1
00:00:00,000 --> 00:00:09,250

2
00:00:09,250 --> 00:00:10,300
>> لوچیانو آرانگو: OK، بچه ها.

3
00:00:10,300 --> 00:00:11,550
نام من لوچیانو آرانگو است.

4
00:00:11,550 --> 00:00:13,915
من دانشجوی سال دوم در آدامز خانه هستم.

5
00:00:13,915 --> 00:00:17,550
و ما قصد داریم تا در مورد صحبت
امنیت وب دفاع فعال است.

6
00:00:17,550 --> 00:00:24,220
بنابراین من برای دفتر اطلاعات کار
امنیت در SEAS.

7
00:00:24,220 --> 00:00:28,670
و در طول تابستان، در توقیف
SeguraTec است، که به اطلاعات بود

8
00:00:28,670 --> 00:00:31,310
شرکت امنیتی است که خدمت کرده است
برای بانک مرکزی کلمبیا.

9
00:00:31,310 --> 00:00:34,740
این بیشتر که من یاد گرفتم
آن چیزی که یاد گرفته ام.

10
00:00:34,740 --> 00:00:37,990
>> و به این ترتیب برخی از مواد که ما هستیم
رفتن به امروز بیش از، ما ندارد

11
00:00:37,990 --> 00:00:39,670
واقعا در مورد در کلاس صحبت کردیم.

12
00:00:39,670 --> 00:00:40,410
اما ما به زودی.

13
00:00:40,410 --> 00:00:42,360
آن را به مانند SQL، جاوا اسکریپت باشد.

14
00:00:42,360 --> 00:00:44,870
و ما واقعا بیش از آن نرفته است.

15
00:00:44,870 --> 00:00:47,730
بنابراین من ممکن است از پرواز از طریق آن را مرتب و
شما ممکن است برخی از چیزهایی را نمی دانند.

16
00:00:47,730 --> 00:00:48,890
اما به زودی، شما آن را یاد بگیرند.

17
00:00:48,890 --> 00:00:52,080
و آن را خواهید تمام حس.

18
00:00:52,080 --> 00:00:54,010
همچنین یکی دیگر از چیزی -

19
00:00:54,010 --> 00:00:55,780
اخلاقی باقی بماند.

20
00:00:55,780 --> 00:01:00,560
بعضی از چیزهایی که یاد می گیرید، به شما
می تواند به روش های غیر اخلاقی استفاده کنید.

21
00:01:00,560 --> 00:01:01,950
>> اگر شما، قطعا امتحان کنید.

22
00:01:01,950 --> 00:01:04,500
من قطعا انگیزه شما بچه ها
سعی کنید به سرور های خود را، سعی کنید

23
00:01:04,500 --> 00:01:05,519
رفتن به داخل آنها.

24
00:01:05,519 --> 00:01:08,500
ببینید اگر شما می توانید آنها را نفوذ،
اگر شما می توانید در داخل آنها را دریافت کنید.

25
00:01:08,500 --> 00:01:09,560
اما نه هر کس دیگری است.

26
00:01:09,560 --> 00:01:12,390
پلیس واقعا جوک دوست و
در کل، ما این را در اینجا قرار داده است.

27
00:01:12,390 --> 00:01:14,040
ما در اطراف خراب شد.

28
00:01:14,040 --> 00:01:15,780
آنها واقعا عصبانی.

29
00:01:15,780 --> 00:01:18,700
>> بنابراین به این وب سایت سر.

30
00:01:18,700 --> 00:01:23,560
من آن را باز کرد در اینجا ببینید.

31
00:01:23,560 --> 00:01:26,780
این یک وب سایت است، و آن را
تا به یک دسته از نمونه های.

32
00:01:26,780 --> 00:01:30,000
چه اتفاقی می افتد این است که به عنوان مثال اولین
است نوعی از رفتن به یک بسیار ساده تر

33
00:01:30,000 --> 00:01:33,470
از گذشته به عنوان مثال در یک مفهوم
که مثال اول

34
00:01:33,470 --> 00:01:34,970
کاملا نا امن است.

35
00:01:34,970 --> 00:01:40,850
و آخرین نوع از چه است
فرد امنیت وب معمولی را انجام دهد.

36
00:01:40,850 --> 00:01:42,760
اما شما هنوز هم می تواند نوعی
از اطراف آن دریافت کنید.

37
00:01:42,760 --> 00:01:44,860
و ما قصد داریم تا با تمرکز بر یکی
و دو، یک نمونه و دو.

38
00:01:44,860 --> 00:01:49,880

39
00:01:49,880 --> 00:01:49,920
>> OK.

40
00:01:49,920 --> 00:01:52,780
اجازه دهید با کراس سایت اسکریپت شروع می شود.

41
00:01:52,780 --> 00:01:56,100
جاوا اسکریپت اجرا بر روی
مرورگر مشتری.

42
00:01:56,100 --> 00:01:59,980
این زبان برنامه نویسی که استفاده می کنید را
به اجرا در مرورگر کاربر تا

43
00:01:59,980 --> 00:02:04,120
شما لازم نیست برای به روز رسانی وب سایت
و رفتن به سرور.

44
00:02:04,120 --> 00:02:04,940
شما آن را در حال اجرا.

45
00:02:04,940 --> 00:02:08,870
به عنوان مثال، فیس بوک، شما لازم نیست
برای بارگیری مجدد وب سایت برای وضعیت جدید

46
00:02:08,870 --> 00:02:09,710
به روز رسانی آمد تا.

47
00:02:09,710 --> 00:02:12,170
این با استفاده از جاوا اسکریپت برای تولید
همه این چیزها.

48
00:02:12,170 --> 00:02:16,290
بنابراین ما می توانیم مخرب جاوا اسکریپت تزریق
به وب سایت.

49
00:02:16,290 --> 00:02:20,890
و به این ترتیب، زمانی که ما یک لینک به
کسی، ما می تواند نوعی از آن را با ارسال

50
00:02:20,890 --> 00:02:23,050
برخی از کد است که ما می خواهیم.

51
00:02:23,050 --> 00:02:26,450
>> است مداوم و غیر مداوم وجود دارد
جاوا اسکریپت -

52
00:02:26,450 --> 00:02:30,640
مداوم و غیر مداوم کراس سایت
برنامه نویسی، منظور من.

53
00:02:30,640 --> 00:02:33,760
و تفاوت که ماندگار
جاوا اسکریپت است که خواهد بود

54
00:02:33,760 --> 00:02:36,060
ذخیره شده بر روی وب سایت.

55
00:02:36,060 --> 00:02:39,780
و غیر مداوم خواهد بود جاوا اسکریپت
که در واقع فقط یک بار اتفاق می افتد.

56
00:02:39,780 --> 00:02:41,795
بنابراین اجازه دهید نگاهی به عنوان مثال
سریع واقعی است.

57
00:02:41,795 --> 00:02:45,660

58
00:02:45,660 --> 00:02:46,130
>> OK.

59
00:02:46,130 --> 00:02:51,620
بنابراین در این وب سایت، ساده،
هیچ چیز در اینجا اتفاق می افتد.

60
00:02:51,620 --> 00:02:53,070
و ما قصد داریم به تلاش برای
قرار دادن برخی از جاوا اسکریپت.

61
00:02:53,070 --> 00:02:58,110
پس راه ما شروع به نوشتن جاوا اسکریپت
است ما با خط شروع شروع می شود.

62
00:02:58,110 --> 00:03:00,570
و ما آن را با اسکریپت نزدیک است.

63
00:03:00,570 --> 00:03:03,770
ما به سادگی می خواهید برای قرار دادن یک پیام -

64
00:03:03,770 --> 00:03:05,410
من شما را نشان می دهد -

65
00:03:05,410 --> 00:03:06,500
هشدار.

66
00:03:06,500 --> 00:03:11,150
هشدار یک تابع است که جاوا اسکریپت
استفاده می کند برای نشان دادن چیزی.

67
00:03:11,150 --> 00:03:12,400
بنابراین اجازه دهید آن را امتحان کنید سریع واقعی است.

68
00:03:12,400 --> 00:03:15,600

69
00:03:15,600 --> 00:03:18,944
من قصد دارم برای رفتن، خوش به حالت آماده باش.

70
00:03:18,944 --> 00:03:20,400
خوب، من را فراموش کرده برای قرار دادن -

71
00:03:20,400 --> 00:03:24,510

72
00:03:24,510 --> 00:03:25,460
OK.

73
00:03:25,460 --> 00:03:26,540
به طوری که ساده است.

74
00:03:26,540 --> 00:03:28,730
>> ما جاوا اسکریپت در یک وب سایت قرار دهید،
و آن را به بالا آمد.

75
00:03:28,730 --> 00:03:31,200
و این نوع فقط اتفاق می افتد
در وب سایت ما، درست است؟

76
00:03:31,200 --> 00:03:33,040
بنابراین به نظر می رسد مانند آن را
مشکل، درست است؟

77
00:03:33,040 --> 00:03:34,920
منظورم این است که، چگونه می تواند شما را با استفاده از
این بدتر؟

78
00:03:34,920 --> 00:03:39,930
پس راه که هکرها انجام
این است که واقعا ساده است.

79
00:03:39,930 --> 00:03:40,970
آنها در حال رفتن به آن را گرفتن.

80
00:03:40,970 --> 00:03:43,750
آنها می توانند این لینک برای شما ارسال.

81
00:03:43,750 --> 00:03:46,780
اگر من این لینک به شما در حال حاضر ارسال،
و شما آن را باز کنید، آن را به

82
00:03:46,780 --> 00:03:51,620
می گویند، سلام کرد و گفت که به وب سایت من
به شما می گوید سلام.

83
00:03:51,620 --> 00:03:57,280
>> و به این ترتیب اگر من به چیزی می گویند
کمی دقیق تر، اگر من بالا بکشد

84
00:03:57,280 --> 00:03:59,880
جاوا اسکریپت من از نوع
در حال حاضر نوشت -

85
00:03:59,880 --> 00:04:03,940
اما اگر شما به آن نگاه کنید، من هم خواهم رفت
بیش از آن قبل از من آن را نوشتم.

86
00:04:03,940 --> 00:04:06,650
بنابراین ما قصد داریم به مجموعه ایست.

87
00:04:06,650 --> 00:04:08,450
ما قصد داریم برای صبر
یک زن و شوهر ثانیه صورت گرفت.

88
00:04:08,450 --> 00:04:13,970
در واقع، ما در حال رفتن به صبر کنید، اگر
من اشتباه نیست، پنج ثانیه صورت گرفت.

89
00:04:13,970 --> 00:04:15,870
این می رود در میلی ثانیه.

90
00:04:15,870 --> 00:04:18,640
و پس از آن چیزی است که ما می خواهیم انجام دهیم این است که ما
رفتن به هشدار که ورود

91
00:04:18,640 --> 00:04:21,459
به پایان رسیده است برای ورود دوباره وارد

92
00:04:21,459 --> 00:04:23,990
و ما قصد داریم به تغییر محل
به یک مکان متفاوت است.

93
00:04:23,990 --> 00:04:30,370

94
00:04:30,370 --> 00:04:32,970
>> پس اگر من این وب سایت را به کسی،
آنها در حال رفتن به

95
00:04:32,970 --> 00:04:34,380
در حال دیدن اطراف، آرام است.

96
00:04:34,380 --> 00:04:35,650
هیچ چیز اتفاق می افتد.

97
00:04:35,650 --> 00:04:38,550
و در پنج ثانیه، این رفتن
می گویند، ورود شما به پایان رسیده است.

98
00:04:38,550 --> 00:04:40,200
لطفا وارد سیستم شوید پشت شوید.

99
00:04:40,200 --> 00:04:43,400
هنگامی که آنها را کلیک کنید OK، من قصد دارم
آنها را به وب سایت دیگر.

100
00:04:43,400 --> 00:04:45,980
احتمالا، وب سایت رفتن به
شبیه به وب سایت است که

101
00:04:45,980 --> 00:04:47,280
آنها در قبل بود.

102
00:04:47,280 --> 00:04:50,770
و آنها در حال رفتن به ورود به سیستم خود
اعتبار به وب سایت من به جای

103
00:04:50,770 --> 00:04:51,850
وب سایت خود را.

104
00:04:51,850 --> 00:04:54,780
>> و بنابراین من می تواند به مردم ارسال
ایمیل با این لینک.

105
00:04:54,780 --> 00:04:56,240
من می گویم، آه، اینجا یک لینک است.

106
00:04:56,240 --> 00:04:57,290
این بانک است، به عنوان مثال.

107
00:04:57,290 --> 00:05:01,390
من می گویم، در اینجا، بر روی این لینک بروید.

108
00:05:01,390 --> 00:05:03,730
و یک بار آنها را ارسال آن، آنها
رفتن به کاربران درحال بازدید از اطراف.

109
00:05:03,730 --> 00:05:07,560
من می توانم به مدت 15 ثانیه، 20 ثانیه صبر کنید،
و پس از آن پاپ که لطفا دوباره وارد

110
00:05:07,560 --> 00:05:08,840
ثبت نام در پشت در.

111
00:05:08,840 --> 00:05:10,120
شما بچه ها می توانید آن را با سعی
همه چیز خیلی بیشتر.

112
00:05:10,120 --> 00:05:13,190
این پیچیده به خاطر شما بچه ها
جاوا اسکریپت دیده نمی شود، بنابراین شما ممکن

113
00:05:13,190 --> 00:05:14,750
بعضی از توابع را نمی دانند.

114
00:05:14,750 --> 00:05:18,625
اما همه شما باید انجام دهید شروع است
با اسکریپت، اسکریپت پایان.

115
00:05:18,625 --> 00:05:22,105

116
00:05:22,105 --> 00:05:25,510
و شما می توانید هر چیزی را
در وسط.

117
00:05:25,510 --> 00:05:27,350
>> هشدار یک تابع است، صبر کنید.

118
00:05:27,350 --> 00:05:29,365
محل پنجره شما طول می کشد
به محل جدید.

119
00:05:29,365 --> 00:05:31,370
اما شما می توانید این کار را انجام خیلی بیشتر.

120
00:05:31,370 --> 00:05:32,630
و به این ترتیب ایده این است که
ما را که خاموش است.

121
00:05:32,630 --> 00:05:39,350
اگر من به عنوان مثال دو برود، و من
در این کد همان قرار داده، آن را

122
00:05:39,350 --> 00:05:40,210
رفتن به کار می کنند.

123
00:05:40,210 --> 00:05:43,620
پس از آن به چاپ همه چیز را به خاطر
آنچه در این وب سایت در ابتدا

124
00:05:43,620 --> 00:05:50,350
کند است اگر من هر چیزی را در اینجا قرار دهید
آن را آن را در اینجا چاپ کنید.

125
00:05:50,350 --> 00:05:52,390
پس از آن هر چیزی چاپ نشده است.

126
00:05:52,390 --> 00:05:55,560
در این مثال است که در واقع چک
برای دیدن اگر اسکریپت است وجود دارد.

127
00:05:55,560 --> 00:05:57,163
بنابراین، بله، پیش بروید.

128
00:05:57,163 --> 00:05:57,606
از من بپرسید.

129
00:05:57,606 --> 00:05:59,560
>> یک مدعو: آیا ارسال نمی
دریافت و یا ارسال درخواست؟

130
00:05:59,560 --> 00:06:00,670
>> لوچیانو آرانگو: آره. آنها
ارسال درخواست دریافت کنید.

131
00:06:00,670 --> 00:06:01,350
>> رسید این است؟

132
00:06:01,350 --> 00:06:02,490
>> لوچیانو آرانگو: آره.

133
00:06:02,490 --> 00:06:04,030
همچنین مرورگرهای استفاده نشده درخواست.

134
00:06:04,030 --> 00:06:07,470
اما من در تلاش برای نشان دادن به درخواست های GET
به طوری که ما می توانیم ببینیم که چه چیزی است

135
00:06:07,470 --> 00:06:10,760
در واقع در رفتن.

136
00:06:10,760 --> 00:06:12,880
و به این ترتیب اگر ما به این کد نگاه کنید -
پس از آن به کار نمی کنه.

137
00:06:12,880 --> 00:06:24,870
و اگر ما نگاهی به این کد،
آن را به عنوان مثال دو باشد.

138
00:06:24,870 --> 00:06:29,300
چه این شخص در حال انجام است، فرد
مسئول این مرورگر -

139
00:06:29,300 --> 00:06:35,370
باز کردن، OK -

140
00:06:35,370 --> 00:06:39,290
جایگزین اسکریپت کلمه.

141
00:06:39,290 --> 00:06:42,850
این PHP می باشد، که شما بچه ها ممکن است
را دیده اند، کمی است.

142
00:06:42,850 --> 00:06:46,250
>> او فقط به جای
اسکریپت کلمه را با نام.

143
00:06:46,250 --> 00:06:50,895
بنابراین با این حال، اگر من به جلو
و فقط در قرار داده است -

144
00:06:50,895 --> 00:06:58,520

145
00:06:58,520 --> 00:07:02,360
اگر با شتاب I کد من دوباره، و من قصد دارم
برای تغییر این فقط یک کمی.

146
00:07:02,360 --> 00:07:15,010
به جای اسکریپت، من قصد دارم برای تغییر
آن را برای اسکریپت با سرمایه R. و

147
00:07:15,010 --> 00:07:16,390
ما قصد داریم برای دیدن در صورتی که این کد کار می کند.

148
00:07:16,390 --> 00:07:19,090
پس از آن بود آن را چاپ نشده است،
نشانه خوبی است.

149
00:07:19,090 --> 00:07:21,990
و امیدوارم در دو ثانیه بیشتر،
آن را به ظاهر.

150
00:07:21,990 --> 00:07:22,820
>> ورود شما به پایان رسیده است.

151
00:07:22,820 --> 00:07:23,210
OK.

152
00:07:23,210 --> 00:07:24,460
که همه درست است.

153
00:07:24,460 --> 00:07:27,670
بنابراین چک کردن برای اسکریپت ممکن است
نه لزوما کار می کنند.

154
00:07:27,670 --> 00:07:28,130
فرد -

155
00:07:28,130 --> 00:07:32,290
همچنین می تواند برای بزرگ اسکریپت چک،
حروف کوچک اسکریپت، مورد خ

156
00:07:32,290 --> 00:07:34,180
مقایسه، مطمئن شوید که آنها با هم فرق داریم.

157
00:07:34,180 --> 00:07:38,480
اما هکر هنوز هم می تواند انجام مرتب کردن بر اساس آنچه که
ما در Vigenere بود که ما نقل مکان کرد

158
00:07:38,480 --> 00:07:40,620
حرف پشت یک زن و شوهر،
حرکت رو به جلو.

159
00:07:40,620 --> 00:07:43,470
و این می تواند به شکل از چگونه برای قرار دادن اسکریپت
پشت در وجود دارد، بنابراین می توان آن را تزریق

160
00:07:43,470 --> 00:07:44,460
که اسکریپت.

161
00:07:44,460 --> 00:07:50,370
>> بنابراین آنچه شما می خواهید به استفاده از
htmlspecialchars است

162
00:07:50,370 --> 00:07:51,330
محافظت از وب سایت شما.

163
00:07:51,330 --> 00:07:56,490
و چه می کند این است آن را می سازد
اطمینان حاصل کنید که آنچه شما در قرار داده -

164
00:07:56,490 --> 00:07:59,610
به عنوان مثال، نقل قول و یا این
بزرگتر یا کمتر از -

165
00:07:59,610 --> 00:08:04,701
است با چیزی جایگزین
که نمی خواهد -

166
00:08:04,701 --> 00:08:05,951
اجازه دهید من در اینجا زوم -

167
00:08:05,951 --> 00:08:08,730

168
00:08:08,730 --> 00:08:09,685
آن & را داشتند واقعی.

169
00:08:09,685 --> 00:08:13,420
آن را جایگزین آن ویژه HTML
شخصیت های که خواهیم دید زمانی که ما هستیم

170
00:08:13,420 --> 00:08:14,670
صحبت کردن در مورد -

171
00:08:14,670 --> 00:08:18,635

172
00:08:18,635 --> 00:08:20,740
آه، این است که تا من رو دوباره به -

173
00:08:20,740 --> 00:08:24,220

174
00:08:24,220 --> 00:08:25,380
این کاراکتر در اینجا ببینید.

175
00:08:25,380 --> 00:08:28,180
>> این نشان می دهد که چیزی
در راه است.

176
00:08:28,180 --> 00:08:31,570
برای HTML، که پایه شروع
به ما می گوید که چیزی

177
00:08:31,570 --> 00:08:33,299
HTML مربوط به آینده است.

178
00:08:33,299 --> 00:08:33,980
و ما می خواهیم از آن خلاص شوید.

179
00:08:33,980 --> 00:08:36,200
ما نمی خواهیم برای قرار دادن HTML را به
website.k ما نمی خواهیم که کاربر می شود

180
00:08:36,200 --> 00:08:40,260
قادر به قرار دادن چیزی در وب سایت خود را
است که می تواند وب سایت خود را تحت تاثیر قرار دهد، مانند

181
00:08:40,260 --> 00:08:43,480
اسکریپت یا HTML و یا چیزی شبیه به آن.

182
00:08:43,480 --> 00:08:53,090
آنچه که مهم است این است که شما
مطابق اصول بهداشت کردن ورودی کاربر.

183
00:08:53,090 --> 00:08:54,720
>> بنابراین کاربران می توانند ورودی بسیاری از چیزها.

184
00:08:54,720 --> 00:08:58,110
او ورودی می تواند یک دسته از مسائل را امتحان کنید
به فوت و فن مرورگر خود را هنوز هم

185
00:08:58,110 --> 00:08:59,410
اجرای این کد اسکریپت.

186
00:08:59,410 --> 00:09:02,870
آنچه شما می خواهید برای انجام شده است و نه فقط نگاه
برای اسکریپت، اما برای همه چیز نگاه

187
00:09:02,870 --> 00:09:04,250
است که می تواند مخرب.

188
00:09:04,250 --> 00:09:06,800
و htmlspecialchars انجام خواهد داد که
برای شما، بنابراین شما لازم نیست

189
00:09:06,800 --> 00:09:07,340
در مورد آن نگران باشید.

190
00:09:07,340 --> 00:09:12,280
اما سعی نکنید به انجام توسط خودتان
مرتب کردن بر اساس با کد خود را.

191
00:09:12,280 --> 00:09:14,055
هر کس در XSS روشن؟

192
00:09:14,055 --> 00:09:14,370
>> OK.

193
00:09:14,370 --> 00:09:16,355
اجازه دهید به تزریق SQL بروید.

194
00:09:16,355 --> 00:09:21,010
بنابراین تزریق SQL است که احتمالا
شماره یک آسیب پذیری

195
00:09:21,010 --> 00:09:22,490
در وب سایت های مختلف.

196
00:09:22,490 --> 00:09:24,350
منظورم این است که یک مثال خوب -

197
00:09:24,350 --> 00:09:27,350
من فقط تحقیق شد دورترین
برای این کار.

198
00:09:27,350 --> 00:09:34,430
و من این مقاله بسیار جذاب، که در آن
من تو را دیدم که هاروارد شکسته شد،

199
00:09:34,430 --> 00:09:35,390
هک شد.

200
00:09:35,390 --> 00:09:37,370
و من، تعجب بود خوب،
چگونه آن را انجام دهد؟

201
00:09:37,370 --> 00:09:41,660
هاروارد عالی ترین، ترین
امن دانشگاه همیشه.

202
00:09:41,660 --> 00:09:43,850
درست است؟

203
00:09:43,850 --> 00:09:45,410
خوب، برای رخنه به سرور،
هکرها با استفاده از یک

204
00:09:45,410 --> 00:09:47,710
روش به نام تزریق SQL.

205
00:09:47,710 --> 00:09:50,250
>> بنابراین این اتفاق می افتد در یک روز به روز پایه.

206
00:09:50,250 --> 00:09:53,590
مردم را فراموش کرده ام حساب کاربری
برای تزریق SQL.

207
00:09:53,590 --> 00:09:54,930
هاروارد می کند.

208
00:09:54,930 --> 00:10:00,050
من فکر می کنم آن را می گوید در اینجا، پرینستون،
استنفورد، دانشگاه کرنل.

209
00:10:00,050 --> 00:10:03,550
پس چگونه ما - چه خوب، این SQL است
تزریق است که آوردن همه این

210
00:10:03,550 --> 00:10:05,668
مردم را؟

211
00:10:05,668 --> 00:10:08,010
OK.

212
00:10:08,010 --> 00:10:12,090
بنابراین SQL یک زبان برنامه نویسی است که
استفاده می کنیم برای دسترسی به پایگاه های داده.

213
00:10:12,090 --> 00:10:14,560
چه کار می کنیم این است که ما را انتخاب کنید -

214
00:10:14,560 --> 00:10:18,510
بنابراین آنچه این بار خوانده شده در حال حاضر انتخاب شده است
همه چیز از جدول.

215
00:10:18,510 --> 00:10:22,640
>> SQL، آن را به این پایگاه داده را تغییر می
که جداول کامل از اطلاعات است.

216
00:10:22,640 --> 00:10:26,550
بنابراین همه چیز را از کاربران را انتخاب کنید
که در آن نام کاربری است.

217
00:10:26,550 --> 00:10:28,120
درست است؟

218
00:10:28,120 --> 00:10:30,770
به اندازه کافی ساده است.

219
00:10:30,770 --> 00:10:34,490
ایده تزریق SQL است که ما
قرار دادن بعضی از کد های مخرب است که می

220
00:10:34,490 --> 00:10:37,270
فریب سرور را در حال اجرا چیزی
متفاوت از آنچه در آن

221
00:10:37,270 --> 00:10:38,430
در اصل در حال اجرا بود.

222
00:10:38,430 --> 00:10:44,970
بنابراین اجازه دهید برای نام کاربری می گویند،
ما در قرار داده و 1 برابر است با 1.

223
00:10:44,970 --> 00:10:46,700
بنابراین ما در قرار دهید و یا 1 برابر است با 1.

224
00:10:46,700 --> 00:10:49,890
راه در حال حاضر آن را می خواند انتخاب خواهد شد
از کاربران، همه چیز را از

225
00:10:49,890 --> 00:10:51,360
کاربران - همه چیز است -

226
00:10:51,360 --> 00:10:55,880
که در آن نام کاربری است، اما
نام کاربری یا 1 برابر است با 1.

227
00:10:55,880 --> 00:11:01,760
>> بنابراین نام هیچ چیز یا 1 برابر است با 1.

228
00:11:01,760 --> 00:11:04,060
1 برابر 1 است همیشه درست است.

229
00:11:04,060 --> 00:11:07,690
بنابراین این همیشه اطلاعات باز خواهد گشت
از کاربران.

230
00:11:07,690 --> 00:11:08,100
OK.

231
00:11:08,100 --> 00:11:10,030
ما لازم نیست که
نام کاربری درست است.

232
00:11:10,030 --> 00:11:14,240
ما فقط می تواند هر چیزی که ما می خواهیم داشته باشد،
و آن را به اطلاعات بازگشت

233
00:11:14,240 --> 00:11:15,690
که ما نیاز داریم.

234
00:11:15,690 --> 00:11:17,160
بیایید در یک مثال دیگر نگاه کنید.

235
00:11:17,160 --> 00:11:22,720
>> اگر ما همه چیز را از کاربر را انتخاب کنید،
که در آن نام DROP TABLE کاربران است -

236
00:11:22,720 --> 00:11:26,420
بنابراین چه چیزی شما فکر می کنم این اراده
انجام اگر من در نام کاربری قرار داده

237
00:11:26,420 --> 00:11:29,560
به عنوان کاربران DROP TABLE؟

238
00:11:29,560 --> 00:11:30,230
هر کس یک ایده؟

239
00:11:30,230 --> 00:11:31,050
بله.

240
00:11:31,050 --> 00:11:32,470
>> یک مدعو: این رفتن به بگویید
آن را به روگرفت تمام جداول.

241
00:11:32,470 --> 00:11:35,460
>> لوچیانو آرانگو: این موضوع به ما بگویید
به روگرفت همه چیز را در وب سایت،

242
00:11:35,460 --> 00:11:38,290
همه چیز را در پایگاه داده باشد.

243
00:11:38,290 --> 00:11:41,910
و آنچه که مردم در استفاده از این - تا
من قصد دارم به شما بچه ها را نشان می دهد.

244
00:11:41,910 --> 00:11:45,462
من از کار افتاده حذف جداول
چرا که من تو را می خواهم نه

245
00:11:45,462 --> 00:11:48,240
بچه ها به رها کردن جداول من.

246
00:11:48,240 --> 00:11:49,850
بیایید نگاهی به این.

247
00:11:49,850 --> 00:11:54,410
پس این به سادگی می کشد تا اطلاعات
برای یک فرد خاص.

248
00:11:54,410 --> 00:11:57,550
پس چگونه ما می دانیم اگر این است
تحت تاثیر تزریق SQL.

249
00:11:57,550 --> 00:12:01,545
ما قصد داریم به بررسی سریع واقعی
آیا می توان چیزی را -

250
00:12:01,545 --> 00:12:04,990

251
00:12:04,990 --> 00:12:06,080
اجازه دهید من این کد را کپی کنید.

252
00:12:06,080 --> 00:12:08,140
من قصد دارم بیش از آن در یک ثانیه.

253
00:12:08,140 --> 00:12:12,210
من قصد دارم برای قرار دادن ریشه و 1 برابر است با 1.

254
00:12:12,210 --> 00:12:15,510
>> این حق در اینجا، این
علامت درصد 23 -

255
00:12:15,510 --> 00:12:19,970
آنچه که واقعا هست، اگر من
نگاه حق در اینجا در -

256
00:12:19,970 --> 00:12:23,820
راه HTML طول می کشد در اعداد، اگر شما
نگاهی به زمانی که من در یک فضای قرار داده

257
00:12:23,820 --> 00:12:28,380
در اینجا - اگر من به فضا چیزی بود
در اینجا، این تغییر به درصد 2.

258
00:12:28,380 --> 00:12:31,420
آیا بچه ها از دیدن این حق در اینجا
زمانی که من در یک فضای قرار داده است؟

259
00:12:31,420 --> 00:12:36,710
راه کار این است که شما فقط می توانید
ارسال مقادیر ASCII از HTML.

260
00:12:36,710 --> 00:12:40,330
بنابراین جایگزین آن شده، به عنوان مثال،
یک فضای با درصد 20.

261
00:12:40,330 --> 00:12:41,970
من نمی دانم اگر شما بچه ها
را دیده اند که قبل از.

262
00:12:41,970 --> 00:12:45,100
>> آن را جایگزین hashtag با درصد 23.

263
00:12:45,100 --> 00:12:50,840
ما نیاز به یک hashtag در پایان یا
بیانیه به طوری که ما می توانیم بگویم

264
00:12:50,840 --> 00:13:00,885
پایگاه داده را فراموش کرده ام به نظر از
این نقطه و ویرگول گذشته، در پایان.

265
00:13:00,885 --> 00:13:03,060
ما می خواهیم آن را به مورد است که فکر می کنم نیست.

266
00:13:03,060 --> 00:13:05,980
ما فقط می خواهیم آن را به اجرا همه چیز
که ما را از قبل و

267
00:13:05,980 --> 00:13:07,450
اظهار نظر که از.

268
00:13:07,450 --> 00:13:08,710
اجازه دهید نگاهی به آن.

269
00:13:08,710 --> 00:13:14,670
>> بنابراین اگر من به چیزی اشتباه است -
اجازه دهید به عنوان مثال می گویند، I 2 برابر قرار داده

270
00:13:14,670 --> 00:13:15,690
1، آن چه به من هر چیزی را.

271
00:13:15,690 --> 00:13:22,930
زمانی که من در نتیجهی 1 برابر 1، و آن را
چیزی بازگشت، این به من می گوید که

272
00:13:22,930 --> 00:13:24,660
این آسیب پذیر است
تزریق SQL.

273
00:13:24,660 --> 00:13:29,090
من می دانم که در حال حاضر که هر
من بعد از این قرار -

274
00:13:29,090 --> 00:13:39,110
و به عنوان مثال، قطره جدول
و یا چیزی شبیه به آن

275
00:13:39,110 --> 00:13:41,190
قطعا کار خواهد کرد.

276
00:13:41,190 --> 00:13:44,350
من می دانم که آن را آسیب پذیر به تزریق SQL
زیرا من می دانم که

277
00:13:44,350 --> 00:13:49,850
در زیر هود، آن را اجازه
من انجام 1 برابر 1 چیزی.

278
00:13:49,850 --> 00:13:51,100
OK؟

279
00:13:51,100 --> 00:13:53,950

280
00:13:53,950 --> 00:13:56,540
>> و اگر ما در این آنهایی که دیگر نگاه کنید،
شماره دو و شماره سه، آن را

281
00:13:56,540 --> 00:13:59,110
را به انجام کمی بیشتر
چک کردن زیر

282
00:13:59,110 --> 00:14:03,680
هود از آنچه در آن است.

283
00:14:03,680 --> 00:14:07,425
بنابراین هر کسی قادر به رها کردن
هر چیزی هنوز و یا تلاش؟

284
00:14:07,425 --> 00:14:08,760
آیا بچه ها مرتب سازی بر اساس دریافت SQL رتبهدهی نشده است؟

285
00:14:08,760 --> 00:14:10,430
از آنجا که من می دانم که شما بچه ها ندارد
دیده می شود آن نشده است، پس از آن نوع

286
00:14:10,430 --> 00:14:11,759
گیج کننده برای شما بچه ها.

287
00:14:11,759 --> 00:14:16,160

288
00:14:16,160 --> 00:14:18,480
بیایید نگاهی به.

289
00:14:18,480 --> 00:14:21,270
پس چه راه برای جلوگیری از SQLI است؟

290
00:14:21,270 --> 00:14:21,390
OK.

291
00:14:21,390 --> 00:14:23,330
پس این است که واقعا مهم است زیرا شما
بچه ها قطعا می خواهید برای جلوگیری از

292
00:14:23,330 --> 00:14:24,090
این در وب سایت شما.

293
00:14:24,090 --> 00:14:28,040
>> اگر نه، تمام دوستان خود را در حال رفتن به
سرگرم کننده از شما زمانی که آنها رها همه

294
00:14:28,040 --> 00:14:29,390
جداول خود را.

295
00:14:29,390 --> 00:14:36,150
بنابراین ایده این است که شما تعمیر SQL
در یک روش خاص، در حالی که شما مطابقت

296
00:14:36,150 --> 00:14:41,940
چه ورودی کاربر با
یک رشته خاص.

297
00:14:41,940 --> 00:14:46,120
بنابراین راه این کار این است که شما
آماده سازی پایگاه داده.

298
00:14:46,120 --> 00:14:50,830
شما نام، رنگ، و کالری را انتخاب کنید
از یک پایگاه داده به نام میوه.

299
00:14:50,830 --> 00:14:53,580
و پس از آن که در آن کالری کمتر از است،
و ما با قرار دادن یک علامت سوال وجود دارد

300
00:14:53,580 --> 00:14:56,530
گفت: ما در حال رفتن به ورودی
چیزی در یک ثانیه.

301
00:14:56,530 --> 00:14:58,850
>> و رنگ برابر است، و ما یک سوال قرار داده
علامت گفت: ما قصد داریم به

302
00:14:58,850 --> 00:15:00,913
چیزی ورودی در یک ثانیه نیز هست.

303
00:15:00,913 --> 00:15:02,660
OK؟

304
00:15:02,660 --> 00:15:09,920
و بعد ما آن را اجرا، قرار دادن
در 150 و قرمز است.

305
00:15:09,920 --> 00:15:12,820
و این را بررسی خواهد کرد تا
اطمینان حاصل کنید که این دو -

306
00:15:12,820 --> 00:15:15,300
این آرایه را بررسی می کند که این
دو عدد صحیح و

307
00:15:15,300 --> 00:15:16,550
که این یک رشته است.

308
00:15:16,550 --> 00:15:18,810

309
00:15:18,810 --> 00:15:20,890
پس از آن ما، و ما واکشی
همه، ما آن را به رنگ قرمز قرار داده.

310
00:15:20,890 --> 00:15:21,964
این بدان معناست که ما واکشی تمام.

311
00:15:21,964 --> 00:15:26,790
این بدان معنی است که ما در واقع SQL اجرا
بیانیه قرار داده و آن را به عقب به رنگ قرمز.

312
00:15:26,790 --> 00:15:30,530
در اینجا ما همین کار را، اما ما
همین کار را برای زرد.

313
00:15:30,530 --> 00:15:32,490
و ما واکشی تمام.

314
00:15:32,490 --> 00:15:36,140
>> و در این راه، ما کاربر جلوگیری از
از قادر بودن به ورودی چیزی

315
00:15:36,140 --> 00:15:41,710
این چیزی است که ما مشخص شده، یک رشته نیست
و یا یک عدد صحیح، به عنوان مثال.

316
00:15:41,710 --> 00:15:45,100

317
00:15:45,100 --> 00:15:46,610
من قبل از صحبت کردن در مورد
با تکیه بر دیگران است.

318
00:15:46,610 --> 00:15:50,010
هنگامی که شما بچه ها شروع پروژه شما، شما
قطعا رفتن به استفاده از

319
00:15:50,010 --> 00:15:52,310
خود راه انداز و یا چیزی مشابه آن.

320
00:15:52,310 --> 00:15:53,490
آیا شما بچه ها همیشه وردپرس استفاده می شود؟

321
00:15:53,490 --> 00:15:57,170
احتمالا شما بچه ها استفاده کرده اند
وردپرس به احتمال زیاد.

322
00:15:57,170 --> 00:16:00,050
بنابراین مشکل با استفاده از
چیزهایی که افراد دیگر -

323
00:16:00,050 --> 00:16:05,940
من فقط رفتن به واقعی سریع گوگل
آسیب پذیری وردپرس.

324
00:16:05,940 --> 00:16:07,495
>> اگر من این جلو و تا حال حاضر -

325
00:16:07,495 --> 00:16:08,995
من به معنای واقعی کلمه بود دو دوم گوگل.

326
00:16:08,995 --> 00:16:12,300

327
00:16:12,300 --> 00:16:13,800
ما می توانید ببینید که وردپرس -

328
00:16:13,800 --> 00:16:17,450
این است که به عنوان سپتامبر '12 مورخ.

329
00:16:17,450 --> 00:16:19,120
26 روز شده است.

330
00:16:19,120 --> 00:16:23,620
تنظیمات پیش فرض وردپرس
قبل از 3.6 می کند این جلوگیری نمی کند

331
00:16:23,620 --> 00:16:27,110
برخی از ارسال، که ممکن است
آن را آسان تر برای

332
00:16:27,110 --> 00:16:29,790
حملات کراس سایت اسکریپت.

333
00:16:29,790 --> 00:16:34,530
بنابراین یک داستان سریع، زمانی که ما مشغول به کار بودند
با - پس من، در تابستان، کار

334
00:16:34,530 --> 00:16:34,970
کارآموزی.

335
00:16:34,970 --> 00:16:40,400
و ما با نوع کار شدند
مانند شرکت کارت اعتباری بزرگ است.

336
00:16:40,400 --> 00:16:42,020
>> و آنها را بر روی چیزی به نام تکیه -

337
00:16:42,020 --> 00:16:45,740
من نمی دانم اگر شما بچه ها تا به حال بازی
با یک محصول به نام جوملا.

338
00:16:45,740 --> 00:16:51,750
جوملا یک محصول است که به استفاده است
کنترل - نوع مشابه

339
00:16:51,750 --> 00:16:54,340
وردپرس، مورد استفاده برای ساخت وب سایت.

340
00:16:54,340 --> 00:16:56,060
به طوری که آنها وب سایت خود را به حال
کار بر روی جوملا.

341
00:16:56,060 --> 00:16:59,290
این است که در واقع یک کارت اعتباری
شرکت در کلمبیا.

342
00:16:59,290 --> 00:17:01,000
من شما را به خود
وب سایت سریع واقعی است.

343
00:17:01,000 --> 00:17:04,550

344
00:17:04,550 --> 00:17:05,400
>> به طوری که آنها جوملا استفاده می شود.

345
00:17:05,400 --> 00:17:08,630
و به روز رسانی آنها بودند جوملا ندارد
به علاوه بر این آخرین.

346
00:17:08,630 --> 00:17:12,160
و تا زمانی که ما نگاهی به در نظر گرفتن شد
کد خود را، ما قادر به واقع

347
00:17:12,160 --> 00:17:18,430
داخل کد خود را و سرقت همه
کارت اعتباری اطلاعاتی که آنها به حال،

348
00:17:18,430 --> 00:17:21,670
همه شماره کارت اعتباری،
نام، آدرس.

349
00:17:21,670 --> 00:17:22,740
و این تنها بود -

350
00:17:22,740 --> 00:17:23,569
و کد خود را کاملا خوب بود.

351
00:17:23,569 --> 00:17:24,710
آنها کد بزرگ بود.

352
00:17:24,710 --> 00:17:25,389
این تمام امنیت بود.

353
00:17:25,389 --> 00:17:26,520
آنها تمام پایگاه داده بررسی می شود.

354
00:17:26,520 --> 00:17:29,020
آنها مطمئن کراس سایت ساخته شده
برنامه نویسی خوب بود.

355
00:17:29,020 --> 00:17:34,390
>> اما آنها چیزی بود که مورد استفاده قرار
به روز شده، که بود امن نیست.

356
00:17:34,390 --> 00:17:36,940
و به طوری که آنها را به - طوری که شما بچه ها
قطعا رفتن به استفاده از دیگر

357
00:17:36,940 --> 00:17:40,650
کد، چارچوب های افراد دیگر مردم
برای ایجاد وب سایت شما.

358
00:17:40,650 --> 00:17:43,860
اطمینان حاصل کنید که آنها امن چون
گاهی اوقات آن را به شما نیست، که

359
00:17:43,860 --> 00:17:44,480
مرتکب اشتباهی می شود.

360
00:17:44,480 --> 00:17:47,440
اما شخص دیگری مرتکب اشتباهی می شود، و
سپس شما سقوط به دلیل آن است.

361
00:17:47,440 --> 00:17:51,190

362
00:17:51,190 --> 00:17:53,885
>> کلمات عبور و PII.

363
00:17:53,885 --> 00:17:56,820
بنابراین کلمه عبور.

364
00:17:56,820 --> 00:17:58,070
OK.

365
00:17:58,070 --> 00:17:59,980

366
00:17:59,980 --> 00:18:04,230
اجازه دهید نگاهی به کلمات عبور
سریع واقعی است.

367
00:18:04,230 --> 00:18:04,590
OK.

368
00:18:04,590 --> 00:18:06,520
لطفا به من بگویید که هر کس
با استفاده از امن -

369
00:18:06,520 --> 00:18:09,030
من همه امید در اینجا
با استفاده از کلمات عبور امن.

370
00:18:09,030 --> 00:18:12,890
من فقط اجازه دادن که
به عنوان یک فرض.

371
00:18:12,890 --> 00:18:14,850
پس شما بچه ها قطعا رفتن به
ذخیره رمز عبور برای وب سایت شما.

372
00:18:14,850 --> 00:18:17,440
شما در حال رفتن را به چیزی مانند
ورود یا چیزی شبیه به آن.

373
00:18:17,440 --> 00:18:19,610
آنچه مهم است برای ذخیره
کلمه عبور در متن ساده.

374
00:18:19,610 --> 00:18:20,860
این بسیار مهم است.

375
00:18:20,860 --> 00:18:23,960
شما نمی خواهید برای ذخیره
رمز عبور در متن ساده.

376
00:18:23,960 --> 00:18:27,370
>> و شما قطعا نمی خواهید
برای ذخیره آن را در یکی از راه های مخلوط.

377
00:18:27,370 --> 00:18:32,440
پس چه یکی از راه های مخلوط است که هنگامی که شما
تولید یک کلمه، زمانی که شما از این قرار

378
00:18:32,440 --> 00:18:36,200
کلمه را به یک تابع هش، آن را
تولید عقب نوعی مرموز

379
00:18:36,200 --> 00:18:39,390
پیام و یا مجموعه ای مرموز از کلید.

380
00:18:39,390 --> 00:18:40,640
من شما را به عنوان مثال نشان می دهد.

381
00:18:40,640 --> 00:18:44,620

382
00:18:44,620 --> 00:18:50,250
من قصد دارم به هش password1 کلمه آنها.

383
00:18:50,250 --> 00:18:55,280
مخلوط بنابراین MD5 به من بازگشت
نوعی از اطلاعات عجیب و غریب.

384
00:18:55,280 --> 00:18:59,140
>> مشکل این است که مردم از وجود دارد
که خواهم برای رفتن به وب سایت ها

385
00:18:59,140 --> 00:19:02,750
در حال حاضر نمیفهمد مرتب سازی بر
از تمام رشته هش MD5.

386
00:19:02,750 --> 00:19:06,030
چه آنها این است که آنها را در نشست خود
کامپیوتر، و آنها هر درهم

387
00:19:06,030 --> 00:19:09,660
کلمه ممکن است تنها در خارج وجود دارد تا
آنها مرتب کردن بر اساس آنچه این کردم.

388
00:19:09,660 --> 00:19:11,420
اگر من به این نگاه کردن -

389
00:19:11,420 --> 00:19:12,420
من فقط برداشت این مخلوط.

390
00:19:12,420 --> 00:19:14,120
اگر من این مخلوط از -

391
00:19:14,120 --> 00:19:17,470
اگر من به یک وب سایت، و من
این مخلوط به خاطر من به دریافت

392
00:19:17,470 --> 00:19:24,100
پایگاه های داده، و من آن را نگاه کردن، کسی
در حال حاضر آن را برای من نمیفهمد.

393
00:19:24,100 --> 00:19:28,600

394
00:19:28,600 --> 00:19:29,100
>> آره.

395
00:19:29,100 --> 00:19:35,030
بنابراین مردم نشست، و هر MD5
هش که شما را در قرار داده، آنها در حال رفتن به

396
00:19:35,030 --> 00:19:37,760
بازگشت به شما چیزی
که یک کلمه است.

397
00:19:37,760 --> 00:19:39,800
اگر من هش کلمه ای دیگر، مانند -

398
00:19:39,800 --> 00:19:42,410
من نمی دانم -

399
00:19:42,410 --> 00:19:43,490
trees2.

400
00:19:43,490 --> 00:19:46,050
من نمی خواهم نا امید شده
توسط جستجوی گوگل من.

401
00:19:46,050 --> 00:19:49,820

402
00:19:49,820 --> 00:19:52,780
آن وجود دارد، trees2.

403
00:19:52,780 --> 00:19:55,930
بنابراین بسیاری از وب سایت
هنوز هم هش MD5 استفاده کنید.

404
00:19:55,930 --> 00:19:57,730
آنها می گویند، آه، آن را امن.

405
00:19:57,730 --> 00:19:58,570
ما در متن ساده در حال ذخیره سازی نیست.

406
00:19:58,570 --> 00:19:59,740
در حال حاضر این هش MD5.

407
00:19:59,740 --> 00:20:01,880
و تمام چیزی که باید انجام دهید این است که فقط
گوگل تعداد.

408
00:20:01,880 --> 00:20:03,940
>> من حتی به خودم محاسبه.

409
00:20:03,940 --> 00:20:06,790
من فقط می توانید آن را گوگل، و کسی
در حال حاضر آن را برای من انجام داد.

410
00:20:06,790 --> 00:20:08,010
در اینجا یک دسته از آنها است.

411
00:20:08,010 --> 00:20:09,260
در اینجا یک دسته از کلمات عبور است.

412
00:20:09,260 --> 00:20:13,890

413
00:20:13,890 --> 00:20:18,680
پس قطعا نمی هش MD5 استفاده نمی کند،
چرا که همه شما را به

414
00:20:18,680 --> 00:20:19,140
انجام گوگل در آن است.

415
00:20:19,140 --> 00:20:20,390
بنابراین چه چیزی شما می خواهید استفاده کنید به جای؟

416
00:20:20,390 --> 00:20:29,340

417
00:20:29,340 --> 00:20:30,170
OK.

418
00:20:30,170 --> 00:20:31,260
چیزی به نام شور.

419
00:20:31,260 --> 00:20:32,460
پس چه شور است -

420
00:20:32,460 --> 00:20:36,280
آیا بچه ها به یاد داشته باشید هنگامی که ما بودند
صحبت کردن در مورد تصادفی در -

421
00:20:36,280 --> 00:20:37,920
من مطمئن هستم که چه pset آن بود نیست -

422
00:20:37,920 --> 00:20:41,140
آن pset وجود دارد بود یا چهار؟

423
00:20:41,140 --> 00:20:45,150
>> ما در مورد پیدا کردن صحبت شد
سوزن در انبار کاه.

424
00:20:45,150 --> 00:20:48,480
و در pset، از آن گفت که شما می توانید
در واقع کشف کردن آنچه تصادفی

425
00:20:48,480 --> 00:20:51,840
تولید چرا که کسی در حال فرار
تصادفی یک میلیون بار و فقط

426
00:20:51,840 --> 00:20:53,230
مرتب کردن بر اساس شکل آنچه را که آنها تولید کند.

427
00:20:53,230 --> 00:20:55,840
آنچه شما می خواهید برای انجام شده است
در ورودی قرار داده است.

428
00:20:55,840 --> 00:20:57,130
بنابراین این چیزی است که نمکی نوع است.

429
00:20:57,130 --> 00:21:00,900
آنها در حال حاضر نمیفهمد چه نمکی
می گرداند برای هر کار.

430
00:21:00,900 --> 00:21:04,750
>> پس چه شور می کند
شما در یک نمک قرار داده است.

431
00:21:04,750 --> 00:21:06,160
شما در یک کلمه خاص قرار داده است.

432
00:21:06,160 --> 00:21:09,720
و از آن خواهد شد که کلمه هش بسته
در مورد آنچه شما را در اینجا.

433
00:21:09,720 --> 00:21:13,570
بنابراین اگر من هش یک رمز عبور با این
جمله، آن را به هش

434
00:21:13,570 --> 00:21:17,180
متفاوت اگر من هش password1
با جمله های مختلف.

435
00:21:17,180 --> 00:21:21,670
این نوع از آن را می دهد تا جایی برای
شروع برای هش کردن به آغاز خواهد شد.

436
00:21:21,670 --> 00:21:25,970
پس از آن سختتر برای محاسبه، اما شما
هنوز هم می توانید آن را محاسبه، به خصوص

437
00:21:25,970 --> 00:21:26,830
اگر شما استفاده از یک نمک بد است.

438
00:21:26,830 --> 00:21:29,650
>> مردم در حال حاضر نیز نمیفهمد
نمکهای معمول و نمیفهمد

439
00:21:29,650 --> 00:21:31,500
آنچه که در آن است.

440
00:21:31,500 --> 00:21:34,980
نمک تصادفی بسیار بهتر است،
اما بهترین راه، استفاده از

441
00:21:34,980 --> 00:21:38,160
چیزی به نام دخمه.

442
00:21:38,160 --> 00:21:40,480
و چه دخمه اجازه می دهد تا شما را به
را - پس از این توابع می باشد

443
00:21:40,480 --> 00:21:41,820
در حال حاضر برای شما ساخته شده است.

444
00:21:41,820 --> 00:21:44,910
بسیاری از مردم فراموش می کنند که، یا
آنها فراموش می کنند تا از آن استفاده کنید.

445
00:21:44,910 --> 00:21:54,520
اما اگر من نگاه کردن به دخمه PHP، دخمه
در حال حاضر برای من تابع یک رشته هش.

446
00:21:54,520 --> 00:21:58,790
و در واقع آن را نمک پاشیده چند بار
و چند بار آن را می کردند.

447
00:21:58,790 --> 00:22:00,070
>> بنابراین ما مجبور به انجام این کار.

448
00:22:00,070 --> 00:22:04,790
پس همه شما باید انجام دهید این است
ارسال آن به دخمه.

449
00:22:04,790 --> 00:22:08,170
و آن را به یک مخلوط بزرگ بدون ایجاد
شما نیاز به نمک نگران

450
00:22:08,170 --> 00:22:08,990
و یا هر چیزی.

451
00:22:08,990 --> 00:22:12,000
چرا که اگر شما به نمک بود آن، شما باید
به یاد داشته باشید آنچه نمک شما استفاده می شود

452
00:22:12,000 --> 00:22:13,800
چرا که اگر نه، شما نمی توانید خود را
رمز عبور برگشت بدون

453
00:22:13,800 --> 00:22:15,760
نمک که شما استفاده می شود.

454
00:22:15,760 --> 00:22:17,010
OK.

455
00:22:17,010 --> 00:22:21,120

456
00:22:21,120 --> 00:22:23,150
>> و همچنین شناسایی شخصی
اطلاعات.

457
00:22:23,150 --> 00:22:26,730
امنیتی پس اجتماعی، کارت اعتباری -
که بسیار واضح است.

458
00:22:26,730 --> 00:22:31,880
اما گاهی اوقات مردم راه را فراموش کرده ام
آثار است، چه مقدار اطلاعات شما انجام

459
00:22:31,880 --> 00:22:35,690
در واقع نیاز به پیدا کردن برخی از یک نفر؟

460
00:22:35,690 --> 00:22:37,740
کسی که یک مطالعه در مورد انجام
این راه برگشت.

461
00:22:37,740 --> 00:22:40,870
و آن را مانند بود، اگر شما
نام و نام خانوادگی، شما می توانید پیدا کنید

462
00:22:40,870 --> 00:22:41,610
کسی که به راحتی.

463
00:22:41,610 --> 00:22:43,900
اما اگر شما یک نام و نام خانوادگی
و تاریخ تولد خود؟

464
00:22:43,900 --> 00:22:47,770
این است که به اندازه کافی برای شناسایی
کسی که به طور خاص؟

465
00:22:47,770 --> 00:22:52,760
>> اگر شما نام و خود را
آدرس خیابان که آنها زندگی می کنند؟

466
00:22:52,760 --> 00:22:55,110
این است که به اندازه کافی برای پیدا کردن کسی؟

467
00:22:55,110 --> 00:23:02,490
و این زمانی که آنها سوال، چه چیزی است
اطلاعات شخصی قابل شناسایی، و

468
00:23:02,490 --> 00:23:05,360
آنچه که باید شما نگران
به دور؟

469
00:23:05,360 --> 00:23:08,770
اگر شما را دور قابل شناسایی شخصی
اطلاعات که کسی به شما می دهد،

470
00:23:08,770 --> 00:23:11,420
شما به طور بالقوه می تواند به شکایت کرد.

471
00:23:11,420 --> 00:23:12,610
و ما قطعا نمی خواهید که نیست.

472
00:23:12,610 --> 00:23:14,955
>> بنابراین، هنگامی که شما با قرار دادن وب سایت شما
از، و شما واقعا سرد

473
00:23:14,955 --> 00:23:17,230
طراحی، امیدوارم شما ساخته شده
پروژه نهایی بسیار جذاب است.

474
00:23:17,230 --> 00:23:18,370
هر شما نوع می خواهید
آن را خارج وجود دارد.

475
00:23:18,370 --> 00:23:21,420
شما می خواهید مطمئن شوید که هر چه
شما در حال گرفتن از کاربر، اگر آن را

476
00:23:21,420 --> 00:23:25,310
اطلاعات شناسایی شخصی، شما
خواهید مطمئن شوید که شما که واقعا

477
00:23:25,310 --> 00:23:26,560
مراقب آن.

478
00:23:26,560 --> 00:23:29,670

479
00:23:29,670 --> 00:23:31,080
>> تزریق شل.

480
00:23:31,080 --> 00:23:31,350
OK.

481
00:23:31,350 --> 00:23:37,590
تزریق شل اجازه می دهد تا مزاحم به
دسترسی به خط فرمان واقعی خود را

482
00:23:37,590 --> 00:23:39,660
در سرور شما.

483
00:23:39,660 --> 00:23:44,060
و به این ترتیب او قادر به اجرای کد
که شما نمی توانید کنترل کنید.

484
00:23:44,060 --> 00:23:49,560
بیایید نگاهی به یک نمونه از این
رشته زیبا در اینجا ببینید.

485
00:23:49,560 --> 00:23:55,570
اگر ما دوباره به وب سایت بروید، من هستم
رفتن به رفتن به تزریق کد.

486
00:23:55,570 --> 00:23:58,910
پس چه می کند این است -

487
00:23:58,910 --> 00:24:00,420
آن را نیز به آنچه که ما بودند
نگاه قبل از.

488
00:24:00,420 --> 00:24:11,200
ما اجازه دادن به کاربر در هر قرار
او می خواهد، و آن را چاپ کنید

489
00:24:11,200 --> 00:24:12,220
هر آنچه که شما می خواهید.

490
00:24:12,220 --> 00:24:13,890
>> من می خواهم برای قرار دادن یک تماس.

491
00:24:13,890 --> 00:24:15,540
چه می کند این است -

492
00:24:15,540 --> 00:24:16,940
آن را با الحاق آغاز خواهد شد.

493
00:24:16,940 --> 00:24:19,520
پس از آن خواهد به من اجازه اجرای هر چه
فرمان در حال اجرا شخص

494
00:24:19,520 --> 00:24:21,500
قبل و فرمان من.

495
00:24:21,500 --> 00:24:23,980
و من در حال اجرا یک دستور سیستم.

496
00:24:23,980 --> 00:24:27,310
و این رشته ها گذشته است - به یاد داشته باشید
آنچه که من به شما بچه ها در مورد صحبت کردیم،

497
00:24:27,310 --> 00:24:31,725
در حالی که شما به رمز
آن را در یک روش URL.

498
00:24:31,725 --> 00:24:35,010

499
00:24:35,010 --> 00:24:36,992
اگر من در این اجرا در حال حاضر -

500
00:24:36,992 --> 00:24:39,150
من شما را در اینجا نشان می دهد -

501
00:24:39,150 --> 00:24:41,100
شما خواهید دید که من به پایان رسید
تا در حال اجرا یک دستور.

502
00:24:41,100 --> 00:24:45,700

503
00:24:45,700 --> 00:24:49,320
>> این است که در واقع سرور واقعی
که به وب سایت من در حال اجرا است.

504
00:24:49,320 --> 00:24:55,840

505
00:24:55,840 --> 00:24:58,510
بنابراین ما نمی خواهیم که،
زیرا من می توانم اجرا -

506
00:24:58,510 --> 00:25:00,320
این سرور از من نیست.

507
00:25:00,320 --> 00:25:04,030
پس من به یک ظرف غذا تا می خواهم نه خود
خواهر، سرور مارکوس است.

508
00:25:04,030 --> 00:25:07,470
اما شما می توانید دستورات بیشتری را اجرا کنید
که خطرناک است.

509
00:25:07,470 --> 00:25:11,885
و به طور بالقوه، شما می توانید حذف کنید
فایل، حذف دایرکتوری.

510
00:25:11,885 --> 00:25:14,390

511
00:25:14,390 --> 00:25:17,970
من می توانم یک پوشه خاص در صورت حذف
من می خواستم، اما من نمی خواهم

512
00:25:17,970 --> 00:25:19,530
برای انجام این کار به مارکوس.

513
00:25:19,530 --> 00:25:20,420
او پسر خوبی است.

514
00:25:20,420 --> 00:25:21,470
او به من اجازه سرور خود را قرض بگیرند.

515
00:25:21,470 --> 00:25:24,620
من می خواهم به او اجازه
کردن از یک خوب است.

516
00:25:24,620 --> 00:25:32,280
>> پس چه ما نمی خواهیم که به استفاده از - ما نمی
مایل به استفاده از ارزیابی و یا سیستم.

517
00:25:32,280 --> 00:25:34,755
اوال و یا سیستم ما اجازه می دهد تا به
این تماس سیستم.

518
00:25:34,755 --> 00:25:37,410

519
00:25:37,410 --> 00:25:38,410
ابزار اوال ارزیابی.

520
00:25:38,410 --> 00:25:40,790
سیستم به معنای چیزی است که من فرار.

521
00:25:40,790 --> 00:25:42,490
این چیزی است که در سیستم اجرا شود.

522
00:25:42,490 --> 00:25:46,730
اما ما می توانیم این چیزها را در ممنوع
PHP به طوری که ما آنها را استفاده نمی کند.

523
00:25:46,730 --> 00:25:47,400
و آپلود فایل.

524
00:25:47,400 --> 00:25:49,180
من که قرار بود برای انجام عالی
چیزی که با آپلود فایل.

525
00:25:49,180 --> 00:25:52,740
اما مانند من به شما بچه ها فایل من گفت،
چیزی که آپلود کار نمی کند.

526
00:25:52,740 --> 00:25:54,590
اگر من به آپلود یک فایل در حال حاضر -

527
00:25:54,590 --> 00:25:57,120

528
00:25:57,120 --> 00:26:00,830
اگر من به آپلود فایل،
و آن را به یک عکس است -

529
00:26:00,830 --> 00:26:03,180
شما یک چیز آپلود فایل
که یک عکس است.

530
00:26:03,180 --> 00:26:03,660
این خوب است.

531
00:26:03,660 --> 00:26:04,280
هیچ چیز اتفاق می افتد.

532
00:26:04,280 --> 00:26:10,840
>> اما اگر شما یک فایل آپلود، برای
به عنوان مثال، و کاربر در واقع ارسال

533
00:26:10,840 --> 00:26:19,220
یک فایل PHP یا یک فایل exe و یا چیزی
مانند آن، و سپس شما می تواند به طور بالقوه

534
00:26:19,220 --> 00:26:19,740
یک مشکل.

535
00:26:19,740 --> 00:26:21,390
قبل از این کار شد.

536
00:26:21,390 --> 00:26:25,202
از بخت بد من، آن را
کار نمی کنه.

537
00:26:25,202 --> 00:26:30,230
اگر من، به عنوان مثال، این پرونده، من هستم
گرفتن مجوز برای آپلود کنید

538
00:26:30,230 --> 00:26:33,400
فایل به دلیل سرور
بودن من نیست.

539
00:26:33,400 --> 00:26:38,670
پس آن مرد واقعا هوشمند.

540
00:26:38,670 --> 00:26:39,610
>> بنابراین ما نمی خواهند -

541
00:26:39,610 --> 00:26:40,130
من قصد دارم به شما نشان می دهد بچه ها -

542
00:26:40,130 --> 00:26:41,840
OK، از این برخی از ابزار واقعا سرد است.

543
00:26:41,840 --> 00:26:45,100
بنابراین این -

544
00:26:45,100 --> 00:26:47,715
رفتن به - اگر شما بچه ها فایرفاکس -
امیدوارم شما انجام دهد.

545
00:26:47,715 --> 00:26:54,260
دو افزودنی به نام SQL تزریق وجود دارد
من و کراس سایت اسکریپت من.

546
00:26:54,260 --> 00:26:56,870
آنها برای باز کردن سمت به عنوان کوچک
میله در سمت.

547
00:26:56,870 --> 00:27:01,480
و اگر من برای رفتن به
CS60 به عنوان مثال -

548
00:27:01,480 --> 00:27:04,210
پس چه می شود؟ است به نظر می رسد
تمام اشکال برای -

549
00:27:04,210 --> 00:27:07,220

550
00:27:07,220 --> 00:27:08,760
امیدوارم، من نمی خواهد
در مشکل برای این.

551
00:27:08,760 --> 00:27:09,190
>> اما OK.

552
00:27:09,190 --> 00:27:12,600
در اینجا سیستم پین است.

553
00:27:12,600 --> 00:27:18,946
تا زمانی که من شروع به دنبال سوراخ در
سیستم، اولین چیزی که من انجام شده است

554
00:27:18,946 --> 00:27:21,820
باز کردن این کمی زیبا
ابزار در سمت.

555
00:27:21,820 --> 00:27:24,160
و من قصد دارم برای تست اشکال
با حملات خودکار.

556
00:27:24,160 --> 00:27:28,510
و بنابراین آنچه که این کار آن است که به آهستگی
باز کردن یک دسته از مرورگر.

557
00:27:28,510 --> 00:27:29,930
در اینجا یک دسته از مرورگرها است.

558
00:27:29,930 --> 00:27:33,320
و این تلاش هر ترکیبی
از کراس سایت اسکریپت

559
00:27:33,320 --> 00:27:37,380
وجود دارد که احتمالا این است که اگر
شما در طرف را ببینید.

560
00:27:37,380 --> 00:27:42,080
>> و من نتیجه را
مرتب کردن بر اساس چه پاسخ است.

561
00:27:42,080 --> 00:27:42,860
تمام منتقل می کند.

562
00:27:42,860 --> 00:27:43,910
بدیهی است، همه آنها منتقل می کند.

563
00:27:43,910 --> 00:27:46,190
منظورم این است که آنها واقعا باهوش
مردم وجود دارد.

564
00:27:46,190 --> 00:27:48,010
اما اگر من به اجرا -

565
00:27:48,010 --> 00:27:52,050
من بار قبل از زمانی که من این اجرا را داشته ام
در پروژه های نهایی دانش آموزان.

566
00:27:52,050 --> 00:27:56,080
من به سادگی اجرا SQL تزریق من با
تمام حملات مختلف.

567
00:27:56,080 --> 00:28:00,080
و آن را تلاش برای SQL تزریق
این سرور پین.

568
00:28:00,080 --> 00:28:03,590
بنابراین اگر ما پایین، برای
به عنوان مثال، آن را می گوید -

569
00:28:03,590 --> 00:28:04,960
این خوب است اگر آن را برمی گرداند.

570
00:28:04,960 --> 00:28:08,250
>> پس از آن برخی از ارزش های خاص را آزمایش کردند.

571
00:28:08,250 --> 00:28:11,170
و سرور بازگشت
کد که منفی بود.

572
00:28:11,170 --> 00:28:11,780
حذف به طور موقت.

573
00:28:11,780 --> 00:28:13,030
این خوب است.

574
00:28:13,030 --> 00:28:17,050

575
00:28:17,050 --> 00:28:20,750
این تلاش می کند تمام این آزمون ها.

576
00:28:20,750 --> 00:28:21,790
بنابراین شما به سادگی می تواند اجرا -

577
00:28:21,790 --> 00:28:27,860
ای کاش می توانستم یک وب سایت واقعی پیدا
سریع است که به من اجازه -

578
00:28:27,860 --> 00:28:29,110
شاید فروشگاه CS50.

579
00:28:29,110 --> 00:28:43,890

580
00:28:43,890 --> 00:28:45,711
>> عجب، این است که رفتن به
را راه بیش از حد طولانی است.

581
00:28:45,711 --> 00:28:53,090

582
00:28:53,090 --> 00:28:55,130
من به شما اجازه آزمون اول
پایان نیست.

583
00:28:55,130 --> 00:28:57,330
پس این شکایت.

584
00:28:57,330 --> 00:28:58,470
بنابراین این سه چیز است.

585
00:28:58,470 --> 00:29:00,430
این ابزار رایگان می باشد.

586
00:29:00,430 --> 00:29:03,960
شما می توانید آنها را دانلود کنید و اجرا کنید و آنها را در
وب سایت خود را، و آن را به شما بگویم اگر

587
00:29:03,960 --> 00:29:06,650
شما باید کراس سایت اسکریپت،
اگر شما SQL، اگر شما

588
00:29:06,650 --> 00:29:07,900
چیزی مانند آن.

589
00:29:07,900 --> 00:29:12,230

590
00:29:12,230 --> 00:29:14,500
من مرتب کردن بر اساس از دست دادن.

591
00:29:14,500 --> 00:29:15,550
>> آنچه مهم است -

592
00:29:15,550 --> 00:29:17,900
OK، بنابراین هرگز کاربر اعتماد.

593
00:29:17,900 --> 00:29:21,920
هر چه که ورودی های کاربر برای شما، را
مطمئن شوید که شما آن را مطابق اصول بهداشت کردن، آن را به شما تمیز کردن،

594
00:29:21,920 --> 00:29:25,300
شما برای همه چیز به درستی بررسی کنید،
که به شما دادن آنچه که شما

595
00:29:25,300 --> 00:29:28,240
می خواهم او را به شما بدهد.

596
00:29:28,240 --> 00:29:32,460
همیشه در به روز شود چه چارچوب
که شما در واقع با استفاده از.

597
00:29:32,460 --> 00:29:34,630
- اگر شما چیزی مانند خود راه انداز استفاده

598
00:29:34,630 --> 00:29:36,340
من می دانم که شما بچه ها در حال رفتن به استفاده از
بوت استرپ، زیرا او به به

599
00:29:36,340 --> 00:29:38,140
بیش از این به زودی در کلاس -

600
00:29:38,140 --> 00:29:43,120
و وردپرس و یا چیزی شبیه به آن،
به طور معمول این می تواند هک شود.

601
00:29:43,120 --> 00:29:44,770
>> و پس از آن شما حتی نمی دانند.

602
00:29:44,770 --> 00:29:45,800
شما فقط در حال اجرا وب سایت شما.

603
00:29:45,800 --> 00:29:47,360
و آن را کاملا امن.

604
00:29:47,360 --> 00:29:51,730
و شما را به پایین.

605
00:29:51,730 --> 00:29:54,000
پس من ماهیگیری واقعا زود.

606
00:29:54,000 --> 00:29:55,770
اما من می خواهم برای تشکر از Pentest آزمایشگاه.

607
00:29:55,770 --> 00:29:58,140
من قصد دارم به شما نشان می دهد بچه ها چیزی
نام آزمایشگاه Pentest.

608
00:29:58,140 --> 00:30:05,000
اگر شما بچه ها واقعا علاقه مند
چه امنیتی در واقع، یک وجود دارد

609
00:30:05,000 --> 00:30:07,300
وب سایت به نام آزمایشگاه Pentest اگر
شما بچه ها رفتن به آن را در حال حاضر.

610
00:30:07,300 --> 00:30:10,730
آه، بله، که این نیست.

611
00:30:10,730 --> 00:30:12,030
من فقط رفتن به آن را اجرا کنید مثل این.

612
00:30:12,030 --> 00:30:14,400
گوگل به من پاسخ می گوید.

613
00:30:14,400 --> 00:30:16,590
>> OK.

614
00:30:16,590 --> 00:30:19,030
و می آموزد استفاده می - پس از آن
می گوید، یاد نفوذ وب

615
00:30:19,030 --> 00:30:21,060
تست راه حق.

616
00:30:21,060 --> 00:30:23,650
این به شما می آموزد -

617
00:30:23,650 --> 00:30:25,150
امیدوارم، شما یک فرد اخلاقی است.

618
00:30:25,150 --> 00:30:29,200
اما آن را به شما می آموزد که چگونه شما می توانید در نگاه
چگونه شما می توانید در داخل وب سایت دریافت کنید.

619
00:30:29,200 --> 00:30:31,130
و اگر شما یاد بگیرند که چگونه شما می توانید در داخل کنید
وب سایت ها، شما می توانند یاد بگیرند که چگونه به

620
00:30:31,130 --> 00:30:34,960
محافظت از خود را از گرفتن
وب سایت ها در داخل.

621
00:30:34,960 --> 00:30:39,100
اجازه بدهید من زوم چرا که شاید شما بچه ها
در این راست به دنبال ندارد.

622
00:30:39,100 --> 00:30:46,350
>> از تزریق SQL به پوسته، بنابراین
مرتب کردن بر اساس من چگونه می توانم از SQL کنید

623
00:30:46,350 --> 00:30:48,530
تزریق به پوسته.

624
00:30:48,530 --> 00:30:53,890
و شما دانلود این ماشین مجازی.

625
00:30:53,890 --> 00:30:55,690
و ماشین مجازی در حال حاضر می آید
با وب سایت است که شما

626
00:30:55,690 --> 00:30:56,780
رفتن به آن را امتحان کنید در.

627
00:30:56,780 --> 00:30:58,030
شما این PDF دانلود کنید.

628
00:30:58,030 --> 00:31:03,610

629
00:31:03,610 --> 00:31:08,370
و آن را به شما خط به خط نشان می دهد چه
شما باید انجام دهید، چه چیزی شما را تیک بزنید.

630
00:31:08,370 --> 00:31:14,560
این چیزی است که یک مهاجم در واقع
می کند به داخل یک وب سایت دریافت کنید.

631
00:31:14,560 --> 00:31:15,750
>> و برخی از این مسائل پیچیده است.

632
00:31:15,750 --> 00:31:17,520
ای کاش می توانستم بیش تر
همه چیز با شما بچه ها.

633
00:31:17,520 --> 00:31:21,090
اما من نگران هستند که شما بچه ها
واقعا نمی -

634
00:31:21,090 --> 00:31:23,090
این چیزی است که من بیش از با رفت
شما بچه ها، آزمایش وب

635
00:31:23,090 --> 00:31:26,830
برای تست نفوذ.

636
00:31:26,830 --> 00:31:33,540
آیا واقعا نمی دانند چه
SQL است و چه -

637
00:31:33,540 --> 00:31:35,960
سمینار کارل جکسون
عالی است نیز هست.

638
00:31:35,960 --> 00:31:37,360
شما بچه ها را مرتب سازی بر نمی دانم
از این چیست.

639
00:31:37,360 --> 00:31:39,450
اما اگر شما به این وب سایت بروید، و شما
دانلود این آموزش و این

640
00:31:39,450 --> 00:31:43,290
فایلهای PDF، شما می توانید نگاهی به نوع را
چه زمینه امنیت واقعا

641
00:31:43,290 --> 00:31:46,940
در تست نفوذ، ببینید که چگونه شما می توانید
دریافت وب سایت در داخل و محافظت

642
00:31:46,940 --> 00:31:48,020
خود را از آن.

643
00:31:48,020 --> 00:31:56,360
>> بنابراین اگر من یک مرور کلی فوق العاده سریع،
آن می شود جلوگیری کراس سایت اسکریپت.

644
00:31:56,360 --> 00:32:00,160
شما می خواهید به استفاده از htmlspecialchars هر
زمان ورودی کاربر چیزی.

645
00:32:00,160 --> 00:32:01,580
جلوگیری از تزریق SQL.

646
00:32:01,580 --> 00:32:04,510
اگر شما انجام این کار، شما در حال حاضر
بهتر از دانشگاه هاروارد بود

647
00:32:04,510 --> 00:32:06,530
زمانی که آنها را نقض کرد.

648
00:32:06,530 --> 00:32:10,510
و مطمئن شوید که کلمات عبور شما
در متن ساده نیست.

649
00:32:10,510 --> 00:32:16,220
مطمئن شوید که شما نه تنها یکی از راه های مخلوط
آنها اما شما با استفاده از دخمه، PHP

650
00:32:16,220 --> 00:32:18,670
تابع است که من به شما بچه ها را نشان داد.

651
00:32:18,670 --> 00:32:20,060
به این ترتیب، شما باید خوب باشد.

652
00:32:20,060 --> 00:32:25,830
>> همچنین، اگر دوستان شما به شما اجازه، اجرا
SQL من در وب سایت خود تزریق.

653
00:32:25,830 --> 00:32:28,140
اجرای کراس سایت اسکریپت
در وب سایت خود.

654
00:32:28,140 --> 00:32:33,720
و شما بسیاری از این وب سایت دیدن
یک تن از آسیب پذیری.

655
00:32:33,720 --> 00:32:40,400
این باور نکردنی است که چگونه مردم بسیار را فراموش کرده ام
برای پاکسازی پایگاه داده های خود و یا به

656
00:32:40,400 --> 00:32:46,340
مطمئن شوید که چه خواندن شخص
است کد اسکریپت نیست.

657
00:32:46,340 --> 00:32:47,200
OK.

658
00:32:47,200 --> 00:32:49,182
من نوعی واقعا زود به پایان رسید.

659
00:32:49,182 --> 00:32:56,510
اما اگر کسی هر گونه سوال در مورد
هر چیزی، شما می توانید به من یک سوال شلیک کنید.

660
00:32:56,510 --> 00:32:56,630
آره.

661
00:32:56,630 --> 00:32:56,970
برو، برو.

662
00:32:56,970 --> 00:32:59,846
>> یک مدعو: من فقط می خواهم بپرسم،
می تواند به شما توضیح دهید که چگونه فایل

663
00:32:59,846 --> 00:33:03,160
دقیقا آثار را بارگذاری کنید.

664
00:33:03,160 --> 00:33:03,480
>> لوچیانو آرانگو: آره.

665
00:33:03,480 --> 00:33:06,350
بنابراین اجازه دهید به شما فایل را نشان می دهد
آپلود سریع واقعی است.

666
00:33:06,350 --> 00:33:11,300
بنابراین آپلود فایل -

667
00:33:11,300 --> 00:33:14,500
مشکل ظ آپلود فایل
در حال حاضر این است که -

668
00:33:14,500 --> 00:33:18,541
من قصد دارم برای باز کردن کد تا شما بچه ها
کد پشت صحنه را ببینید.

669
00:33:18,541 --> 00:33:22,390

670
00:33:22,390 --> 00:33:24,305
و آن را ارسال شده است.

671
00:33:24,305 --> 00:33:28,030

672
00:33:28,030 --> 00:33:31,560
در اینجا یک کد برای آپلود فایل است.

673
00:33:31,560 --> 00:33:33,980
>> ما در حال تلاش برای رفتن به این
دایرکتوری بیش از اینجا.

674
00:33:33,980 --> 00:33:37,380

675
00:33:37,380 --> 00:33:44,880
و ما در حال تلاش برای، زمانی که ما ورودی
فایل، فایل از Isset - زمانی که این کار وجود دارد

676
00:33:44,880 --> 00:33:50,900
فایل در فایل، تصویر، و سپس
ما سعی می کنیم آن را به حرکت در اینجا.

677
00:33:50,900 --> 00:33:51,910
ما گرفتن فایل اینجا.

678
00:33:51,910 --> 00:33:58,350
روش POST، نوع، تصویر، فایل است.

679
00:33:58,350 --> 00:33:59,630
و ما از ارسال این فایل.

680
00:33:59,630 --> 00:34:03,910
و پس از آن زمانی که ما آن را دریافت کنید، پس یک بار فایل
یک تصویر، ما در حال تلاش برای ارسال آن

681
00:34:03,910 --> 00:34:05,060
به این شاخه.

682
00:34:05,060 --> 00:34:09,814
>> مشکل این است که وب سایت است
اجازه دادن به من به این شاخه بروید،

683
00:34:09,814 --> 00:34:12,239
به این دلیل که نمی خواهند من به عقب برگردید.

684
00:34:12,239 --> 00:34:13,489
این نمی خواهند من برای رفتن -

685
00:34:13,489 --> 00:34:15,620

686
00:34:15,620 --> 00:34:17,070
من برای رفتن - بنابراین در اینجا آپلود کنید.

687
00:34:17,070 --> 00:34:17,639
در اینجا تصاویر است.

688
00:34:17,639 --> 00:34:21,780
من برای رفتن تمام راه برگشت به
آغاز و آن را در وجود دارد و پس از آن

689
00:34:21,780 --> 00:34:23,820
بروید و آن را به دایرکتوری.

690
00:34:23,820 --> 00:34:30,000
بنابراین اگر من در حال اجرا یک پنجره ترمینال،
و من می خواستم به حرکت می کند یک فایل -

691
00:34:30,000 --> 00:34:30,409
[نامفهوم]

692
00:34:30,409 --> 00:34:32,159
می توانید آن را ببینید.

693
00:34:32,159 --> 00:34:37,940
اگر من می خواستم به حرکت می کند یک فایل، من
برای قرار دادن نام فایل و سپس

694
00:34:37,940 --> 00:34:40,860
مسیر کامل من می خواهم به ارسال آن به.

695
00:34:40,860 --> 00:34:45,110
>> و پس از آن سرور نیست
به من اجازه بازگشت.

696
00:34:45,110 --> 00:34:46,929
و به این ترتیب آن را اجازه نمی
من به آن فایل را دریافت کنید.

697
00:34:46,929 --> 00:34:47,670
اما به طور معمول -

698
00:34:47,670 --> 00:34:49,360
بنابراین یک کد برای وجود دارد
آپلود یک فایل.

699
00:34:49,360 --> 00:34:52,260
بنابراین به طور معمول چه اتفاقی خواهد افتاد این است که
شخص چک کردن اگر فایل من

700
00:34:52,260 --> 00:34:57,920
با. JPEG به پایان می رسد، بنابراین من
می خواهید تیک بزنید.

701
00:34:57,920 --> 00:35:00,054
اجازه بدهید به عنوان مثال باز کردن بیش از حد سریع واقعی است.

702
00:35:00,054 --> 00:35:07,766

703
00:35:07,766 --> 00:35:08,260
>> OK.

704
00:35:08,260 --> 00:35:09,230
این شخص سمت راست -

705
00:35:09,230 --> 00:35:11,980
بنابراین به عنوان مثال دو است بررسی
اگر preg_match -

706
00:35:11,980 --> 00:35:14,180
در اینجا آن را بیش از اینجا است -

707
00:35:14,180 --> 00:35:19,660
مطمئن شوید که به پایان می رسد با
PHP، که خوب است.

708
00:35:19,660 --> 00:35:20,580
این خوب است.

709
00:35:20,580 --> 00:35:22,820
اما یک بزرگ واقعی وجود دارد
مشکل با این.

710
00:35:22,820 --> 00:35:24,600
این خوب است.

711
00:35:24,600 --> 00:35:44,190
اما اگر من به قرار دادن یک فایل با نام
myfavoritepicture.php.jpeg، من می توانم

712
00:35:44,190 --> 00:35:50,060
هنوز هم به طور بالقوه از دست JPEG خلاص شدن از شر
و اجرا it.k که PHP خطرناک است.

713
00:35:50,060 --> 00:35:53,850
شما نمی خواهید فرد قادر
برای اجرای کد در وب سایت شما.

714
00:35:53,850 --> 00:35:55,750
>> اما پس از آن. JPEG اجازه می دهد تا آن را منتقل می کند.

715
00:35:55,750 --> 00:36:00,720
ایده این است که آنچه شما واقعا می خواهید انجام دهید
است فایل ها، A. اما، OK، را ندارد چه

716
00:36:00,720 --> 00:36:07,500
شما واقعا می خواهید انجام دهید این است مطمئن شوید که
شما بیش از تمام دنیا به عنوان خوانده شده.

717
00:36:07,500 --> 00:36:08,720
و هیچ چیز وجود دارد. پی اچ پی در آن است.

718
00:36:08,720 --> 00:36:10,500
هیچ. پی اچ پی در وجود دارد
نام فایل کل.

719
00:36:10,500 --> 00:36:12,780
>> رسید اما شما می توانید از
قرار داده است. JPEG در پایان.

720
00:36:12,780 --> 00:36:15,830
سرور هنوز کد اجرا شود.

721
00:36:15,830 --> 00:36:16,870
>> لوچیانو آرانگو: نه، نه
در آغاز اجرا شود.

722
00:36:16,870 --> 00:36:22,310
شما باید به عقب برگردید و سعی کنید
برای دیدن اگر شما می توانید -

723
00:36:22,310 --> 00:36:24,210
>> یک مدعو: بنابراین ما به -

724
00:36:24,210 --> 00:36:26,020
OK، فقط مجموعه ای دیگر است که شامل -

725
00:36:26,020 --> 00:36:26,936
>> لوچیانو آرانگو: آره.

726
00:36:26,936 --> 00:36:29,230
>> تماشاچیان: OK.

727
00:36:29,230 --> 00:36:31,486
>> لوچیانو آرانگو: آره.

728
00:36:31,486 --> 00:36:31,900
OK.

729
00:36:31,900 --> 00:36:32,865
هر گونه سؤال دیگر؟

730
00:36:32,865 --> 00:36:33,180
OK.

731
00:36:33,180 --> 00:36:37,350
من قصد دارم به این ترک کردن و مرتب سازی
از امتحان کنید تا ببینید اگر شما بچه ها می تواند -

732
00:36:37,350 --> 00:36:40,490
آنهایی که یک کمی بیشتر
پیچیده چرا که آنها نیاز بسیار

733
00:36:40,490 --> 00:36:44,050
دانش بیشتر از SQL از تنها
دانش آغاز از وب SQL است و

734
00:36:44,050 --> 00:36:47,010
چه جاوا اسکریپت است.

735
00:36:47,010 --> 00:36:49,730
اما من قصد دارم به سعی کنید برای حفظ این رو،
و امیدوارم که شما بچه ها یاد خواهند گرفت

736
00:36:49,730 --> 00:36:53,230
در این مورد کنید و سعی کنید به زیرچشمی نگاه کردن در
آنچه شما می توانید انجام دهید و چگونه بسیاری از نمونه

737
00:36:53,230 --> 00:36:54,420
شما می توانید از طریق دریافت کنید.

738
00:36:54,420 --> 00:36:56,020
>> هر کسی هر گونه دیگر
سوالات در مورد آن؟

739
00:36:56,020 --> 00:36:59,387

740
00:36:59,387 --> 00:37:00,350
برو جلو.

741
00:37:00,350 --> 00:37:01,170
آره، ساقه، ساقه.

742
00:37:01,170 --> 00:37:01,580
آره، پیش بروید.

743
00:37:01,580 --> 00:37:01,850
برو جلو.

744
00:37:01,850 --> 00:37:02,310
>> تماشاچیان: OK.

745
00:37:02,310 --> 00:37:08,870
بنابراین من در مورد شنید که چگونه به نقل از سحر و جادو
ایمن کافی نیست.

746
00:37:08,870 --> 00:37:09,280
>> لوچیانو آرانگو: چه -

747
00:37:09,280 --> 00:37:10,110
نقل قول سحر و جادو؟

748
00:37:10,110 --> 00:37:10,595
>> یک مدعو: آره.

749
00:37:10,595 --> 00:37:15,445
پس از آن اضافه می کند - تا هر زمان که شما ورودی
چیزی، همیشه می افزاید: به نقل از.

750
00:37:15,445 --> 00:37:15,930
>> لوچیانو آرانگو: آره.

751
00:37:15,930 --> 00:37:16,000
آره.

752
00:37:16,000 --> 00:37:16,496
OK.

753
00:37:16,496 --> 00:37:19,113
>> رسید و پس از آن من هر چند که کار می کرد،
اما پس از آن من آن را جستجو کردن.

754
00:37:19,113 --> 00:37:21,648
و گفت که خوب نیست.

755
00:37:21,648 --> 00:37:23,050
اما من مطمئن هستم که چرا نیستم.

756
00:37:23,050 --> 00:37:23,360
>> لوچیانو آرانگو: آره.

757
00:37:23,360 --> 00:37:26,240
>> یک مدعو: آیا سحر و جادو نقل قول استفاده نمی کند،
چرا که آن را امن نیست.

758
00:37:26,240 --> 00:37:26,360
>> لوچیانو آرانگو: OK.

759
00:37:26,360 --> 00:37:31,735
نقل قول بنابراین سحر و جادو است که شما را وارد SQL
و آن را در حال حاضر می افزاید: از نقل قول برای شما.

760
00:37:31,735 --> 00:37:33,520
>> یک مدعو: همیشه اضافه می کند به نقل از
در اطراف هر آنچه که شما قرار داده اید.

761
00:37:33,520 --> 00:37:34,210
>> لوچیانو آرانگو: آره.

762
00:37:34,210 --> 00:37:37,190
بنابراین مشکل این است که -

763
00:37:37,190 --> 00:37:38,445
من نگاه می گیرم -

764
00:37:38,445 --> 00:37:41,390
>> یک مدعو: چگونه آن را به دست آوردن
بیانیه SQL؟

765
00:37:41,390 --> 00:37:44,690
یا من حدس می زنم آن را می تواند
مثل نقل قول انتخاب کنید.

766
00:37:44,690 --> 00:37:49,030
>> لوچیانو آرانگو: آره، شما نیاز دارید
نقل قول خوب برای SQL.

767
00:37:49,030 --> 00:37:52,900
>> یک مدعو: نه، اما این سرور
آن را برای شما.

768
00:37:52,900 --> 00:37:54,460
>> لوچیانو آرانگو: این نقل قول های کوچک
حق در اینجا، این نقل قول کمی؟

769
00:37:54,460 --> 00:37:55,670
>> یک مدعو: آره.

770
00:37:55,670 --> 00:37:56,450
>> لوچیانو آرانگو: آره.

771
00:37:56,450 --> 00:37:59,860
مشکل این است که شما می توانید
اظهار نظر از گذشته -

772
00:37:59,860 --> 00:38:05,770
OK، چه می توانم انجام دهم این است که من می تواند نظر
از - پس بیایید نگاهی - به من اجازه

773
00:38:05,770 --> 00:38:07,920
باز کردن یک فایل متن ویرایش.

774
00:38:07,920 --> 00:38:09,610
اجازه بدهید من این را ویرایش کنید
در اینجا به طور مستقیم.

775
00:38:09,610 --> 00:38:19,510

776
00:38:19,510 --> 00:38:20,400
OK.

777
00:38:20,400 --> 00:38:23,710
آیا می توانم به شما بچه ها می بینیم که به وضوح؟

778
00:38:23,710 --> 00:38:29,730
چه می توانم انجام دهم این است که من می تواند نظر
از یکی از آخرین.

779
00:38:29,730 --> 00:38:32,190
این اظهار نظر از یکی از آخرین.

780
00:38:32,190 --> 00:38:36,760
و پس از آن من در اینجا قرار دهید، قرار دادن
همه چیز مخرب است.

781
00:38:36,760 --> 00:38:39,840

782
00:38:39,840 --> 00:38:42,630
>> بنابراین کاربر در واقع
خواندن، درست است؟

783
00:38:42,630 --> 00:38:45,230
کاربر خواندن نمی
همه چیز، درست است؟

784
00:38:45,230 --> 00:38:47,430
این چیزی است که من قصد دارم به ورودی به عنوان
فرد در تلاش برای داخل.

785
00:38:47,430 --> 00:38:49,430
من قصد دارم برای قرار دادن در -

786
00:38:49,430 --> 00:38:59,290

787
00:38:59,290 --> 00:39:00,180
که یکی از علامت نقل قول است.

788
00:39:00,180 --> 00:39:01,760
این فقط پرپیچ وتاب ولول خور به اشتباه.

789
00:39:01,760 --> 00:39:15,080

790
00:39:15,080 --> 00:39:19,400
و سپس آنچه را که کد
است را به انجام -

791
00:39:19,400 --> 00:39:20,190
با عرض پوزش، من قصد دارم این است.

792
00:39:20,190 --> 00:39:22,170
چه کد است که برای انجام شده است
آن را به اضافه اولین

793
00:39:22,170 --> 00:39:24,030
نقل قول نشانه در اینجا.

794
00:39:24,030 --> 00:39:26,040
و آن را برای اضافه کردن آخرین
علامت نقل قول و همچنین.

795
00:39:26,040 --> 00:39:29,350

796
00:39:29,350 --> 00:39:33,270
>> و آن را نیز رفتن برای اضافه کردن
آخرین، آخرین علامت نقل قول.

797
00:39:33,270 --> 00:39:37,380
اما من اظهار نظر این نقل قول
نشانه کردن، به طوری که آنها را اجرا کنید.

798
00:39:37,380 --> 00:39:41,440
و من در پایان با نقل قول
علامت گذاری بیش از اینجا.

799
00:39:41,440 --> 00:39:42,290
آیا می دانید که؟

800
00:39:42,290 --> 00:39:43,750
آیا شما از دست داده؟

801
00:39:43,750 --> 00:39:45,880
من می توانم آخرین نقل قول نظر
علامت، و مراقبت از

802
00:39:45,880 --> 00:39:46,680
علامت نقل قول برای اولین بار.

803
00:39:46,680 --> 00:39:47,350
>> رسید و پایان تنها
یکی از اولین.

804
00:39:47,350 --> 00:39:47,480
>> لوچیانو آرانگو: آره.

805
00:39:47,480 --> 00:39:48,400
و فقط یکی از اولین به پایان برساند.

806
00:39:48,400 --> 00:39:48,790
بله، درست است.

807
00:39:48,790 --> 00:39:50,800
این چیزی است که من می تواند انجام دهد.

808
00:39:50,800 --> 00:39:51,890
آره.

809
00:39:51,890 --> 00:39:52,980
هر گونه سؤال دیگر که می خواهم؟

810
00:39:52,980 --> 00:39:54,230
این سئوال خوبی است.

811
00:39:54,230 --> 00:39:56,960

812
00:39:56,960 --> 00:39:59,790
نه، بله، شاید.

813
00:39:59,790 --> 00:40:06,150
امیدوارم، شما بچه ها مرتب سازی بر اساس موجب خواهد شد
حس تر زمانی که شما مطالعه SQL و

814
00:40:06,150 --> 00:40:06,650
چیزهایی مانند آن.

815
00:40:06,650 --> 00:40:07,980
اما مطمئن شوید که شما -

816
00:40:07,980 --> 00:40:10,340
نگه داشتن این ابزار در سازمان دیده بان.

817
00:40:10,340 --> 00:40:12,760
با عرض پوزش، این ابزار بیش از اینجا.

818
00:40:12,760 --> 00:40:14,200
این ابزار بزرگ است.

819
00:40:14,200 --> 00:40:17,190
اگر کسی هر گونه سوال،
شما همچنین می توانید به من ایمیل.

820
00:40:17,190 --> 00:40:19,020
این ایمیل عادی من است.

821
00:40:19,020 --> 00:40:25,015
و این ایمیل کار من است، که
زمانی است که من در SEAS کار می کنند.

822
00:40:25,015 --> 00:40:26,040
>> OK، به لطف.

823
00:40:26,040 --> 00:40:26,740
با تشکر از بچه ها.

824
00:40:26,740 --> 00:40:27,860
شما خوب به آن بروید.

825
00:40:27,860 --> 00:40:28,830
شما لازم نیست به ماندن در اینجا.

826
00:40:28,830 --> 00:40:29,570
آیا کف زدن نیست.

827
00:40:29,570 --> 00:40:30,170
که عجیب و غریب.

828
00:40:30,170 --> 00:40:31,420
OK، به لطف، بچه ها.

829
00:40:31,420 --> 00:40:32,320