:04:56,240 --> 00:04:57,290 Αυτή είναι μια τράπεζα, για παράδειγμα. 107 00:04:57,290 --> 00:05:01,390 Το λέω, εδώ, πηγαίνετε σε αυτό το σύνδεσμο. 108 00:05:01,390 --> 00:05:03,730 Και τη στιγμή που θα το στείλει, είναι πρόκειται να περιήγηση γύρω. 109 00:05:03,730 --> 00:05:07,560 Μπορώ να περιμένετε για 15 δευτερόλεπτα, 20 δευτερόλεπτα και στη συνέχεια να εμφανιστεί ότι μπορείτε να συνδεθείτε ξανά 110 00:05:07,560 --> 00:05:08,840 υπογράψουν ξανά. 111 00:05:08,840 --> 00:05:10,120 Εσείς μπορείτε να το δοκιμάσετε με πολύ περισσότερα πράγματα. 112 00:05:10,120 --> 00:05:13,190 Είναι περίπλοκο, επειδή εσείς Δεν έχω δει JavaScript, έτσι ίσως 113 00:05:13,190 --> 00:05:14,750 Δεν ξέρω ορισμένες λειτουργίες. 114 00:05:14,750 --> 00:05:18,625 Αλλά το μόνο που έχετε να κάνετε είναι να ξεκινήσετε με το σενάριο, τελειώνει με το σενάριο. 115 00:05:18,625 --> 00:05:22,105 116 00:05:22,105 --> 00:05:25,510 Και θα μπορούσατε να βάλετε τίποτα στη μέση. 117 00:05:25,510 --> 00:05:27,350 >> Alert είναι μια λειτουργία, περιμένετε. 118 00:05:27,350 --> 00:05:29,365 Παράθυρο τοποθεσία σας παίρνει σε μια νέα θέση. 119 00:05:29,365 --> 00:05:31,370 Αλλά μπορείτε να κάνετε πολύ περισσότερα. 120 00:05:31,370 --> 00:05:32,630 Και έτσι η ιδέα είναι ότι παίρνουμε ότι μακριά. 121 00:05:32,630 --> 00:05:39,350 Αν πάω στο παράδειγμα δύο, και να θέσει σε αυτό ίδιο κωδικό, είναι 122 00:05:39,350 --> 00:05:40,210 δεν πρόκειται να λειτουργήσει. 123 00:05:40,210 --> 00:05:43,620 Γι 'αυτό εκτυπώνεται πάντα έξω επειδή τι αυτή την ιστοσελίδα αρχικά 124 00:05:43,620 --> 00:05:50,350 δεν είναι αν βάλω κάτι εδώ, θα μπορείς να το εκτυπώσετε εδώ. 125 00:05:50,350 --> 00:05:52,390 Έτσι είναι δεν εκτυπώνει τίποτα. 126 00:05:52,390 --> 00:05:55,560 Αυτό το παράδειγμα είναι στην πραγματικότητα έλεγχο για να δούμε αν το σενάριο δεν υπάρχει. 127 00:05:55,560 --> 00:05:57,163 Οπότε ναι, προχωρήστε. 128 00:05:57,163 --> 00:05:57,606 Ρωτήστε εμένα. 129 00:05:57,606 --> 00:05:59,560 >> ΚΟΙΝΟ: Δεν είναι αποστολή παίρνει ή μετά από αίτηση; 130 00:05:59,560 --> 00:06:00,670 >> LUCIANO Arango: Ναι. από όπου και αν την αποστολή ενός αιτήματος get. 131 00:06:00,670 --> 00:06:01,350 >> ΚΟΙΝΟ: Είναι; 132 00:06:01,350 --> 00:06:02,490 >> LUCIANO Arango: Ναι. 133 00:06:02,490 --> 00:06:04,030 Επίσης, τα προγράμματα περιήγησης χρησιμοποιούν μετά τα αιτήματα. 134 00:06:04,030 --> 00:06:07,470 Αλλά εγώ προσπαθώ να δείξω τις αιτήσεις get έτσι ώστε να μπορούμε να δούμε τι είναι 135 00:06:07,470 --> 00:06:10,760 πραγματικά συμβαίνει. 136 00:06:10,760 --> 00:06:12,880 Και έτσι, αν κοιτάξουμε αυτόν τον κώδικα - γι 'αυτό δεν λειτουργεί πια. 137 00:06:12,880 --> 00:06:24,870 Και αν ρίξουμε μια ματιά σε αυτόν τον κώδικα, πρόκειται να είναι το παράδειγμα δύο. 138 00:06:24,870 --> 00:06:29,300 Τι αυτό το άτομο να κάνει, το πρόσωπο στο τέλος αυτού του προγράμματος περιήγησης - 139 00:06:29,300 --> 00:06:35,370 ανοίξει, OK - 140 00:06:35,370 --> 00:06:39,290 αντικαθιστά το σενάριο λέξη. 141 00:06:39,290 --> 00:06:42,850 Αυτή είναι η PHP, το οποίο εσείς θα μπορούσε έχουν δει λίγο ακόμα. 142 00:06:42,850 --> 00:06:46,250 >> Είναι απλώς την αντικατάσταση της script λέξη με το όνομα. 143 00:06:46,250 --> 00:06:50,895 Έτσι, όμως, αν πάω μπροστά και μόλις τεθεί σε - 144 00:06:50,895 --> 00:06:58,520 145 00:06:58,520 --> 00:07:02,360 αν πάρω ξανά τον κωδικό μου, και θα πάω να το τροποποιήσετε μόνο ένα μικρό κομμάτι. 146 00:07:02,360 --> 00:07:15,010 Αντί του σεναρίου, είμαι πρόκειται να αλλάξει αυτό για το σενάριο με κεφαλαίο R. Και 147 00:07:15,010 --> 00:07:16,390 θα πάμε να δούμε αν αυτός ο κώδικας λειτουργεί. 148 00:07:16,390 --> 00:07:19,090 Γι 'αυτό δεν το εκτυπώσετε, η οποία είναι ένα καλό σημάδι. 149 00:07:19,090 --> 00:07:21,990 Και ελπίζουμε ότι σε δύο δευτερόλεπτα, πρόκειται να εμφανιστεί. 150 00:07:21,990 --> 00:07:22,820 >> Η σύνδεσή σας έληξε. 151 00:07:22,820 --> 00:07:23,210 OK. 152 00:07:23,210 --> 00:07:24,460 Κανένα πρόβλημα. 153 00:07:24,460 --> 00:07:27,670 Έτσι, τον έλεγχο για το σενάριο θα μπορούσε όχι κατ 'ανάγκη να λειτουργήσει. 154 00:07:27,670 --> 00:07:28,130 Το πρόσωπο - 155 00:07:28,130 --> 00:07:32,290 μπορεί επίσης να ελέγξετε για το σενάριο κεφαλαία γράμματα, script πεζά, περίπτωση str 156 00:07:32,290 --> 00:07:34,180 συγκρίνουν, να βεβαιωθείτε ότι είναι το ίδιο. 157 00:07:34,180 --> 00:07:38,480 Όμως, ο χάκερ μπορεί να κάνει ακόμα είδος αυτό κάναμε σε Vigenere όταν μετακομίσαμε 158 00:07:38,480 --> 00:07:40,620 χαρακτήρες πίσω ένα ζευγάρι, προχωρήσουμε. 159 00:07:40,620 --> 00:07:43,470 Και μπορώ να καταλάβω πώς να θέσει script πίσω εκεί έτσι ώστε να μπορεί να εισφέρει 160 00:07:43,470 --> 00:07:44,460 ότι το σενάριο. 161 00:07:44,460 --> 00:07:50,370 >> Έτσι, αυτό που θέλετε να χρησιμοποιήσετε είναι htmlspecialchars να 162 00:07:50,370 --> 00:07:51,330 προστασία της ιστοσελίδας σας. 163 00:07:51,330 --> 00:07:56,490 Και τι είναι αυτό που κάνει είναι να κάνει βέβαιος ότι αυτό που βάζετε σε - 164 00:07:56,490 --> 00:07:59,610 για παράδειγμα, οι τιμές ή αυτό μεγαλύτερη ή μικρότερη από - 165 00:07:59,610 --> 00:08:04,701 αντικαθίσταται με κάτι ότι δεν θα είναι - 166 00:08:04,701 --> 00:08:05,951 επιτρέψτε μου να μεγεθύνετε εδώ - 167 00:08:05,951 --> 00:08:08,730 168 00:08:08,730 --> 00:08:09,685 το πραγματικό εμπορικό. 169 00:08:09,685 --> 00:08:13,420 Θα αντικαταστήσει αυτές τις ειδικές HTML χαρακτήρες που θα δούμε όταν είμαστε 170 00:08:13,420 --> 00:08:14,670 μιλάμε - 171 00:08:14,670 --> 00:08:18,635 172 00:08:18,635 --> 00:08:20,740 Ω, αυτό πρόκειται να με πάρει πίσω - 173 00:08:20,740 --> 00:08:24,220 174 00:08:24,220 --> 00:08:25,380 αυτοί οι χαρακτήρες εδώ. 175 00:08:25,380 --> 00:08:28,180 >> Αυτά σημαίνουν ότι κάτι έρχεται. 176 00:08:28,180 --> 00:08:31,570 Για HTML, εκείνη αρχίζει βραχίονα μας λέει ότι κάτι 177 00:08:31,570 --> 00:08:33,299 HTML σχετικές έρχεται. 178 00:08:33,299 --> 00:08:33,980 Και θέλουμε να απαλλαγούμε από αυτό. 179 00:08:33,980 --> 00:08:36,200 Δεν θέλετε να βάλετε σε μια HTML website.k Δεν θέλουμε ο χρήστης να 180 00:08:36,200 --> 00:08:40,260 μπορούμε να βάλουμε κάτι στην ιστοσελίδα τους που μπορεί να επηρεάσει την ιστοσελίδα τους, όπως 181 00:08:40,260 --> 00:08:43,480 script ή HTML ή κάτι τέτοιο. 182 00:08:43,480 --> 00:08:53,090 Αυτό που είναι σημαντικό είναι ότι μπορείτε απολυμάνετε την είσοδο του χρήστη. 183 00:08:53,090 --> 00:08:54,720 >> Έτσι, οι χρήστες μπορεί να εισάγει πολλά πράγματα. 184 00:08:54,720 --> 00:08:58,110 Αυτός μπορεί να εισάγει ένα σωρό πράγματα για να δοκιμάσετε για να ξεγελάσουν το πρόγραμμα περιήγησής σας σε ακόμα 185 00:08:58,110 --> 00:08:59,410 εκτέλεση αυτού του κώδικα δέσμης ενεργειών. 186 00:08:59,410 --> 00:09:02,870 Τι θέλετε να κάνετε είναι να μην εξετάσουμε μόνο για το σενάριο, αλλά κοιτάξτε για τα πάντα 187 00:09:02,870 --> 00:09:04,250 ότι θα μπορούσε να είναι κακόβουλο. 188 00:09:04,250 --> 00:09:06,800 Και htmlspecialchars θα το κάνουμε αυτό για σας, έτσι ώστε να μην έχουν 189 00:09:06,800 --> 00:09:07,340 να ανησυχείτε για αυτό. 190 00:09:07,340 --> 00:09:12,280 Αλλά μην προσπαθήσετε να το κάνετε μόνοι σας είδος με τον δικό σας κώδικα. 191 00:09:12,280 --> 00:09:14,055 Είναι όλοι σαφείς σχετικά XSS; 192 00:09:14,055 --> 00:09:14,370 >> OK. 193 00:09:14,370 --> 00:09:16,355 Ας πάμε στο SQL ένεση. 194 00:09:16,355 --> 00:09:21,010 Έτσι, SQL ένεση είναι ίσως η υπ 'αριθμόν ένα θέμα ευπάθειας 195 00:09:21,010 --> 00:09:22,490 σε διάφορες ιστοσελίδες. 196 00:09:22,490 --> 00:09:24,350 Θέλω να πω, ένα καλό παράδειγμα - 197 00:09:24,350 --> 00:09:27,350 Ήμουν μόλις έρευνα περισσότερο για αυτό το πράγμα. 198 00:09:27,350 --> 00:09:34,430 Και βρήκα αυτό το φοβερό άρθρο, όπου Είδα ότι το Χάρβαρντ δεν τηρήθηκε, 199 00:09:34,430 --> 00:09:35,390 ήταν hacked. 200 00:09:35,390 --> 00:09:37,370 Και αναρωτιόμουν, καλά, πώς θα το κάνουν; 201 00:09:37,370 --> 00:09:41,660 Χάρβαρντ είναι το πιο φοβερό, οι περισσότεροι εξασφαλίσει πανεπιστήμιο ποτέ. 202 00:09:41,660 --> 00:09:43,850 Σωστά; 203 00:09:43,850 --> 00:09:45,410 Λοιπόν, για να παραβιάσει τους διακομιστές, οι hackers χρησιμοποιείται 204 00:09:45,410 --> 00:09:47,710 τεχνική που ονομάζεται SQL ένεση. 205 00:09:47,710 --> 00:09:50,250 >> Έτσι, αυτό συμβαίνει σε καθημερινή βάση. 206 00:09:50,250 --> 00:09:53,590 Οι άνθρωποι ξεχνούν να λάβουν υπόψη για ένεση SQL. 207 00:09:53,590 --> 00:09:54,930 Harvard κάνει. 208 00:09:54,930 --> 00:10:00,050 Νομίζω ότι λέει εδώ, Princeton, Stanford, Cornell. 209 00:10:00,050 --> 00:10:03,550 Λοιπόν, πώς μπορούμε - ναι, ποιο είναι αυτό το SQL ένεση που φέρνει όλα αυτά 210 00:10:03,550 --> 00:10:05,668 άτομα κάτω; 211 00:10:05,668 --> 00:10:08,010 OK. 212 00:10:08,010 --> 00:10:12,090 Έτσι SQL είναι μια γλώσσα προγραμματισμού που που χρησιμοποιούμε για να έχουν πρόσβαση σε βάσεις δεδομένων. 213 00:10:12,090 --> 00:10:14,560 Αυτό που κάνουμε είναι να επιλέξετε - 214 00:10:14,560 --> 00:10:18,510 έτσι ώστε ό, τι αυτό έχει αυτή τη στιγμή είναι να επιλέξετε τα πάντα, από τον πίνακα. 215 00:10:18,510 --> 00:10:22,640 >> SQL, αλλάζει σε αυτές τις βάσεις δεδομένων που έχουν πίνακες γεμάτο πληροφορίες. 216 00:10:22,640 --> 00:10:26,550 Έτσι, επιλέξτε τα πάντα, από τους χρήστες όπου το όνομα είναι το όνομα χρήστη. 217 00:10:26,550 --> 00:10:28,120 Σωστά; 218 00:10:28,120 --> 00:10:30,770 Αρκετά απλό. 219 00:10:30,770 --> 00:10:34,490 Η ιδέα της εισαγωγής SQL είναι ότι εισάγετε κάποιο κακόβουλο κώδικα που θα 220 00:10:34,490 --> 00:10:37,270 εξαπατήσει τον server σε κάτι τρέχει διαφορετικά από ό, τι 221 00:10:37,270 --> 00:10:38,430 αρχικά έτρεχε. 222 00:10:38,430 --> 00:10:44,970 Έτσι, ας πούμε για το όνομα χρήστη, βάζουμε ή 1 ισούται με 1. 223 00:10:44,970 --> 00:10:46,700 Έτσι βάλαμε ή 1 ισούται με 1. 224 00:10:46,700 --> 00:10:49,890 Ο τρόπος που θα διαβάσει θα είναι πλέον επιλογή από τους χρήστες, τα πάντα, από 225 00:10:49,890 --> 00:10:51,360 χρήστες - αυτό είναι το παν - 226 00:10:51,360 --> 00:10:55,880 όπου όνομα είναι το όνομα χρήστη, αλλά όνομα είναι ή 1 ισούται με 1. 227 00:10:55,880 --> 00:11:01,760 >> Έτσι, το όνομα δεν είναι τίποτα ή 1 ισούται με 1. 228 00:11:01,760 --> 00:11:04,060 1 ισούται με 1 είναι πάντα αλήθεια. 229 00:11:04,060 --> 00:11:07,690 Έτσι, αυτή η πληροφορία θα επιστρέφει πάντα από τους χρήστες. 230 00:11:07,690 --> 00:11:08,100 OK. 231 00:11:08,100 --> 00:11:10,030 Εμείς δεν χρειάζεται να έχουν την σωστό όνομα χρήστη. 232 00:11:10,030 --> 00:11:14,240 Μπορούμε να έχουμε ακριβώς ό, τι θέλουμε, και θα επιστρέψει πληροφορίες 233 00:11:14,240 --> 00:11:15,690 ότι χρειαζόμαστε. 234 00:11:15,690 --> 00:11:17,160 Ας δούμε ένα άλλο παράδειγμα. 235 00:11:17,160 --> 00:11:22,720 >> Αν έχουμε επιλέξει τα πάντα, από το χρήστη, όπου όνομα είναι χρήστες ΠΙΝΑΚΑΣ DROP - 236 00:11:22,720 --> 00:11:26,420 έτσι τι νομίζεις ότι αυτό θα κάνω αν βάλω το όνομα χρήστη 237 00:11:26,420 --> 00:11:29,560 ως χρήστες DROP TABLE; 238 00:11:29,560 --> 00:11:30,230 Όποιος έχει μια ιδέα; 239 00:11:30,230 --> 00:11:31,050 Ναι. 240 00:11:31,050 --> 00:11:32,470 >> ΚΟΙΝΟ: Δεν πρόκειται να πω να απορρίπτουν όλα τα τραπέζια. 241 00:11:32,470 --> 00:11:35,460 >> LUCIANO Arango: Δεν πρόκειται να μας πει να απορρίπτουν τα πάντα στην ιστοσελίδα, 242 00:11:35,460 --> 00:11:38,290 πάντα στη βάση δεδομένων. 243 00:11:38,290 --> 00:11:41,910 Και αυτό που οι άνθρωποι χρησιμοποιούν αυτό για - έτσι Πάω να σας δείξω παιδιά. 244 00:11:41,910 --> 00:11:45,462 Θα απενεργοποιηθεί πτώση τους πίνακες γιατί δεν θέλετε 245 00:11:45,462 --> 00:11:48,240 παιδιά να ρίξει τα τραπέζια μου. 246 00:11:48,240 --> 00:11:49,850 Ας ρίξουμε μια ματιά σε αυτό. 247 00:11:49,850 --> 00:11:54,410 Έτσι, αυτό απλά τραβάει την πληροφορία για ένα συγκεκριμένο πρόσωπο. 248 00:11:54,410 --> 00:11:57,550 Επομένως, πώς θα ξέρω αν αυτό είναι επηρεάζονται από την ένεση SQL. 249 00:11:57,550 --> 00:12:01,545 Εμείς πάμε για να ελέγξει πραγματικά γρήγορα αν μπορούμε να βάλουμε κάτι - 250 00:12:01,545 --> 00:12:04,990 251 00:12:04,990 --> 00:12:06,080 επιτρέψτε μου να αντιγράψετε αυτόν τον κώδικα. 252 00:12:06,080 --> 00:12:08,140 Πάω να πάει πέρα ​​από αυτό σε ένα δευτερόλεπτο. 253 00:12:08,140 --> 00:12:12,210 Πάω να θέσει ρίζα και 1 ισούται με 1. 254 00:12:12,210 --> 00:12:15,510 >> Το δικαίωμα αυτό εδώ, αυτό σύμβολο ποσοστού 23 - 255 00:12:15,510 --> 00:12:19,970 αυτό που πραγματικά είναι, αν εξετάσουμε εδώ στο - 256 00:12:19,970 --> 00:12:23,820 ο τρόπος HTML παίρνει σε αριθμούς, αν ρίξτε μια ματιά στο όταν έβαλα σε ένα χώρο 257 00:12:23,820 --> 00:12:28,380 εδώ - αν ήταν στο διάστημα κάτι εδώ, μετατρέπεται σε επί τοις εκατό 2. 258 00:12:28,380 --> 00:12:31,420 Μήπως εσείς βλέπετε αυτό το δικαίωμα εδώ όταν έβαλα σε ένα χώρο; 259 00:12:31,420 --> 00:12:36,710 Ο τρόπος που λειτουργεί είναι ότι μπορείτε μόνο να στείλτε τιμές ASCII μέσω HTML. 260 00:12:36,710 --> 00:12:40,330 Έτσι ώστε να αντικαθιστά, για παράδειγμα, ένα χώρο με 20 τοις εκατό. 261 00:12:40,330 --> 00:12:41,970 Δεν ξέρω αν εσείς το έχω ξαναδεί. 262 00:12:41,970 --> 00:12:45,100 >> Αντικαθιστά ένα hashtag με ποσοστό 23. 263 00:12:45,100 --> 00:12:50,840 Χρειαζόμαστε ένα hashtag στο τέλος του ή δήλωση έτσι ώστε να μπορούμε να πούμε το 264 00:12:50,840 --> 00:13:00,885 βάση δεδομένων για να ξεχάσετε να σχολιάσει τις Αυτό το τελευταίο ερωτηματικό στο τέλος. 265 00:13:00,885 --> 00:13:03,060 Θέλουμε να μην το σκέφτομαι. 266 00:13:03,060 --> 00:13:05,980 Εμείς απλά θέλουμε να τρέξει τα πάντα ότι έχουμε εκ των προτέρων και 267 00:13:05,980 --> 00:13:07,450 σχολιάζουν ότι έξω. 268 00:13:07,450 --> 00:13:08,710 Ας ρίξουμε μια ματιά σε αυτό. 269 00:13:08,710 --> 00:13:14,670 >> Έτσι, εάν επρόκειτο να βάλει κάτι λάθος - ας πούμε για παράδειγμα, έβαλα 2 ίσον 270 00:13:14,670 --> 00:13:15,690 1, δεν μου δώσει τίποτα. 271 00:13:15,690 --> 00:13:22,930 Όταν έβαλα το 1 ισούται με 1, και το κάνει επιστρέψει κάτι, αυτό μου λέει ότι 272 00:13:22,930 --> 00:13:24,660 αυτό είναι ευπαθές σε μια ένεση SQL. 273 00:13:24,660 --> 00:13:29,090 Τώρα ξέρω ότι ανεξάρτητα από Έβαλα μετά από αυτό - 274 00:13:29,090 --> 00:13:39,110 και, για παράδειγμα, DROP ΠΙΝΑΚΕΣ ή κάτι τέτοιο 275 00:13:39,110 --> 00:13:41,190 σίγουρα θα λειτουργήσει. 276 00:13:41,190 --> 00:13:44,350 Ξέρω ότι είναι ευάλωτο σε SQL ένεση γιατί ξέρω ότι 277 00:13:44,350 --> 00:13:49,850 κάτω από την κουκούλα, είναι να αφήσει να Θέλω να κάνω το 1 ισούται με 1 πράγμα. 278 00:13:49,850 --> 00:13:51,100 Εντάξει; 279 00:13:51,100 --> 00:13:53,950 280 00:13:53,950 --> 00:13:56,540 >> Και αν κοιτάξουμε αυτές τις άλλες, νούμερο δύο και το νούμερο τρία, είναι 281 00:13:56,540 --> 00:13:59,110 πρόκειται να κάνει λίγο περισσότερο έλεγχο κάτω από την 282 00:13:59,110 --> 00:14:03,680 κουκούλα του τι είναι. 283 00:14:03,680 --> 00:14:07,425 Έτσι όποιος επιτρέπει την πτώση τίποτα ακόμα ή δοκιμάσει; 284 00:14:07,425 --> 00:14:08,760 Μήπως εσείς το είδος του να πάρει SQL ακόμα; 285 00:14:08,760 --> 00:14:10,430 Επειδή ξέρω ότι εσείς δεν έχετε δει ακόμα, γι 'αυτό είναι το είδος της 286 00:14:10,430 --> 00:14:11,759 σύγχυση για σας παιδιά. 287 00:14:11,759 --> 00:14:16,160 288 00:14:16,160 --> 00:14:18,480 Ας ρίξουμε μια ματιά. 289 00:14:18,480 --> 00:14:21,270 Έτσι τι είναι ο τρόπος για την πρόληψη της SQLI; 290 00:14:21,270 --> 00:14:21,390 OK. 291 00:14:21,390 --> 00:14:23,330 Έτσι, αυτό είναι πολύ σημαντικό, γιατί παιδιά σίγουρα θέλετε να αποτρέψετε 292 00:14:23,330 --> 00:14:24,090 αυτό σας ιστοσελίδες. 293 00:14:24,090 --> 00:14:28,040 >> Αν όχι, όλους τους φίλους σας πρόκειται να κάνει πλάκα με εσάς, όταν πέφτουν όλα 294 00:14:28,040 --> 00:14:29,390 τραπέζια σας. 295 00:14:29,390 --> 00:14:36,150 Έτσι, η ιδέα είναι ότι μπορείτε να επιδιορθώσετε το SQL με ένα συγκεκριμένο τρόπο, ενώ σας ταιριάζει 296 00:14:36,150 --> 00:14:41,940 ποιες είναι οι είσοδοι του χρήστη με μια ορισμένη σειρά. 297 00:14:41,940 --> 00:14:46,120 Έτσι, ο τρόπος με τον οποίο δουλεύει αυτό είναι σας προετοιμάσει τη βάση δεδομένων. 298 00:14:46,120 --> 00:14:50,830 Μπορείτε να επιλέξετε το όνομα, το χρώμα και τις θερμίδες από μια βάση δεδομένων που ονομάζεται φρούτο. 299 00:14:50,830 --> 00:14:53,580 Και στη συνέχεια, όταν θερμίδες είναι λιγότερο από ό, τι, και βάζουμε ένα ερωτηματικό εκεί 300 00:14:53,580 --> 00:14:56,530 λέγοντας ότι θα πάμε με την είσοδο κάτι σε ένα δευτερόλεπτο. 301 00:14:56,530 --> 00:14:58,850 >> Και το χρώμα ισούται, και βάζουμε μια ερώτηση σήμα λέγοντας ότι θα πάμε να 302 00:14:58,850 --> 00:15:00,913 κάτι εισόδου σε ένα δευτερόλεπτο, καθώς και. 303 00:15:00,913 --> 00:15:02,660 Εντάξει; 304 00:15:02,660 --> 00:15:09,920 Και τότε θα το εκτελέσει, βάζοντας σε 150 και κόκκινο. 305 00:15:09,920 --> 00:15:12,820 Και αυτό θα ελέγξει βέβαιος ότι αυτά τα δύο - 306 00:15:12,820 --> 00:15:15,300 αυτός ο πίνακας θα ελέγξει ότι αυτά δύο είναι ένας ακέραιος και 307 00:15:15,300 --> 00:15:16,550 ότι αυτό είναι μια συμβολοσειρά. 308 00:15:16,550 --> 00:15:18,810 309 00:15:18,810 --> 00:15:20,890 Στη συνέχεια πάμε και εμείς φέρω όλα, το βάζουμε σε κόκκινο χρώμα. 310 00:15:20,890 --> 00:15:21,964 Αυτό σημαίνει ότι όλα τα φέρω. 311 00:15:21,964 --> 00:15:26,790 Αυτό σημαίνει ότι έχουμε εκτελέσει πράγματι την SQL δήλωση και το βάζουμε πίσω στο κόκκινο. 312 00:15:26,790 --> 00:15:30,530 Εδώ κάνουμε το ίδιο, αλλά εμείς κάνει το ίδιο για κίτρινο. 313 00:15:30,530 --> 00:15:32,490 Και εμείς φέρω όλους. 314 00:15:32,490 --> 00:15:36,140 >> Και με αυτόν τον τρόπο, έχουμε αποκλείσει τον χρήστη από το να είναι σε θέση να κάτι εισόδου 315 00:15:36,140 --> 00:15:41,710 ότι δεν είναι αυτό που καθορίζεται, ένα string ή ένας ακέραιος, για παράδειγμα. 316 00:15:41,710 --> 00:15:45,100 317 00:15:45,100 --> 00:15:46,610 Μιλούσα νωρίτερα για στηρίζονται σε άλλους. 318 00:15:46,610 --> 00:15:50,010 Όταν εσείς ξεκινήσετε το έργο σας, είστε σίγουρα πρόκειται να χρησιμοποιήσετε 319 00:15:50,010 --> 00:15:52,310 bootstrap ή κάτι παρόμοιο. 320 00:15:52,310 --> 00:15:53,490 Έχετε παιδιά χρησιμοποιούνται ποτέ Wordpress; 321 00:15:53,490 --> 00:15:57,170 Μάλλον εσείς έχετε χρησιμοποιήσει Wordpress πιο πιθανό. 322 00:15:57,170 --> 00:16:00,050 Έτσι, το πρόβλημα με τη χρήση τα πράγματα των άλλων ανθρώπων - 323 00:16:00,050 --> 00:16:05,940 Είμαι ακριβώς πρόκειται να Google πραγματικά γρήγορα Wordpress ευπάθεια. 324 00:16:05,940 --> 00:16:07,495 >> Αν έχω τραβήξει αυτό μέχρι τώρα - 325 00:16:07,495 --> 00:16:08,995 I κυριολεκτικά έκανε δύο δευτερολέπτων Google. 326 00:16:08,995 --> 00:16:12,300 327 00:16:12,300 --> 00:16:13,800 Μπορούμε να δούμε ότι Wordpress - 328 00:16:13,800 --> 00:16:17,450 Αυτό χρονολογείται από τον Σεπτέμβριο του '12. 329 00:16:17,450 --> 00:16:19,120 26 ενημερώνεται. 330 00:16:19,120 --> 00:16:23,620 Η προεπιλεγμένη ρύθμιση του Wordpress πριν από 3.6 δεν εμποδίζει το 331 00:16:23,620 --> 00:16:27,110 ορισμένες προσθήκες, που θα μπορούσε να καταστεί ευκολότερο για 332 00:16:27,110 --> 00:16:29,790 επιθέσεις cross-site scripting. 333 00:16:29,790 --> 00:16:34,530 Έτσι, μια γρήγορη ιστορία, κάποτε δουλεύαμε με - έτσι ήμουν, το καλοκαίρι, δουλεύοντας ένα 334 00:16:34,530 --> 00:16:34,970 οικοτροφείο. 335 00:16:34,970 --> 00:16:40,400 Και δουλεύαμε με το είδος του σαν μια μεγάλη εταιρεία πιστωτικών καρτών. 336 00:16:40,400 --> 00:16:42,020 >> Και στηρίζονται σε κάτι που ονομάζεται - 337 00:16:42,020 --> 00:16:45,740 Δεν ξέρω αν εσείς παίξει ποτέ με ένα προϊόν που ονομάζεται Joomla. 338 00:16:45,740 --> 00:16:51,750 Joomla είναι ένα προϊόν που χρησιμοποιείται για την ελέγχου - είδος παρόμοιο με 339 00:16:51,750 --> 00:16:54,340 Wordpress, που χρησιμοποιείται για τη δημιουργία ιστοσελίδων. 340 00:16:54,340 --> 00:16:56,060 Έτσι είχαν την ιστοσελίδα τους εργάζονται σε Joomla. 341 00:16:56,060 --> 00:16:59,290 Αυτό είναι στην πραγματικότητα μια πιστωτική κάρτα εταιρείας στην Κολομβία. 342 00:16:59,290 --> 00:17:01,000 Θα σας πάρει για να τους ιστοσελίδα πραγματικά γρήγορα. 343 00:17:01,000 --> 00:17:04,550 344 00:17:04,550 --> 00:17:05,400 >> Έτσι χρησιμοποιήθηκε το Joomla. 345 00:17:05,400 --> 00:17:08,630 Και δεν είχαν ενημερωθεί Joomla με την πιο πρόσφατη προσθήκη. 346 00:17:08,630 --> 00:17:12,160 Και έτσι όταν παίρναμε μια ματιά τον κωδικό τους, ήμασταν σε θέση να πραγματικά 347 00:17:12,160 --> 00:17:18,430 πηγαίνετε στο εσωτερικό τους κώδικα και να κλέψει όλα τα τα στοιχεία της πιστωτικής κάρτας που είχαν, 348 00:17:18,430 --> 00:17:21,670 όλοι οι αριθμοί πιστωτικών καρτών, τα ονόματα, τις διευθύνσεις. 349 00:17:21,670 --> 00:17:22,740 Και αυτό ήταν μόνο - 350 00:17:22,740 --> 00:17:23,569 και τον κωδικό τους ήταν απολύτως εντάξει. 351 00:17:23,569 --> 00:17:24,710 Είχαν μεγάλη κωδικό. 352 00:17:24,710 --> 00:17:25,389 Ήταν όλα ασφάλεια. 353 00:17:25,389 --> 00:17:26,520 Θα ελέγξει όλες τις βάσεις δεδομένων. 354 00:17:26,520 --> 00:17:29,020 Έκαναν σίγουρος cross-site scripting ήταν μια χαρά. 355 00:17:29,020 --> 00:17:34,390 >> Αλλά χρησιμοποιείται κάτι που δεν ήταν ενημέρωση, ότι δεν ήταν ασφαλής. 356 00:17:34,390 --> 00:17:36,940 Και έτσι που τους οδήγησαν στην - έτσι εσείς είναι σίγουρα πρόκειται να χρησιμοποιήσετε άλλες 357 00:17:36,940 --> 00:17:40,650 κώδικα, τα πλαίσια των ανθρώπων άλλων ανθρώπων για τη δημιουργία της ιστοσελίδας σας. 358 00:17:40,650 --> 00:17:43,860 Βεβαιωθείτε ότι είστε ασφαλείς επειδή Μερικές φορές δεν φταις εσύ, αυτός που 359 00:17:43,860 --> 00:17:44,480 κάνει ένα λάθος. 360 00:17:44,480 --> 00:17:47,440 Αλλά κάποιος άλλος κάνει ένα λάθος, και τότε θα πέσει κάτω λόγω του ότι. 361 00:17:47,440 --> 00:17:51,190 362 00:17:51,190 --> 00:17:53,885 >> Κωδικοί πρόσβασης και ΑΕΑ. 363 00:17:53,885 --> 00:17:56,820 Έτσι, τους κωδικούς πρόσβασης. 364 00:17:56,820 --> 00:17:58,070 OK. 365 00:17:58,070 --> 00:17:59,980 366 00:17:59,980 --> 00:18:04,230 Ας ρίξουμε μια ματιά στα passwords πραγματικά γρήγορα. 367 00:18:04,230 --> 00:18:04,590 OK. 368 00:18:04,590 --> 00:18:06,520 Παρακαλώ πείτε μου ότι ο καθένας χρησιμοποιεί ασφαλή - 369 00:18:06,520 --> 00:18:09,030 Ελπίζω όλοι εδώ χρησιμοποιεί ασφαλείς κωδικούς πρόσβασης. 370 00:18:09,030 --> 00:18:12,890 Είμαι απλά αφήνοντας ότι στην ως υπόθεση. 371 00:18:12,890 --> 00:18:14,850 Έτσι, εσείς είναι σίγουρα πρόκειται να αποθηκεύετε κωδικούς πρόσβασης για τις ιστοσελίδες σας. 372 00:18:14,850 --> 00:18:17,440 Θα πάμε για να κάνει κάτι τέτοιο ένα όνομα χρήστη ή κάτι τέτοιο. 373 00:18:17,440 --> 00:18:19,610 Αυτό που είναι σημαντικό δεν είναι να αποθηκεύσετε κωδικούς πρόσβασης σε μορφή απλού κειμένου. 374 00:18:19,610 --> 00:18:20,860 Αυτό είναι εξαιρετικά σημαντικό. 375 00:18:20,860 --> 00:18:23,960 Δεν θέλετε να αποθηκεύσετε ένα κωδικός πρόσβασης σε μορφή απλού κειμένου. 376 00:18:23,960 --> 00:18:27,370 >> Και σίγουρα δεν θέλουν πραγματικά να το αποθηκεύσετε σε μια μονόδρομη hash. 377 00:18:27,370 --> 00:18:32,440 Έτσι, ό, τι ένας τρόπος hash είναι ότι όταν δημιουργούν μια λέξη, όταν βάζετε αυτό 378 00:18:32,440 --> 00:18:36,200 λέξη σε μια συνάρτηση hash, θα παράγουν πίσω κάποια αινιγματικά 379 00:18:36,200 --> 00:18:39,390 μήνυμα ή αινιγματικά σετ κλειδιών. 380 00:18:39,390 --> 00:18:40,640 Θα σας δείξω ένα παράδειγμα. 381 00:18:40,640 --> 00:18:44,620 382 00:18:44,620 --> 00:18:50,250 Πάω να hash που password1 λέξη. 383 00:18:50,250 --> 00:18:55,280 Έτσι md5 Hash πρόκειται να μου επιστρέψει κάποια περίεργα πληροφορίες. 384 00:18:55,280 --> 00:18:59,140 >> Το πρόβλημα είναι ότι οι άνθρωποι εκεί έξω ότι ήθελα να πάω σε ιστοσελίδες έχουν 385 00:18:59,140 --> 00:19:02,750 ήδη καταλάβει το είδος όλα τα αθροίσματα md5. 386 00:19:02,750 --> 00:19:06,030 Αυτό που δεν είναι κάθισαν για τους υπολογιστές, και κατακερματίζεται σε κάθε 387 00:19:06,030 --> 00:19:09,660 ενιαία δυνατή λέξη εκεί έξω μέχρι πήραν το είδος του τι είναι αυτό. 388 00:19:09,660 --> 00:19:11,420 Αν ήταν να εξετάσουμε αυτό επάνω - 389 00:19:11,420 --> 00:19:12,420 Απλά άρπαξε αυτό το κλειδί. 390 00:19:12,420 --> 00:19:14,120 Αν πάρω αυτό το κλειδί από - 391 00:19:14,120 --> 00:19:17,470 αν πάω σε μια ιστοσελίδα, και βρίσκω αυτό το hash γιατί έχω να το 392 00:19:17,470 --> 00:19:24,100 βάσεις δεδομένων, και εγώ κοιτάζω προς τα πάνω, κάποιος ήδη καταλάβει για μένα. 393 00:19:24,100 --> 00:19:28,600 394 00:19:28,600 --> 00:19:29,100 >> Ναι. 395 00:19:29,100 --> 00:19:35,030 Έτσι οι άνθρωποι κάθισε, και ό, τι md5 κατακερματισμού που θα τεθεί σε, πρόκειται να 396 00:19:35,030 --> 00:19:37,760 επιστρέψει σε σας κάτι ότι είναι μια λέξη. 397 00:19:37,760 --> 00:19:39,800 Αν έχω hash άλλη λέξη, όπως - 398 00:19:39,800 --> 00:19:42,410 Δεν ξέρω - 399 00:19:42,410 --> 00:19:43,490 trees2. 400 00:19:43,490 --> 00:19:46,050 Δεν θέλω να είναι απογοητευμένος από τις αναζητήσεις μου στο Google. 401 00:19:46,050 --> 00:19:49,820 402 00:19:49,820 --> 00:19:52,780 Εκεί είναι, trees2. 403 00:19:52,780 --> 00:19:55,930 Έτσι, πολλές ιστοσελίδες εξακολουθούν να χρησιμοποιούν το md5 hash. 404 00:19:55,930 --> 00:19:57,730 Λένε, OH, αυτό είναι ασφαλές. 405 00:19:57,730 --> 00:19:58,570 Δεν είστε αποθήκευση σε μορφή απλού κειμένου. 406 00:19:58,570 --> 00:19:59,740 Έχουμε αυτό το md5 hash. 407 00:19:59,740 --> 00:20:01,880 Και το μόνο που έχετε να κάνετε είναι απλά Google τον αριθμό. 408 00:20:01,880 --> 00:20:03,940 >> Δεν χρειάζεται καν να υπολογίσουμε τον εαυτό μου. 409 00:20:03,940 --> 00:20:06,790 Μπορώ να το Google μόνο, και κάποιος ήδη το έκανε για μένα. 410 00:20:06,790 --> 00:20:08,010 Εδώ είναι μια δέσμη από αυτά. 411 00:20:08,010 --> 00:20:09,260 Εδώ είναι μια δέσμη των κωδικών πρόσβασης. 412 00:20:09,260 --> 00:20:13,890 413 00:20:13,890 --> 00:20:18,680 Έτσι, σίγουρα δεν χρησιμοποιούν md5 hash, γιατί το μόνο που έχετε να 414 00:20:18,680 --> 00:20:19,140 κάνετε είναι να το Google. 415 00:20:19,140 --> 00:20:20,390 Λοιπόν, τι θέλετε να χρησιμοποιήσετε αντ 'αυτού; 416 00:20:20,390 --> 00:20:29,340 417 00:20:29,340 --> 00:20:30,170 OK. 418 00:20:30,170 --> 00:20:31,260 Κάτι που ονομάζεται αλάτισμα. 419 00:20:31,260 --> 00:20:32,460 Έτσι τι είναι το αλάτισμα - 420 00:20:32,460 --> 00:20:36,280 κάνετε εσείς θυμάστε όταν ήμασταν μιλάμε για τυχαία - 421 00:20:36,280 --> 00:20:37,920 Δεν είμαι σίγουρος τι Pset ήταν - 422 00:20:37,920 --> 00:20:41,140 ήταν αυτό το chipset εκεί ή τέσσερις; 423 00:20:41,140 --> 00:20:45,150 >> Μιλούσαμε για την εύρεση η βελόνα στα άχυρα. 424 00:20:45,150 --> 00:20:48,480 Και στην το chipset, είπε ότι θα μπορούσε πραγματικά να καταλάβω τι τυχαία 425 00:20:48,480 --> 00:20:51,840 παράγει επειδή κάποιος είναι ήδη έτρεξε τυχαία ένα εκατομμύριο φορές και απλά 426 00:20:51,840 --> 00:20:53,230 είδος που σχηματίζεται αυτό που παράγουν. 427 00:20:53,230 --> 00:20:55,840 Τι θέλετε να κάνετε είναι να θέσει σε μια είσοδο. 428 00:20:55,840 --> 00:20:57,130 Έτσι, αυτό είναι το αλάτισμα είδος είναι. 429 00:20:57,130 --> 00:21:00,900 Έχουν ήδη καταλάβει τι αλάτισμα επιστρέφει για κάθε εργασία. 430 00:21:00,900 --> 00:21:04,750 >> Έτσι, αυτό που κάνει είναι το αλάτισμα σας βάλει σε αλάτι. 431 00:21:04,750 --> 00:21:06,160 Βάζετε σε μια συγκεκριμένη λέξη. 432 00:21:06,160 --> 00:21:09,720 Και θα hash αυτή τη λέξη, ανάλογα σε ό, τι βάζετε στο εδώ. 433 00:21:09,720 --> 00:21:13,570 Έτσι, αν ένα hash κωδικό με αυτό φράση, πρόκειται να hash 434 00:21:13,570 --> 00:21:17,180 διαφορετικά εάν hash password1 με μια διαφορετική πρόταση. 435 00:21:17,180 --> 00:21:21,670 Το είδος του δίνει κάπου να ξεκινήσετε για τον κατακερματισμό της για να ξεκινήσει. 436 00:21:21,670 --> 00:21:25,970 Γι 'αυτό είναι πολύ πιο δύσκολο να υπολογιστεί, αλλά θα ακόμα να το υπολογίσει, ιδίως 437 00:21:25,970 --> 00:21:26,830 αν χρησιμοποιείτε μια κακή αλάτι. 438 00:21:26,830 --> 00:21:29,650 >> Οι άνθρωποι έχουν ήδη καταλάβει, επίσης, κοινά άλατα και υπολόγισα 439 00:21:29,650 --> 00:21:31,500 τι είναι. 440 00:21:31,500 --> 00:21:34,980 Τυχαία άλατα είναι πολύ καλύτερα, αλλά ο καλύτερος τρόπος είναι να χρησιμοποιήσετε 441 00:21:34,980 --> 00:21:38,160 κάτι που ονομάζεται κρύπτη. 442 00:21:38,160 --> 00:21:40,480 Και τι κρύπτη σας επιτρέπει να κάνει - έτσι ώστε οι λειτουργίες αυτές είναι 443 00:21:40,480 --> 00:21:41,820 ήδη κατασκευαστεί για εσάς. 444 00:21:41,820 --> 00:21:44,910 Πολλοί άνθρωποι ξεχνούν ότι, ή ξεχνούν να το χρησιμοποιήσουν. 445 00:21:44,910 --> 00:21:54,520 Αλλά αν αναζητήσετε κρύπτη PHP, κρύπτη Επιστρέφει ήδη μια σειρά hash για μένα. 446 00:21:54,520 --> 00:21:58,790 Και άλατα πραγματικά πολλές φορές και hashes πολλές φορές. 447 00:21:58,790 --> 00:22:00,070 >> Γι 'αυτό και δεν χρειάζεται να το κάνουμε αυτό. 448 00:22:00,070 --> 00:22:04,790 Έτσι, το μόνο που έχετε να κάνετε είναι να στείλτε το σε κρύπτη. 449 00:22:04,790 --> 00:22:08,170 Και αυτό θα δημιουργήσει μια μεγάλη hash χωρίς να χρειάζεται να ανησυχείτε για το αλάτι 450 00:22:08,170 --> 00:22:08,990 ή οτιδήποτε άλλο. 451 00:22:08,990 --> 00:22:12,000 Γιατί αν ήταν να αλάτι, έχετε να θυμηθείτε τι αλάτι χρησιμοποιήσατε 452 00:22:12,000 --> 00:22:13,800 γιατί αν όχι, δεν μπορείτε να πάρετε σας κωδικό πρόσβασης πίσω χωρίς το 453 00:22:13,800 --> 00:22:15,760 αλατιού που χρησιμοποιείται. 454 00:22:15,760 --> 00:22:17,010 OK. 455 00:22:17,010 --> 00:22:21,120 456 00:22:21,120 --> 00:22:23,150 >> Και, επίσης, προσωπικά αναγνωρίσιμες πληροφορίες. 457 00:22:23,150 --> 00:22:26,730 Έτσι, την κοινωνική ασφάλιση, πιστωτική κάρτα - αυτό είναι αρκετά προφανές. 458 00:22:26,730 --> 00:22:31,880 Αλλά μερικές φορές οι άνθρωποι ξεχνούν τον τρόπο που έργα είναι, πόσες πληροφορίες κάνετε 459 00:22:31,880 --> 00:22:35,690 πραγματικά πρέπει να βρούμε κάποιον ένα άτομο; 460 00:22:35,690 --> 00:22:37,740 Κάποιος έκανε μια μελέτη για αυτό το δρόμο της επιστροφής. 461 00:22:37,740 --> 00:22:40,870 Και ήταν σαν, αν έχετε το πλήρες όνομα, δεν μπορείτε να βρείτε 462 00:22:40,870 --> 00:22:41,610 κάποιον που εύκολα. 463 00:22:41,610 --> 00:22:43,900 Αλλά τι εάν έχετε ένα πλήρες όνομα και την ημερομηνία γέννησής τους; 464 00:22:43,900 --> 00:22:47,770 Είναι αυτό αρκετό για να προσδιορίσει κάποιον συγκεκριμένα; 465 00:22:47,770 --> 00:22:52,760 >> Τι γίνεται αν έχετε το όνομά τους και η ταχυδρομική διεύθυνση που ζουν στην; 466 00:22:52,760 --> 00:22:55,110 Είναι αυτό αρκετό για να βρει κάποιος; 467 00:22:55,110 --> 00:23:02,490 Και αυτό είναι όταν αμφισβητούν, τι είναι προσωπικά δεδομένα, και 468 00:23:02,490 --> 00:23:05,360 τι θα έπρεπε να ανησυχείτε για δεν δίνει μακριά; 469 00:23:05,360 --> 00:23:08,770 Αν δώσει μακριά τα προσωπικά αναγνωρίσιμες πληροφορία ότι κάποιος σου δίνει, 470 00:23:08,770 --> 00:23:11,420 θα μπορούσαν ενδεχομένως να κάνουν μήνυση. 471 00:23:11,420 --> 00:23:12,610 Και σίγουρα δεν το θέλουμε αυτό. 472 00:23:12,610 --> 00:23:14,955 >> Έτσι, όταν βάζετε την ιστοσελίδα σας έξω, και έχετε ένα πραγματικά δροσερό 473 00:23:14,955 --> 00:23:17,230 σχεδιασμό, ελπίζω να σας κάνει ένα φοβερό τελικό σχέδιο. 474 00:23:17,230 --> 00:23:18,370 Κάθε είδος θα θέλετε να βάζουμε εκεί έξω. 475 00:23:18,370 --> 00:23:21,420 Θέλετε να βεβαιωθείτε ότι ανεξάρτητα από παίρνετε από τον χρήστη, αν είναι 476 00:23:21,420 --> 00:23:25,310 προσωπικά αναγνωρίσιμες πληροφορίες, μπορείτε θέλετε να βεβαιωθείτε ότι είστε είναι πραγματικά 477 00:23:25,310 --> 00:23:26,560 προσεκτικοί με αυτό. 478 00:23:26,560 --> 00:23:29,670 479 00:23:29,670 --> 00:23:31,080 >> Ένεση Shell. 480 00:23:31,080 --> 00:23:31,350 OK. 481 00:23:31,350 --> 00:23:37,590 Ένεση Shell επιτρέπει τον εισβολέα να αποκτήστε πρόσβαση σε πραγματικές γραμμή εντολών σας 482 00:23:37,590 --> 00:23:39,660 στον server σας. 483 00:23:39,660 --> 00:23:44,060 Και έτσι είναι σε θέση να εκτελέσει κώδικα ότι δεν μπορείτε να ελέγξετε. 484 00:23:44,060 --> 00:23:49,560 Ας πάρουμε ένα παράδειγμα αυτής της όμορφη σειρά εδώ. 485 00:23:49,560 --> 00:23:55,570 Αν πάμε στην ιστοσελίδα και πάλι, είμαι πρόκειται να υπεισέλθω σε ένεση κώδικα. 486 00:23:55,570 --> 00:23:58,910 Έτσι τι είναι αυτό που κάνει είναι - 487 00:23:58,910 --> 00:24:00,420 Είναι επίσης αυτό που ήταν κοιτάζοντας πριν. 488 00:24:00,420 --> 00:24:11,200 Είμαστε αφήνοντας το χρήστη να θέσει σε ό, τι θέλει, και θα εκτυπώσετε 489 00:24:11,200 --> 00:24:12,220 ό, τι θέλετε. 490 00:24:12,220 --> 00:24:13,890 >> Έτσι, Πάω να θέσετε μια κλήση. 491 00:24:13,890 --> 00:24:15,540 Αυτό που κάνει είναι - 492 00:24:15,540 --> 00:24:16,940 θα ξεκινήσει από τη συνένωση. 493 00:24:16,940 --> 00:24:19,520 Γι 'αυτό θα επιτρέψτε μου να τρέξει ανεξάρτητα εντολή λειτουργίας του ατόμου 494 00:24:19,520 --> 00:24:21,500 πριν και την εντολή μου. 495 00:24:21,500 --> 00:24:23,980 Και Τρέχω μια εντολή συστήματος. 496 00:24:23,980 --> 00:24:27,310 Και αυτά τα τελευταία χορδές είναι - θυμηθείτε τι μίλησα σε σας παιδιά για, 497 00:24:27,310 --> 00:24:31,725 λαμβάνοντας υπόψη ότι θα πρέπει να κωδικοποιήσει το σε μια μέθοδο διεύθυνση URL. 498 00:24:31,725 --> 00:24:35,010 499 00:24:35,010 --> 00:24:36,992 Αν τρέχω τώρα - 500 00:24:36,992 --> 00:24:39,150 Θα σας δείξω εδώ - 501 00:24:39,150 --> 00:24:41,100 θα δείτε ότι κατέληξα να τρέχει μια εντολή. 502 00:24:41,100 --> 00:24:45,700 503 00:24:45,700 --> 00:24:49,320 >> Αυτό είναι στην πραγματικότητα το πραγματικό διακομιστή ότι η ιστοσελίδα μου τρέχει σε. 504 00:24:49,320 --> 00:24:55,840 505 00:24:55,840 --> 00:24:58,510 Γι 'αυτό και δεν το θέλουμε αυτό, γιατί μπορεί να τρέξει - 506 00:24:58,510 --> 00:25:00,320 αυτός ο διακομιστής δεν είναι δικό μου. 507 00:25:00,320 --> 00:25:04,030 Γι 'αυτό δεν θέλω να χαλάσουν του αδελφή, server Μάρκους. 508 00:25:04,030 --> 00:25:07,470 Αλλά μπορείτε να εκτελέσετε περισσότερες εντολές που είναι επικίνδυνα. 509 00:25:07,470 --> 00:25:11,885 Και ενδεχομένως, μπορείτε να διαγράψετε αρχεία, αφαιρέστε καταλόγους. 510 00:25:11,885 --> 00:25:14,390 511 00:25:14,390 --> 00:25:17,970 Μπορώ να αφαιρέσετε ένα συγκεκριμένο κατάλογο, εφόσον Ήθελα, αλλά δεν θέλω 512 00:25:17,970 --> 00:25:19,530 να το κάνουμε αυτό σε Marcus. 513 00:25:19,530 --> 00:25:20,420 Είναι ένας συμπαθητικός τύπος. 514 00:25:20,420 --> 00:25:21,470 Ο επιτρέψτε μου να δανειστώ τον server του. 515 00:25:21,470 --> 00:25:24,620 Έτσι, Πάω να τον αφήσει εκτός από την καλή. 516 00:25:24,620 --> 00:25:32,280 >> Έτσι, αυτό που δεν θέλουμε να χρησιμοποιήσει - δεν το κάνουμε θέλετε να χρησιμοποιήσετε eval ή το σύστημα. 517 00:25:32,280 --> 00:25:34,755 Eval ή το σύστημα μας επιτρέπει να κάνει αυτές τις κλήσεις συστήματος. 518 00:25:34,755 --> 00:25:37,410 519 00:25:37,410 --> 00:25:38,410 Eval μέσα αξιολογούν. 520 00:25:38,410 --> 00:25:40,790 Σύστημα σημαίνει αυτό έτρεξα. 521 00:25:40,790 --> 00:25:42,490 Είναι τρέξει κάτι στο σύστημα. 522 00:25:42,490 --> 00:25:46,730 Αλλά μπορούμε να θέσει εκτός νόμου αυτά τα πράγματα PHP, έτσι ώστε να μην τα χρησιμοποιούν. 523 00:25:46,730 --> 00:25:47,400 Και upload αρχείων. 524 00:25:47,400 --> 00:25:49,180 Ήμουν έτοιμος να κάνω ένα φοβερό πράγμα με το upload αρχείων. 525 00:25:49,180 --> 00:25:52,740 Αλλά όπως έχω πει εσείς, το αρχείο μου μεταφόρτωση πράγμα δεν λειτουργεί. 526 00:25:52,740 --> 00:25:54,590 Εάν επρόκειτο να ανεβάσετε ένα αρχείο τώρα - 527 00:25:54,590 --> 00:25:57,120 528 00:25:57,120 --> 00:26:00,830 αν ήμουν στη θέση να ανεβάσετε ένα αρχείο, και είναι μια εικόνα - 529 00:26:00,830 --> 00:26:03,180 έχετε ένα πράγμα αποστολής αυτό είναι μια εικόνα. 530 00:26:03,180 --> 00:26:03,660 Αυτό είναι μια χαρά. 531 00:26:03,660 --> 00:26:04,280 Τίποτα δεν συμβαίνει. 532 00:26:04,280 --> 00:26:10,840 >> Αλλά εάν έχετε ένα αρχείο αποστολής, για παράδειγμα, και ο χρήστης στην πραγματικότητα προσθήκες 533 00:26:10,840 --> 00:26:19,220 ένα αρχείο PHP ή ένα αρχείο exe ή κάτι όπως αυτό, τότε θα μπορούσε δυνητικά 534 00:26:19,220 --> 00:26:19,740 έχουν ένα πρόβλημα. 535 00:26:19,740 --> 00:26:21,390 Αυτό δούλευε πριν. 536 00:26:21,390 --> 00:26:25,202 Δυστυχώς για μένα, είναι δεν λειτουργεί πια. 537 00:26:25,202 --> 00:26:30,230 Αν εγώ, για παράδειγμα, να φορτώσετε αυτό το αρχείο, είμαι δεν πάρει την άδεια να ανεβάσετε 538 00:26:30,230 --> 00:26:33,400 το αρχείο που οφείλεται στο διακομιστή Δεν είναι δικό μου. 539 00:26:33,400 --> 00:26:38,670 Έτσι, ο τύπος είναι πραγματικά έξυπνο. 540 00:26:38,670 --> 00:26:39,610 >> Γι 'αυτό δεν θέλουν να - 541 00:26:39,610 --> 00:26:40,130 Πάω να σας δείξω παιδιά - 542 00:26:40,130 --> 00:26:41,840 Εντάξει, αυτά είναι μερικά πραγματικά δροσερά εργαλεία. 543 00:26:41,840 --> 00:26:45,100 Έτσι αυτά - 544 00:26:45,100 --> 00:26:47,715 πηγαίνετε σε - αν εσείς έχετε Firefox - ελπίζω να το κάνουν. 545 00:26:47,715 --> 00:26:54,260 Υπάρχουν δύο add-ons που ονομάζεται SQL Inject Εγώ και Cross-Site Script Me. 546 00:26:54,260 --> 00:26:56,870 Θα ανοίξει το μικρό πλευρά γραμμές στο πλάι. 547 00:26:56,870 --> 00:27:01,480 Κι αν ήταν να πάει στο Για παράδειγμα CS60 - 548 00:27:01,480 --> 00:27:04,210 έτσι ώστε αυτό που κάνει είναι να κοιτάζει για όλες τις μορφές που - 549 00:27:04,210 --> 00:27:07,220 550 00:27:07,220 --> 00:27:08,760 ελπίζω, δεν θα πάρω στο πρόβλημα γι 'αυτό. 551 00:27:08,760 --> 00:27:09,190 >> Αλλά OK. 552 00:27:09,190 --> 00:27:12,600 Εδώ είναι το σύστημα pin. 553 00:27:12,600 --> 00:27:18,946 Έτσι, όταν θα αρχίσει να ψάχνει για τρύπες σε το σύστημα, το πρώτο πράγμα που κάνω είναι 554 00:27:18,946 --> 00:27:21,820 ανοίξει αυτό το όμορφο μικρό εργαλείο στο πλάι. 555 00:27:21,820 --> 00:27:24,160 Και Πάω να δοκιμάσουν τις μορφές με τις επιθέσεις αυτοκινήτων. 556 00:27:24,160 --> 00:27:28,510 Και έτσι τι είναι αυτό που κάνει είναι να σιγά-σιγά ανοίξει μια δέσμη των browsers. 557 00:27:28,510 --> 00:27:29,930 Εδώ είναι μια δέσμη των browsers. 558 00:27:29,930 --> 00:27:33,320 Και προσπαθεί κάθε συνδυασμός του cross-site scripting 559 00:27:33,320 --> 00:27:37,380 ότι υπάρχουν πιθανόν είναι, αν βλέπετε στο πλάι. 560 00:27:37,380 --> 00:27:42,080 >> Και θα μου δώσει ένα αποτέλεσμα είδος ποια είναι η απάντηση. 561 00:27:42,080 --> 00:27:42,860 Όλα περάσει. 562 00:27:42,860 --> 00:27:43,910 Προφανώς, όλοι περνούν. 563 00:27:43,910 --> 00:27:46,190 Θέλω να πω, είναι πραγματικά έξυπνος οι άνθρωποι εκεί. 564 00:27:46,190 --> 00:27:48,010 Αλλά αν ήταν να τρέξει - 565 00:27:48,010 --> 00:27:52,050 Είχα φορές στο παρελθόν, όταν το τρέχω την τελική έργα των μαθητών. 566 00:27:52,050 --> 00:27:56,080 Εγώ απλά τρέχει SQL Inject Me με όλες οι διαφορετικές επιθέσεις. 567 00:27:56,080 --> 00:28:00,080 Και αυτό είναι που προσπαθεί να SQL ένεση αυτός ο διακομιστής pin. 568 00:28:00,080 --> 00:28:03,590 Έτσι, αν μετακινηθείτε προς τα κάτω, για παράδειγμα, λέει - 569 00:28:03,590 --> 00:28:04,960 Αυτό είναι καλό, αν επιστρέφει. 570 00:28:04,960 --> 00:28:08,250 >> Έτσι έλεγξαν ορισμένες αξίες. 571 00:28:08,250 --> 00:28:11,170 Και ο διακομιστής επέστρεψε ένα κωδικός που ήταν αρνητική. 572 00:28:11,170 --> 00:28:11,780 Αφαιρέστε προσωρινά. 573 00:28:11,780 --> 00:28:13,030 Αυτό είναι καλό. 574 00:28:13,030 --> 00:28:17,050 575 00:28:17,050 --> 00:28:20,750 Προσπαθεί όλες αυτές τις δοκιμές. 576 00:28:20,750 --> 00:28:21,790 Έτσι, θα μπορούσατε απλά να τρέξει - 577 00:28:21,790 --> 00:28:27,860 Μακάρι να μπορούσα να βρω μια πραγματική ιστοσελίδα γρήγορα ότι θα με αφήσει - 578 00:28:27,860 --> 00:28:29,110 ίσως το κατάστημα CS50. 579 00:28:29,110 --> 00:28:43,890 580 00:28:43,890 --> 00:28:45,711 >> Πω πω, αυτό πρόκειται να να λάβει πάρα πολύ καιρό. 581 00:28:45,711 --> 00:28:53,090 582 00:28:53,090 --> 00:28:55,130 Θα αφήσω το πρώτο τεστ Δεν τελειώσει σωστά. 583 00:28:55,130 --> 00:28:57,330 Γι 'αυτό διαμαρτύρεται. 584 00:28:57,330 --> 00:28:58,470 Έτσι, αυτά είναι τα τρία πράγματα. 585 00:28:58,470 --> 00:29:00,430 Αυτά τα εργαλεία είναι δωρεάν. 586 00:29:00,430 --> 00:29:03,960 Μπορείτε να τα κατεβάσετε και να εκτελέσετε τους σε την ιστοσελίδα σας, και θα σας πω αν 587 00:29:03,960 --> 00:29:06,650 έχετε cross-site scripting, αν έχετε SQL, αν έχετε 588 00:29:06,650 --> 00:29:07,900 κάτι του αρέσει. 589 00:29:07,900 --> 00:29:12,230 590 00:29:12,230 --> 00:29:14,500 Είμαι το είδος του χαλούν. 591 00:29:14,500 --> 00:29:15,550 >> Αυτό που είναι σημαντικό - 592 00:29:15,550 --> 00:29:17,900 Εντάξει, έτσι ώστε να μην εμπιστεύονται το χρήστη. 593 00:29:17,900 --> 00:29:21,920 Όποια και αν είναι ο χρήστης εισάγει σε σας, κάνετε φροντίστε να το απολυμάνετε, μπορείτε να το καθαρίσετε, 594 00:29:21,920 --> 00:29:25,300 μπορείτε να ελέγξετε για τα σωστά πράγματα, ότι σου δίνει ό, τι 595 00:29:25,300 --> 00:29:28,240 θέλω να σας δώσω. 596 00:29:28,240 --> 00:29:32,460 Πάντα να ενημερωθεί σε ποια πλαίσια ότι είστε πραγματικά χρησιμοποιείτε. 597 00:29:32,460 --> 00:29:34,630 Εάν χρησιμοποιήσετε κάτι σαν εκκίνησης - 598 00:29:34,630 --> 00:29:36,340 Ξέρω ότι εσείς πρόκειται να χρησιμοποιήσετε bootstrap, επειδή πρόκειται να πάει 599 00:29:36,340 --> 00:29:38,140 πάνω από αυτό σύντομα στην τάξη - 600 00:29:38,140 --> 00:29:43,120 και Wordpress ή κάτι τέτοιο, κανονικά αυτό θα μπορούσε να είναι hacked. 601 00:29:43,120 --> 00:29:44,770 >> Και τότε δεν ξέρω ακόμη. 602 00:29:44,770 --> 00:29:45,800 Είσαι απλά τρέχει τον ιστοχώρο σας. 603 00:29:45,800 --> 00:29:47,360 Και είναι απόλυτα ασφαλής. 604 00:29:47,360 --> 00:29:51,730 Και θα πάει κάτω. 605 00:29:51,730 --> 00:29:54,000 Έτσι είμαι αλιεύουν πολύ νωρίς. 606 00:29:54,000 --> 00:29:55,770 Αλλά θέλω να ευχαριστήσω Pentest Labs. 607 00:29:55,770 --> 00:29:58,140 Πάω να σου δείξω κάτι παιδιά ονομάζεται Pentest Labs. 608 00:29:58,140 --> 00:30:05,000 Αν εσείς είστε πραγματικά ενδιαφέρονται για τι η ασφάλεια είναι πραγματικά, υπάρχει μια 609 00:30:05,000 --> 00:30:07,300 ιστοσελίδα που ονομάζεται Pentest Labs αν πάτε εσείς να το σωστό τώρα. 610 00:30:07,300 --> 00:30:10,730 Ω, καλά, δεν είναι αυτό. 611 00:30:10,730 --> 00:30:12,030 Είμαι ακριβώς πρόκειται να το τρέξει σαν αυτό. 612 00:30:12,030 --> 00:30:14,400 Google μου λέει την απάντηση. 613 00:30:14,400 --> 00:30:16,590 >> OK. 614 00:30:16,590 --> 00:30:19,030 Και αυτό σας διδάσκει χρήση - έτσι ώστε να λέει, να μάθουν διείσδυση web 615 00:30:19,030 --> 00:30:21,060 δοκιμή με το σωστό τρόπο. 616 00:30:21,060 --> 00:30:23,650 Θα σας διδάσκει - 617 00:30:23,650 --> 00:30:25,150 ελπίζουμε, είσαι ηθικός άνθρωπος. 618 00:30:25,150 --> 00:30:29,200 Αλλά σας διδάσκει πώς μπορείτε να δείτε πώς μπορείτε να πάρετε μέσα από websites. 619 00:30:29,200 --> 00:30:31,130 Και αν μπορείτε να μάθετε πώς μπορείτε να πάρετε μέσα ιστοσελίδες, μπορείτε να μάθετε πώς να 620 00:30:31,130 --> 00:30:34,960 προστατεύσετε τον εαυτό σας από να πάρει μέσα σε ιστοσελίδες. 621 00:30:34,960 --> 00:30:39,100 Επιτρέψτε μου να μεγεθύνετε γιατί ίσως εσείς δεν εξετάζουμε αυτό το δικαίωμα. 622 00:30:39,100 --> 00:30:46,350 >> Από το SQL ένεση για να πληρώνω, έτσι είδος του πώς μπορώ να πάρω από το SQL 623 00:30:46,350 --> 00:30:48,530 ένεση για να πληρώνω. 624 00:30:48,530 --> 00:30:53,890 Και μπορείτε να κατεβάσετε αυτήν την εικονική μηχανή. 625 00:30:53,890 --> 00:30:55,690 Και η εικονική μηχανή έρχεται ήδη με την ιστοσελίδα που είστε 626 00:30:55,690 --> 00:30:56,780 Θα το δοκιμάσω. 627 00:30:56,780 --> 00:30:58,030 Μπορείτε να κατεβάσετε αυτό το PDF. 628 00:30:58,030 --> 00:31:03,610 629 00:31:03,610 --> 00:31:08,370 Και θα σας δείξω γραμμή προς γραμμή τι που έχετε να κάνετε, ό, τι έχετε ελέγξει. 630 00:31:08,370 --> 00:31:14,560 Αυτό είναι ό, τι ένας εισβολέας στην πραγματικότητα κάνει για να πάρει μέσα σε μια ιστοσελίδα. 631 00:31:14,560 --> 00:31:15,750 >> Και μερικά από αυτά τα πράγματα είναι περίπλοκα. 632 00:31:15,750 --> 00:31:17,520 Μακάρι να μπορούσα να πάω σε περισσότερες πράγματα μαζί σας. 633 00:31:17,520 --> 00:31:21,090 Αλλά φοβάμαι ότι εσείς δεν έχουν πραγματικά - 634 00:31:21,090 --> 00:31:23,090 Αυτό είναι ό, τι πήγα με εσείς, δοκιμές web 635 00:31:23,090 --> 00:31:26,830 για τον έλεγχο της διείσδυσης. 636 00:31:26,830 --> 00:31:33,540 Δεν ξέρω πραγματικά τι SQL είναι και τι - 637 00:31:33,540 --> 00:31:35,960 Σεμινάριο Καρλ Τζάκσον Είναι φοβερό, καθώς και. 638 00:31:35,960 --> 00:31:37,360 Εσείς δεν γνωρίζουν το είδος τι είναι αυτό. 639 00:31:37,360 --> 00:31:39,450 Αλλά αν πάτε σε αυτή την ιστοσελίδα, και σας κατεβάσετε αυτά τα σεμινάρια και οι 640 00:31:39,450 --> 00:31:43,290 PDF, μπορείτε να ρίξετε μια ματιά στο είδος του ό, τι στον τομέα της ασφάλειας πραγματικά 641 00:31:43,290 --> 00:31:46,940 στις δοκιμές διείσδυσης, δείτε πώς μπορείτε να να πάρει μέσα από websites και την προστασία 642 00:31:46,940 --> 00:31:48,020 τον εαυτό σας από αυτό. 643 00:31:48,020 --> 00:31:56,360 >> Έτσι, αν κάνω ένα σούπερ γρήγορη επισκόπηση, αυτό θα πρέπει να αποτρέψει cross-site scripting. 644 00:31:56,360 --> 00:32:00,160 Θέλετε να htmlspecialchars χρησιμοποιήσουν κάθε καιρό το κάτι εισάγει ο χρήστης. 645 00:32:00,160 --> 00:32:01,580 Αποτροπή SQL ένεση. 646 00:32:01,580 --> 00:32:04,510 Εάν το κάνετε αυτό, είστε ήδη σε καλύτερη θέση από ό, τι ήταν το Χάρβαρντ 647 00:32:04,510 --> 00:32:06,530 όταν έχεις παραβιάσει. 648 00:32:06,530 --> 00:32:10,510 Και φροντίστε κωδικούς πρόσβασής σας δεν είναι σε μορφή απλού κειμένου. 649 00:32:10,510 --> 00:32:16,220 Βεβαιωθείτε ότι θα κάνετε όχι μόνο ένας τρόπος hash τους, αλλά ότι θα χρησιμοποιήσετε κρύπτη, η PHP 650 00:32:16,220 --> 00:32:18,670 λειτουργία που σας έδειξα παιδιά. 651 00:32:18,670 --> 00:32:20,060 Με αυτόν τον τρόπο, θα πρέπει να είναι καλό. 652 00:32:20,060 --> 00:32:25,830 >> Επίσης, αν οι φίλοι σας να σας, εκτελέστε SQL Me Κάνετε την ένεση στις ιστοσελίδες τους. 653 00:32:25,830 --> 00:32:28,140 Εκτελέστε cross-site scripting στις ιστοσελίδες τους. 654 00:32:28,140 --> 00:32:33,720 Και θα δείτε πολλές από αυτές τις ιστοσελίδες έχουν έναν τόνο των τρωτών σημείων. 655 00:32:33,720 --> 00:32:40,400 Είναι απίστευτο το πόσο πολύ οι άνθρωποι ξεχνούν να αποστειρώνουν τις βάσεις δεδομένων τους ή να κάνουν 656 00:32:40,400 --> 00:32:46,340 σίγουροι για το τι εισαγωγής δεδομένων του ατόμου Δεν είναι κώδικα δέσμης ενεργειών. 657 00:32:46,340 --> 00:32:47,200 OK. 658 00:32:47,200 --> 00:32:49,182 I είδος τελείωσε πολύ νωρίς. 659 00:32:49,182 --> 00:32:56,510 Αλλά αν κάποιος έχει απορίες σχετικά με τίποτα, μπορείτε να μου ρίξεις μια ερώτηση. 660 00:32:56,510 --> 00:32:56,630 Ναι. 661 00:32:56,630 --> 00:32:56,970 Πάμε, πάμε. 662 00:32:56,970 --> 00:32:59,846 >> ΚΟΙΝΟ: Θέλω απλά να ρωτήσω, μπορεί να σας εξηγήσει πώς το αρχείο 663 00:32:59,846 --> 00:33:03,160 ανεβάσετε ακριβώς έργα. 664 00:33:03,160 --> 00:33:03,480 >> LUCIANO Arango: Ναι. 665 00:33:03,480 --> 00:33:06,350 Έτσι, επιτρέψτε μου να σας δείξω το αρχείο ανεβάσετε πραγματικά γρήγορα. 666 00:33:06,350 --> 00:33:11,300 Έτσι, η αποστολή του αρχείου - 667 00:33:11,300 --> 00:33:14,500 η εξυπνάδα πρόβλημα το upload αρχείου τώρα είναι ότι - 668 00:33:14,500 --> 00:33:18,541 Πάω να ανοίξει τον κώδικα έτσι ώστε εσείς δείτε τον κώδικα πίσω από τα παρασκήνια. 669 00:33:18,541 --> 00:33:22,390 670 00:33:22,390 --> 00:33:24,305 Και αυτό είναι να ανεβάσετε. 671 00:33:24,305 --> 00:33:28,030 672 00:33:28,030 --> 00:33:31,560 Εδώ είναι ένας κωδικός για το αρχείο uploader. 673 00:33:31,560 --> 00:33:33,980 >> Προσπαθούμε να μπω σε αυτό κατάλογο εδώ. 674 00:33:33,980 --> 00:33:37,380 675 00:33:37,380 --> 00:33:44,880 Και προσπαθούμε να, από τη στιγμή που η είσοδος αρχείο, το αρχείο isset - έτσι όταν υπάρχει 676 00:33:44,880 --> 00:33:50,900 αρχείο στο FILES, αυτήν την εικόνα, τότε προσπαθούμε να το μετακινήσετε εδώ. 677 00:33:50,900 --> 00:33:51,910 Έχουμε τραβήξει το αρχείο εδώ. 678 00:33:51,910 --> 00:33:58,350 Η μέθοδος είναι POST, τον τύπο, την εικόνα, το αρχείο. 679 00:33:58,350 --> 00:33:59,630 Και θα στείλουμε αυτό το αρχείο. 680 00:33:59,630 --> 00:34:03,910 Και στη συνέχεια, όταν θα το πάρει, έτσι μόλις το αρχείο έχει μια εικόνα, προσπαθούμε να το στείλετε 681 00:34:03,910 --> 00:34:05,060 σε αυτόν τον κατάλογο. 682 00:34:05,060 --> 00:34:09,814 >> Το πρόβλημα είναι ότι η ιστοσελίδα δεν είναι αφήνεις να φύγω σε αυτόν τον κατάλογο, 683 00:34:09,814 --> 00:34:12,239 γιατί δεν θέλει να πάει πίσω. 684 00:34:12,239 --> 00:34:13,489 Δεν ήθελε να πάει - 685 00:34:13,489 --> 00:34:15,620 686 00:34:15,620 --> 00:34:17,070 Πρέπει να πάω - είναι τόσο ανεβάσετε εδώ. 687 00:34:17,070 --> 00:34:17,639 Εδώ είναι οι εικόνες. 688 00:34:17,639 --> 00:34:21,780 Πρέπει να πάω όλος ο τρόπος πίσω στην αρχίζει και το βάζουμε εκεί και μετά 689 00:34:21,780 --> 00:34:23,820 πάει και να το βάλετε στον κατάλογο. 690 00:34:23,820 --> 00:34:30,000 Έτσι, αν έτρεχα ένα παράθυρο τερματικού, και θα ήθελα να μετακινήσετε ένα αρχείο - 691 00:34:30,000 --> 00:34:30,409 [Δεν ακούγεται] 692 00:34:30,409 --> 00:34:32,159 μπορεί να το δει. 693 00:34:32,159 --> 00:34:37,940 Αν ήθελα να μετακινήσετε ένα αρχείο, δεν έχω να βάλει το όνομα του αρχείου και στη συνέχεια το 694 00:34:37,940 --> 00:34:40,860 πλήρη διαδρομή που θέλω να το στείλετε σε. 695 00:34:40,860 --> 00:34:45,110 >> Και τότε ο διακομιστής δεν είναι επιτρέψατε μου να πάω πίσω. 696 00:34:45,110 --> 00:34:46,929 Και γι 'αυτό είναι να μην αφήσετε Θέλω να φτάσουμε σε αυτό το αρχείο. 697 00:34:46,929 --> 00:34:47,670 Αλλά κανονικά - 698 00:34:47,670 --> 00:34:49,360 έτσι υπάρχει ένας κωδικός για μεταφόρτωση ενός αρχείου. 699 00:34:49,360 --> 00:34:52,260 Έτσι, συνήθως αυτό που θα συμβεί είναι ότι η άτομο δεν είναι να ελέγξετε αν το αρχείο μου 700 00:34:52,260 --> 00:34:57,920 τελειώνει με. jpeg, γι 'αυτό θα θέλετε να ελέγξετε. 701 00:34:57,920 --> 00:35:00,054 Επιτρέψτε μου να ανοίξει ένα παράδειγμα πολύ πραγματικά γρήγορα. 702 00:35:00,054 --> 00:35:07,766 703 00:35:07,766 --> 00:35:08,260 >> OK. 704 00:35:08,260 --> 00:35:09,230 Το δικαίωμα αυτό το πρόσωπο - 705 00:35:09,230 --> 00:35:11,980 έτσι το παράδειγμα δύο ελέγχει αν preg_match - 706 00:35:11,980 --> 00:35:14,180 εδώ είναι εδώ - 707 00:35:14,180 --> 00:35:19,660 για να βεβαιωθείτε ότι τελειώνει με PHP, το οποίο είναι καλό. 708 00:35:19,660 --> 00:35:20,580 Αυτό είναι καλό. 709 00:35:20,580 --> 00:35:22,820 Αλλά υπάρχει ένα πραγματικό μεγάλο πρόβλημα με αυτό. 710 00:35:22,820 --> 00:35:24,600 Αυτό είναι καλό. 711 00:35:24,600 --> 00:35:44,190 Αλλά αν ήταν να βάλει ένα αρχείο με όνομα myfavoritepicture.php.jpeg, θα μπορούσα 712 00:35:44,190 --> 00:35:50,060 ακόμη δυνητικά να απαλλαγούμε από το jpeg και να τρέξει it.k Η PHP είναι επικίνδυνο. 713 00:35:50,060 --> 00:35:53,850 Δεν θέλετε το άτομο να είναι σε θέση να εκτελέσει κώδικα στον ιστοχώρο σας. 714 00:35:53,850 --> 00:35:55,750 >> Στη συνέχεια, όμως. Jpeg αφήνει να περάσει. 715 00:35:55,750 --> 00:36:00,720 Η ιδέα είναι αυτό που πραγματικά θέλετε να κάνετε δεν πάρετε τα αρχεία, Α. Αλλά, εντάξει, τι 716 00:36:00,720 --> 00:36:07,500 θέλετε πραγματικά να κάνετε είναι να βεβαιωθείτε ότι μπορείτε να διαβάσετε όλη την υφήλιο. 717 00:36:07,500 --> 00:36:08,720 Και δεν υπάρχει τίποτα. Php σε αυτό. 718 00:36:08,720 --> 00:36:10,500 Δεν υπάρχει. Php στο ολόκληρο το όνομα του αρχείου. 719 00:36:10,500 --> 00:36:12,780 >> ΚΟΙΝΟ: Αλλά θα μπορούσε θέσει. jpeg στο τέλος. 720 00:36:12,780 --> 00:36:15,830 Οι servers εξακολουθούν να εκτελέσετε τον κώδικα. 721 00:36:15,830 --> 00:36:16,870 >> LUCIANO Arango: Όχι, δεν θα τρέχουν στην αρχή. 722 00:36:16,870 --> 00:36:22,310 Θα πρέπει να πάμε πίσω και να προσπαθήσουμε για να δείτε αν μπορείτε - 723 00:36:22,310 --> 00:36:24,210 >> ΚΟΙΝΟ: Έτσι πρέπει να - 724 00:36:24,210 --> 00:36:26,020 Εντάξει, απλώς άλλο ένα σετ που περιλαμβάνει - 725 00:36:26,020 --> 00:36:26,936 >> LUCIANO Arango: Ναι. 726 00:36:26,936 --> 00:36:29,230 >> ΚΟΙΝΟ: OK. 727 00:36:29,230 --> 00:36:31,486 >> LUCIANO Arango: Ναι. 728 00:36:31,486 --> 00:36:31,900 OK. 729 00:36:31,900 --> 00:36:32,865 Οποιεσδήποτε άλλες ερωτήσεις; 730 00:36:32,865 --> 00:36:33,180 OK. 731 00:36:33,180 --> 00:36:37,350 Πάω να αφήσουμε αυτό και να ταξινομήσετε της να προσπαθήσουμε να δούμε αν εσείς μπορείτε - 732 00:36:37,350 --> 00:36:40,490 τα υπόλοιπα είναι λίγο πιο περίπλοκη επειδή απαιτούν πολύ 733 00:36:40,490 --> 00:36:44,050 περισσότερη γνώση της SQL ό, τι ακριβώς η αρχίζει η γνώση του web SQL είναι και 734 00:36:44,050 --> 00:36:47,010 τι JavaScript είναι. 735 00:36:47,010 --> 00:36:49,730 Αλλά Πάω να προσπαθήσει να κρατήσει αυτό επάνω, και ελπίζουμε ότι εσείς θα μάθετε 736 00:36:49,730 --> 00:36:53,230 γι 'αυτό και να προσπαθήσουμε να ρίξουμε μια ματιά στο τι μπορείτε να κάνετε και πόσο πολλά παραδείγματα 737 00:36:53,230 --> 00:36:54,420 μπορείτε να πάρετε μέσα. 738 00:36:54,420 --> 00:36:56,020 >> Όποιος έχει οποιαδήποτε άλλη ερωτήσεις σχετικά με αυτό; 739 00:36:56,020 --> 00:36:59,387 740 00:36:59,387 --> 00:37:00,350 Προχωρήστε. 741 00:37:00,350 --> 00:37:01,170 Ναι, σουτ, σουτ. 742 00:37:01,170 --> 00:37:01,580 Ναι, προχωρήστε. 743 00:37:01,580 --> 00:37:01,850 Προχωρήστε. 744 00:37:01,850 --> 00:37:02,310 >> ΚΟΙΝΟ: OK. 745 00:37:02,310 --> 00:37:08,870 Έτσι, έχω ακούσει για το πώς Magic Quotes δεν είναι αρκετά ασφαλείς. 746 00:37:08,870 --> 00:37:09,280 >> LUCIANO Arango: Τι - 747 00:37:09,280 --> 00:37:10,110 Magic Quotes; 748 00:37:10,110 --> 00:37:10,595 >> ΚΟΙΝΟ: Ναι. 749 00:37:10,595 --> 00:37:15,445 Γι 'αυτό προσθέτει - έτσι ώστε κάθε φορά που εισάγετε κάτι, πάντα προσθέτει εισαγωγικά. 750 00:37:15,445 --> 00:37:15,930 >> LUCIANO Arango: Ναι. 751 00:37:15,930 --> 00:37:16,000 Ναι. 752 00:37:16,000 --> 00:37:16,496 OK. 753 00:37:16,496 --> 00:37:19,113 >> ΚΟΙΝΟ: Και τότε όμως που λειτούργησε, αλλά στη συνέχεια μου αναζήτηση επάνω. 754 00:37:19,113 --> 00:37:21,648 Και είπε ότι δεν είναι καλό. 755 00:37:21,648 --> 00:37:23,050 Αλλά δεν είμαι σίγουρος γιατί. 756 00:37:23,050 --> 00:37:23,360 >> LUCIANO Arango: Ναι. 757 00:37:23,360 --> 00:37:26,240 >> ΚΟΙΝΟ: Μην χρησιμοποιείτε Magic Quotes, επειδή δεν είναι ασφαλής. 758 00:37:26,240 --> 00:37:26,360 >> LUCIANO Arango: OK. 759 00:37:26,360 --> 00:37:31,735 Έτσι Magic Quotes είναι όταν εισάγετε SQL και προσθέτει ήδη την προσφορά για εσάς. 760 00:37:31,735 --> 00:37:33,520 >> ΚΟΙΝΟ: Προσθέτει πάντα εισαγωγικά γύρω από ό, τι βάζετε μέσα 761 00:37:33,520 --> 00:37:34,210 >> LUCIANO Arango: Ναι. 762 00:37:34,210 --> 00:37:37,190 Έτσι, το πρόβλημα με αυτό είναι ότι - 763 00:37:37,190 --> 00:37:38,445 Θα ρίξω μια ματιά - 764 00:37:38,445 --> 00:37:41,390 >> ΚΟΙΝΟ: Πώς αποκτά η δήλωση SQL; 765 00:37:41,390 --> 00:37:44,690 Ή υποθέτω ότι θα μπορούσε να είναι όπως quote επιλέξετε. 766 00:37:44,690 --> 00:37:49,030 >> LUCIANO Arango: Ναι, θα πρέπει να έχετε καλές τιμές για την SQL. 767 00:37:49,030 --> 00:37:52,900 >> ΚΟΙΝΟ: Όχι, αλλά ο διακομιστής το κάνει για σας. 768 00:37:52,900 --> 00:37:54,460 >> LUCIANO Arango: Αυτά τα μικρά εισαγωγικά ακριβώς εδώ, αυτά τα μικρά αποσπάσματα; 769 00:37:54,460 --> 00:37:55,670 >> ΚΟΙΝΟ: Ναι. 770 00:37:55,670 --> 00:37:56,450 >> LUCIANO Arango: Ναι. 771 00:37:56,450 --> 00:37:59,860 Το πρόβλημα είναι ότι μπορείτε να σχόλια από την τελευταία - 772 00:37:59,860 --> 00:38:05,770 Εντάξει, έτσι τι μπορώ να κάνω είναι μπορώ να σχολιάσω out - οπότε ας ρίξουμε μια ματιά στο - επιτρέψτε μου 773 00:38:05,770 --> 00:38:07,920 ανοίξετε ένα αρχείο επεξεργασίας κειμένου. 774 00:38:07,920 --> 00:38:09,610 Επιτρέψτε μου μόνο να επεξεργαστείτε αυτό εδώ άμεσα. 775 00:38:09,610 --> 00:38:19,510 776 00:38:19,510 --> 00:38:20,400 OK. 777 00:38:20,400 --> 00:38:23,710 Μπορεί εσείς να δείτε ότι με σαφήνεια; 778 00:38:23,710 --> 00:38:29,730 Τι μπορώ να κάνω είναι μπορώ να σχολιάσω από την τελευταία. 779 00:38:29,730 --> 00:38:32,190 Αυτό θα σχολιάσω το τελευταίο. 780 00:38:32,190 --> 00:38:36,760 Και τότε θα βάλω ένα εδώ, βάλτε όλα τα κακόβουλα πράγματα εδώ. 781 00:38:36,760 --> 00:38:39,840 782 00:38:39,840 --> 00:38:42,630 >> Έτσι, ο χρήστης είναι στην πραγματικότητα εισαγωγή, σωστά; 783 00:38:42,630 --> 00:38:45,230 Ο χρήστης δεν είναι εισαγωγή τα πράγματα, έτσι δεν είναι; 784 00:38:45,230 --> 00:38:47,430 Αυτό είναι ό, τι Πάω να εισροών, το πρόσωπο που προσπαθεί να μπει μέσα. 785 00:38:47,430 --> 00:38:49,430 Πάω να θέσει σε - 786 00:38:49,430 --> 00:38:59,290 787 00:38:59,290 --> 00:39:00,180 αυτό είναι ένα σημάδι εισαγωγικά. 788 00:39:00,180 --> 00:39:01,760 Είναι απλά squiggly κατά λάθος. 789 00:39:01,760 --> 00:39:15,080 790 00:39:15,080 --> 00:39:19,400 Και τότε ποιος είναι ο κωδικός Είναι πρόκειται να κάνει - 791 00:39:19,400 --> 00:39:20,190 Συγγνώμη, Πάω να το βγάλετε. 792 00:39:20,190 --> 00:39:22,170 Τι είναι ο κωδικός πρόκειται να κάνουμε είναι πρόκειται να προσθέσετε το πρώτο 793 00:39:22,170 --> 00:39:24,030 εισαγωγικά εδώ. 794 00:39:24,030 --> 00:39:26,040 Και πρόκειται να προσθέσει την τελευταία εισαγωγικά, καθώς και. 795 00:39:26,040 --> 00:39:29,350 796 00:39:29,350 --> 00:39:33,270 >> Και είναι, επίσης, πρόκειται να προσθέσει το τελευταία, τελευταίο σημάδι εισαγωγικά. 797 00:39:33,270 --> 00:39:37,380 Αλλά είμαι σχολιάζοντας αυτά τα εισαγωγικά σηματοδοτεί έξω, έτσι ώστε να μην τρέξει. 798 00:39:37,380 --> 00:39:41,440 Και τελειώνω αυτό το απόσπασμα σήμα εδώ. 799 00:39:41,440 --> 00:39:42,290 Καταλαβαίνετε; 800 00:39:42,290 --> 00:39:43,750 Είστε χαθεί; 801 00:39:43,750 --> 00:39:45,880 Μπορώ να σχολιάσω την τελευταία προσφορά σήμα, και να φροντίζει για την 802 00:39:45,880 --> 00:39:46,680 πρώτη εισαγωγικά. 803 00:39:46,680 --> 00:39:47,350 >> ΚΟΙΝΟ: Και ακριβώς φινίρισμα το πρώτο. 804 00:39:47,350 --> 00:39:47,480 >> LUCIANO Arango: Ναι. 805 00:39:47,480 --> 00:39:48,400 Και μόλις τελειώσει το πρώτο. 806 00:39:48,400 --> 00:39:48,790 Ναι, αυτό είναι σωστό. 807 00:39:48,790 --> 00:39:50,800 Αυτό είναι ό, τι μπορώ να κάνω. 808 00:39:50,800 --> 00:39:51,890 Ναι. 809 00:39:51,890 --> 00:39:52,980 Οποιεσδήποτε άλλες ερωτήσεις, όπως αυτό; 810 00:39:52,980 --> 00:39:54,230 Αυτό είναι ένα μεγάλο ερώτημα. 811 00:39:54,230 --> 00:39:56,960 812 00:39:56,960 --> 00:39:59,790 Όχι, ναι, ίσως. 813 00:39:59,790 --> 00:40:06,150 Ας ελπίσουμε ότι, εσείς θα κάνετε το είδος της περισσότερο νόημα όταν μελετάτε και SQL 814 00:40:06,150 --> 00:40:06,650 τέτοια πράγματα. 815 00:40:06,650 --> 00:40:07,980 Αλλά βεβαιωθείτε ότι έχετε - 816 00:40:07,980 --> 00:40:10,340 κρατήσει αυτά τα εργαλεία στο ρολόι. 817 00:40:10,340 --> 00:40:12,760 Δυστυχώς, αυτά τα εργαλεία εδώ. 818 00:40:12,760 --> 00:40:14,200 Αυτά τα εργαλεία είναι μεγάλη. 819 00:40:14,200 --> 00:40:17,190 Αν κάποιος έχει οποιεσδήποτε ερωτήσεις, μπορείτε επίσης να στείλετε email μου. 820 00:40:17,190 --> 00:40:19,020 Αυτό είναι το κανονικό μου email. 821 00:40:19,020 --> 00:40:25,015 Και αυτή είναι η δουλειά μου e-mail, το οποίο είναι όταν δουλεύω στο SEAS. 822 00:40:25,015 --> 00:40:26,040 >> Εντάξει, ευχαριστώ. 823 00:40:26,040 --> 00:40:26,740 Ευχαριστώ, παιδιά. 824 00:40:26,740 --> 00:40:27,860 Είστε καλοί να πάτε. 825 00:40:27,860 --> 00:40:28,830 Δεν πρέπει να μείνουν εδώ. 826 00:40:28,830 --> 00:40:29,570 Μην χειροκρότημα. 827 00:40:29,570 --> 00:40:30,170 Αυτό είναι παράξενο. 828 00:40:30,170 --> 00:40:31,420 Εντάξει, ευχαριστώ, παιδιά. 829 00:40:31,420 --> 00:40:32,320