1 00:00:00,000 --> 00:00:09,250 2 00:00:09,250 --> 00:00:10,300 >> LUCIANOアランゴ:[OK]を、みんな。 3 00:00:10,300 --> 00:00:11,550 私の名前はルチアーノアランゴです。 4 00:00:11,550 --> 00:00:13,915 私はアダムスハウス2年生です。 5 00:00:13,915 --> 00:00:17,550 そして、我々は話をしすることになるだろう Webセキュリティのアクティブ防御。 6 00:00:17,550 --> 00:00:24,220 だから私は情報局のために働く 海でのセキュリティ。 7 00:00:24,220 --> 00:00:28,670 そして夏の間、私は、インターン 情報だっSeguraTec、 8 00:00:28,670 --> 00:00:31,310 提供警備会社 コロンビアの銀行のために。 9 00:00:31,310 --> 00:00:34,740 私が学んだことは、ほとんどの 私はこれまで学んだこと。 10 00:00:34,740 --> 00:00:37,990 >> そして私たちはしている材料の一部 今日以上行くつもり、私たちはそうではありません 11 00:00:37,990 --> 00:00:39,670 本当にクラスでについて話しました。 12 00:00:39,670 --> 00:00:40,410 しかし、我々はすぐになります。 13 00:00:40,410 --> 00:00:42,360 これは、SQL、JavaScriptのようなものになるだろう。 14 00:00:42,360 --> 00:00:44,870 そして、我々は実際にそれを介して行っていない。 15 00:00:44,870 --> 00:00:47,730 だから私はそれを介して、飛行のようなものがあり、 あなたはいくつかのことを知らないかもしれない。 16 00:00:47,730 --> 00:00:48,890 しかし、すぐに、あなたはそれを学びます。 17 00:00:48,890 --> 00:00:52,080 そして、それはすべて意味があります。 18 00:00:52,080 --> 00:00:54,010 また、別のもの - 19 00:00:54,010 --> 00:00:55,780 倫理的に滞在。 20 00:00:55,780 --> 00:01:00,560 あなたが学ぶことのいくつかは、 非倫理的な方法で使用することができます。 21 00:01:00,560 --> 00:01:01,950 >> それはあなたなら、間違いなく試してみてください。 22 00:01:01,950 --> 00:01:04,500 私は間違いなくあなたたちのやる気を引き出す 独自のサーバーを試して、試して 23 00:01:04,500 --> 00:01:05,519 それらの中に行く。 24 00:01:05,519 --> 00:01:08,500 あなたがそれらを貫通することができるかどうかを確認し、 あなたがそれらの中に入ることができます。 25 00:01:08,500 --> 00:01:09,560 ではなく、誰か他の人の。 26 00:01:09,560 --> 00:01:12,390 COPSは本当にジョークが好きではないし、 全体は、ここではこれを置く。 27 00:01:12,390 --> 00:01:14,040 我々はいじりました。 28 00:01:14,040 --> 00:01:15,780 彼らは本当に怒る。 29 00:01:15,780 --> 00:01:18,700 >> だから、このウェブサイトへ向かう。 30 00:01:18,700 --> 00:01:23,560 私はそれがまさにここ開いた。 31 00:01:23,560 --> 00:01:26,780 これはウェブサイトであり、 例の束を持っています。 32 00:01:26,780 --> 00:01:30,000 何が起こることを最初の例である 並べ替えずっと楽になるだろう 33 00:01:30,000 --> 00:01:33,470 意味での最後の例よりも その最初の例 34 00:01:33,470 --> 00:01:34,970 完全に安全ではありません。 35 00:01:34,970 --> 00:01:40,850 そして最後の1は何の一種である 通常のWebセキュリティ担当者が行うだろう。 36 00:01:40,850 --> 00:01:42,760 しかし、あなたはまだ並べ替えることができます のそれを回避する。 37 00:01:42,760 --> 00:01:44,860 そして、我々は1に焦点をしようとしている および2、例1と2。 38 00:01:44,860 --> 00:01:49,880 39 00:01:49,880 --> 00:01:49,920 >> [OK]をクリックします。 40 00:01:49,920 --> 00:01:52,780 それでは、クロスサイトスクリプティングから始めましょう。 41 00:01:52,780 --> 00:01:56,100 JavaScriptを上で実行される クライアントのブラウザ。 42 00:01:56,100 --> 00:01:59,980 それは、使用するプログラミング言語です そのクライアントのブラウザ上で動作するように 43 00:01:59,980 --> 00:02:04,120 あなたがウェブサイトを更新する必要はありません してサーバにアクセスしてください。 44 00:02:04,120 --> 00:02:04,940 あなたはそれが実行されている。 45 00:02:04,940 --> 00:02:08,870 例えば、Facebookは、あなたが持っていない 新しいステータスのためのウェブサイトを再読み込みする 46 00:02:08,870 --> 00:02:09,710 アップデート考え出す。 47 00:02:09,710 --> 00:02:12,170 それが生成するJavaScriptを使っている これらすべてのこと。 48 00:02:12,170 --> 00:02:16,290 だから我々は、悪意のあるJavaScriptを注入することができます ウェブサイトへ。 49 00:02:16,290 --> 00:02:20,890 我々はリンクを送信し、そのように、 誰かが、私たちは、ソートのでそれを送ることができる 50 00:02:20,890 --> 00:02:23,050 私たちが望むコードの一部。 51 00:02:23,050 --> 00:02:26,450 >> 永続および非永続あります JavaScriptの - 52 00:02:26,450 --> 00:02:30,640 持続的かつ非持続的なクロスサイト スクリプティング、私は意味。 53 00:02:30,640 --> 00:02:33,760 との違いは、永続的であること れるJavaScriptです 54 00:02:33,760 --> 00:02:36,060 ウェブサイトに保存された。 55 00:02:36,060 --> 00:02:39,780 と非永続のJavaScriptになります それは実際には一度だけ発生します。 56 00:02:39,780 --> 00:02:41,795 それでは、例を見てみましょう 実際に素早く。 57 00:02:41,795 --> 00:02:45,660 58 00:02:45,660 --> 00:02:46,130 >> [OK]をクリックします。 59 00:02:46,130 --> 00:02:51,620 したがって、このウェブサイト、単純な、 何もここに起こりません。 60 00:02:51,620 --> 00:02:53,070 そして、我々はしようとするつもりだ いくつかのJavaScriptを挿入します。 61 00:02:53,070 --> 00:02:58,110 だから我々はJavaScriptを書き始める方法 我々は最初のスクリプトで起動されている。 62 00:02:58,110 --> 00:03:00,570 そして、我々はスクリプトを使用して、閉じます。 63 00:03:00,570 --> 00:03:03,770 我々は、単にメッセージを入れるつもりだ - 64 00:03:03,770 --> 00:03:05,410 私はあなたが表示されます - 65 00:03:05,410 --> 00:03:06,500 警告。 66 00:03:06,500 --> 00:03:11,150 アラートは、そのJavaScriptの機能です 何かを表示するために使用しています。 67 00:03:11,150 --> 00:03:12,400 それでは、実際に素早くそれを試してみましょう。 68 00:03:12,400 --> 00:03:15,600 69 00:03:15,600 --> 00:03:18,944 私は、警告こんにちは、行くつもりです。 70 00:03:18,944 --> 00:03:20,400 まあ、私は置くのを忘れて - 71 00:03:20,400 --> 00:03:24,510 72 00:03:24,510 --> 00:03:25,460 [OK]をクリックします。 73 00:03:25,460 --> 00:03:26,540 だから、簡単です。 74 00:03:26,540 --> 00:03:28,730 >> 我々は、ウェブサイト上でJavaScriptを置く それが登場しました。 75 00:03:28,730 --> 00:03:31,200 そして、それは一種ののみ発生 当社のウェブサイト上で、右? 76 00:03:31,200 --> 00:03:33,040 そうでないようなので、それはそうです 問題は、右? 77 00:03:33,040 --> 00:03:34,920 私が意味する、どのように使用することができます この悪意を持って? 78 00:03:34,920 --> 00:03:39,930 ハッカーがないようにする方法 これは本当に簡単です。 79 00:03:39,930 --> 00:03:40,970 彼らはそれをつかむつもりだ。 80 00:03:40,970 --> 00:03:43,750 彼らはあなたにこのリンクを送信することができます。 81 00:03:43,750 --> 00:03:46,780 私は今あなたにこのリンクを受けています場合は、 そしてあなたがそれを開いて、それがために起こっている 82 00:03:46,780 --> 00:03:51,620 私のウェブサイトと言って、こんにちは、と言う こんにちは、あなたを語っている。 83 00:03:51,620 --> 00:03:57,280 >> だから、私は何かaを言っていた場合は、 少し賢く、私はプルアップした場合 84 00:03:57,280 --> 00:03:59,880 JavaScriptの機能のI種 すでに書いた - 85 00:03:59,880 --> 00:04:03,940 あなたがそれを見ればしかし、私は行くよ 私はそれを書いた前にそれを上に。 86 00:04:03,940 --> 00:04:06,650 だから我々はタイムアウトを設定しようとしている。 87 00:04:06,650 --> 00:04:08,450 私たちは、のを待つつもりだ 数秒。 88 00:04:08,450 --> 00:04:13,970 実際には、我々は、次の場合を待つつもりだ 私は間違ってないんだけど、5秒。 89 00:04:13,970 --> 00:04:15,870 これはミリ秒単位になります。 90 00:04:15,870 --> 00:04:18,640 して、私たちがやろうとしていることは我々がしているである 警告しようとしてそのログイン 91 00:04:18,640 --> 00:04:21,459 再度ログインするタイムアウトになりました 92 00:04:21,459 --> 00:04:23,990 そして、我々は場所を変更しようとしている 別の場所に。 93 00:04:23,990 --> 00:04:30,370 94 00:04:30,370 --> 00:04:32,970 >> だから私は誰かにこのウェブサイトを送信する場合、 彼らはするつもりだ 95 00:04:32,970 --> 00:04:34,380 周りのブラウジング、穏やか。 96 00:04:34,380 --> 00:04:35,650 何も起こっていないだ。 97 00:04:35,650 --> 00:04:38,550 そして5秒で、それが起こっている と言って、あなたのログインがタイムアウトしました。 98 00:04:38,550 --> 00:04:40,200 ピンを見るにはログインしてください 99 00:04:40,200 --> 00:04:43,400 彼らは[OK]をクリックすると、私はするつもりだ 別のウェブサイトにそれらを取る。 100 00:04:43,400 --> 00:04:45,980 おそらく、ウェブサイトがために起こっている そのウェブサイトに類似している 101 00:04:45,980 --> 00:04:47,280 彼らは前にあった。 102 00:04:47,280 --> 00:04:50,770 そして、彼らは彼らを記録しようとしている 私のウェブサイトへの認証情報の代わりに、 103 00:04:50,770 --> 00:04:51,850 彼らのウェブサイト。 104 00:04:51,850 --> 00:04:54,780 >> そして私は人々に送ることができます このリンクを記載したメール。 105 00:04:54,780 --> 00:04:56,240 私は、ああ、ここではリンクの、と言う。 106 00:04:56,240 --> 00:04:57,290 これは、例えば、銀行である。 107 00:04:57,290 --> 00:05:01,390 私は、ここで言う、このリンクに行く。 108 00:05:01,390 --> 00:05:03,730 彼らはそれを送った後、彼らはしている 周り閲覧しようとして。 109 00:05:03,730 --> 00:05:07,560 私は15秒、20秒を待つことができ、 してから再度ログインしてくださいことをポップアップ表示 110 00:05:07,560 --> 00:05:08,840 再度サインオン。 111 00:05:08,840 --> 00:05:10,120 君たちはそれを試すことができます もっとたくさんの事。 112 00:05:10,120 --> 00:05:13,190 あなたたちだから複雑だ JavaScriptを見て、だから、かもしれません 113 00:05:13,190 --> 00:05:14,750 一部の機能を知らない。 114 00:05:14,750 --> 00:05:18,625 しかし、あなたがしなければならないすべてはスタートです スクリプトを使用して、スクリプトで終わる。 115 00:05:18,625 --> 00:05:22,105 116 00:05:22,105 --> 00:05:25,510 そして、あなたは何を置くことができ 真ん中に。 117 00:05:25,510 --> 00:05:27,350 >> アラートは機能であり、のを待ちます。 118 00:05:27,350 --> 00:05:29,365 ウィンドウの位置が表示されます 新しい場所に。 119 00:05:29,365 --> 00:05:31,370 しかし、あなたはそんなに多くを行うことができます。 120 00:05:31,370 --> 00:05:32,630 そしてそう考えはということです 我々はそれを脱ぐ。 121 00:05:32,630 --> 00:05:39,350 私は、例2に行けば、私 この同じコードを入れ、それはだ 122 00:05:39,350 --> 00:05:40,210 仕事に行くのではない。 123 00:05:40,210 --> 00:05:43,620 だから、あるため、すべてをプリントアウトだ 何このウェブサイトは、もともと 124 00:05:43,620 --> 00:05:50,350 私はここでは何も置かれている場合のない、 それはここにそれをプリントアウトします。 125 00:05:50,350 --> 00:05:52,390 だから、何もプリントアウトしないです。 126 00:05:52,390 --> 00:05:55,560 この例では、実際にチェックしています スクリプトがあるかどうかを確認します。 127 00:05:55,560 --> 00:05:57,163 そんなわけで、先に行く。 128 00:05:57,163 --> 00:05:57,606 掲載していません。 129 00:05:57,606 --> 00:05:59,560 >> 観客:送信していません GETまたはPOSTリクエスト? 130 00:05:59,560 --> 00:06:00,670 >> LUCIANOアランゴ:うん。彼らはしている get要求を送信する。 131 00:06:00,670 --> 00:06:01,350 >> 観客:これは? 132 00:06:01,350 --> 00:06:02,490 >> LUCIANOアランゴ:うん。 133 00:06:02,490 --> 00:06:04,030 また、ブラウザでは、POSTリクエストを使用しています。 134 00:06:04,030 --> 00:06:07,470 しかし、私は、GET要求を表示しようとしている 私たちは、あるものを見ることができるように 135 00:06:07,470 --> 00:06:10,760 実際に起こっている。 136 00:06:10,760 --> 00:06:12,880 だから我々は、このコードを見ると - ので、それはもう仕事ではない。 137 00:06:12,880 --> 00:06:24,870 そして、我々は、このコードを見てみると、 それは例2になるだろう。 138 00:06:24,870 --> 00:06:29,300 この人は何をしているか、人 このブラウザを担当 - 139 00:06:29,300 --> 00:06:35,370 [OK]を、開く - 140 00:06:35,370 --> 00:06:39,290 ワードスクリプトを置き換えています。 141 00:06:39,290 --> 00:06:42,850 これは、PHPで、その君たちがしれない まだ少しを見てきました。 142 00:06:42,850 --> 00:06:46,250 >> 彼はただの置き換わる 単語のスクリプト名を持つ。 143 00:06:46,250 --> 00:06:50,895 しかし、私が先に行く場合は、 わずかに入れ - 144 00:06:50,895 --> 00:06:58,520 145 00:06:58,520 --> 00:07:02,360 私は再び自分のコードをつかむ、私は行くよ場合には 少しだけ、それを変更します。 146 00:07:02,360 --> 00:07:15,010 スクリプトではなく、私は変更するつもりだ 資本R.としたスクリプトのこと 147 00:07:15,010 --> 00:07:16,390 私たちは、このコードが動作するかどうかを確認するつもりだ。 148 00:07:16,390 --> 00:07:19,090 だから、それを印刷しませんでした これは良い兆候です。 149 00:07:19,090 --> 00:07:21,990 うまくいけば2秒以上において、 それがポップアップするだろう。 150 00:07:21,990 --> 00:07:22,820 >> あなたのログインがタイムアウトしました。 151 00:07:22,820 --> 00:07:23,210 [OK]をクリックします。 152 00:07:23,210 --> 00:07:24,460 どう致しまして。 153 00:07:24,460 --> 00:07:27,670 ように、スクリプトをチェックするかもしれない 必ずしも機能しない。 154 00:07:27,670 --> 00:07:28,130 人 - 155 00:07:28,130 --> 00:07:32,290 それはまた、スクリプト大文字をチェックすることができ、 スクリプト小文字、STRケース 156 00:07:32,290 --> 00:07:34,180 比較は、同じしていることを確認します。 157 00:07:34,180 --> 00:07:38,480 しかし、ハッカーは、まだ何の並べ替えを行うことができます 我々は移動したとき、我々はヴィジュネルでやった 158 00:07:38,480 --> 00:07:40,620 バックカップルの文字、 前進する。 159 00:07:40,620 --> 00:07:43,470 そしてそれは、スクリプトを配置する方法を把握することができます 戻ってそこにある、それが注入できるようにし 160 00:07:43,470 --> 00:07:44,460 そのスクリプト。 161 00:07:44,460 --> 00:07:50,370 >> それで、あなたは利用したい データを元に戻してある 162 00:07:50,370 --> 00:07:51,330 あなたのウェブサイトを保護します。 163 00:07:51,330 --> 00:07:56,490 そしてこれが何をするかは、それが作るです 何があなたがに入れていることを確認してください - 164 00:07:56,490 --> 00:07:59,610 例えば、引用するか、この - より大きいまたは小さい 165 00:07:59,610 --> 00:08:04,701 何かで置換されている それはされません - 166 00:08:04,701 --> 00:08:05,951 私はここに拡大しましょう​​ - 167 00:08:05,951 --> 00:08:08,730 168 00:08:08,730 --> 00:08:09,685 実際のアンパサンド。 169 00:08:09,685 --> 00:08:13,420 それは、これらの特殊なHTMLを置き換えます 私たちがしているときに我々が表示されます文字 170 00:08:13,420 --> 00:08:14,670 の話 - 171 00:08:14,670 --> 00:08:18,635 172 00:08:18,635 --> 00:08:20,740 ああ、これは背中に私を取るために起こっている - 173 00:08:20,740 --> 00:08:24,220 174 00:08:24,220 --> 00:08:25,380 右こここれらの文字。 175 00:08:25,380 --> 00:08:28,180 >> これらは、何かを意味 来ています。 176 00:08:28,180 --> 00:08:31,570 HTML、その始まるブラケットについて を教えてくれるというもの 177 00:08:31,570 --> 00:08:33,299 関連するHTMLが来ています。 178 00:08:33,299 --> 00:08:33,980 そして、我々はそれを取り除きたい。 179 00:08:33,980 --> 00:08:36,200 我々はにHTMLを置きたくない 我々は、ユーザがしたくないwebsite.k 180 00:08:36,200 --> 00:08:40,260 彼らのウェブサイトで何かを置くことができる それは次のように、彼らのウェブサイトに影響を与えることができる 181 00:08:40,260 --> 00:08:43,480 スクリプトやHTMLまたはそのような何か。 182 00:08:43,480 --> 00:08:53,090 重要なのは、そのあなたです ユーザー入力をサニタイズ。 183 00:08:53,090 --> 00:08:54,720 >> だから、ユーザーが入力多くのことをことがあります。 184 00:08:54,720 --> 00:08:58,110 彼は、入力しようとするものの束をすることができ まだにブラウザをだまして 185 00:08:58,110 --> 00:08:59,410 このスクリプトコードを実行している。 186 00:08:59,410 --> 00:09:02,870 何をやってみたいことは見てばかりではありません スクリプトが、すべてを探して 187 00:09:02,870 --> 00:09:04,250 つまり、悪意がある可能性があります。 188 00:09:04,250 --> 00:09:06,800 そしてデータを元に戻していただきますことを あなたのためで登録して、持っていない 189 00:09:06,800 --> 00:09:07,340 それを心配する。 190 00:09:07,340 --> 00:09:12,280 しかし、自分でやろうとしないでください 独自のコードでのソート。 191 00:09:12,280 --> 00:09:14,055 誰もがXSSに関する明確ですか? 192 00:09:14,055 --> 00:09:14,370 >> [OK]をクリックします。 193 00:09:14,370 --> 00:09:16,355 のSQLインジェクションに行きましょう。 194 00:09:16,355 --> 00:09:21,010 ため、SQLインジェクションと考えられる ナンバー1の脆弱性 195 00:09:21,010 --> 00:09:22,490 異なるウェブサイトにある。 196 00:09:22,490 --> 00:09:24,350 私は、良い例を意味する - 197 00:09:24,350 --> 00:09:27,350 私は遠くに研究していた この事のために。 198 00:09:27,350 --> 00:09:34,430 そして、私はこの素晴らしい記事を、見つけた場所 私はハーバード大学が破られたことを見て、 199 00:09:34,430 --> 00:09:35,390 ハッキングされた。 200 00:09:35,390 --> 00:09:37,370 そして、私はよく、思っていた、 彼らはそれをどのように行うのでしょうか? 201 00:09:37,370 --> 00:09:41,660 ハーバード大学の最も素晴らしい、最も これまでの大学を確保。 202 00:09:41,660 --> 00:09:43,850 右? 203 00:09:43,850 --> 00:09:45,410 さて、サーバを侵​​害する、 ハッカーが使用 204 00:09:45,410 --> 00:09:47,710 SQLインジェクションと呼ばれる手法。 205 00:09:47,710 --> 00:09:50,250 >> だから、これは日常的にに発生します。 206 00:09:50,250 --> 00:09:53,590 人々は考慮に入れることを忘れ SQLインジェクションのため。 207 00:09:53,590 --> 00:09:54,930 ハーバード大学はありません。 208 00:09:54,930 --> 00:10:00,050 私は、それがプリンストン、ここに言うと思う スタンフォード、コーネル。 209 00:10:00,050 --> 00:10:03,550 では、どのように我々は - ので、このSQLは何ですか これらすべてをもたらしているの注射 210 00:10:03,550 --> 00:10:05,668 人々ダウン? 211 00:10:05,668 --> 00:10:08,010 [OK]をクリックします。 212 00:10:08,010 --> 00:10:12,090 だから、SQLはプログラミング言語であること 我々は、データベースにアクセスするために使用する。 213 00:10:12,090 --> 00:10:14,560 私たちがやっていることは我々が選択している - 214 00:10:14,560 --> 00:10:18,510 それでは、これが今読み取ることは選択である テーブルからすべて。 215 00:10:18,510 --> 00:10:22,640 >> SQLは、これらのデータベースに変化 それは、情報の完全なテーブルがあります。 216 00:10:22,640 --> 00:10:26,550 だから、ユーザーからすべてを選択 名前はユーザー名です。 217 00:10:26,550 --> 00:10:28,120 右? 218 00:10:28,120 --> 00:10:30,770 十分に簡単。 219 00:10:30,770 --> 00:10:34,490 SQLインジェクションの考え方は、私たち 一部の悪質なコードを挿入することだろう 220 00:10:34,490 --> 00:10:37,270 何かを実行しているにサーバをだます それは何よりも異なる 221 00:10:37,270 --> 00:10:38,430 もともと走っていた。 222 00:10:38,430 --> 00:10:44,970 それでは、ユーザー名のために言わせて、 我々は中に入れたり、1は1に等しい。 223 00:10:44,970 --> 00:10:46,700 だから我々は中に入れたり、1は1に等しい。 224 00:10:46,700 --> 00:10:49,890 それが今読んで方法が選択されます ユーザーは、すべてのものからから 225 00:10:49,890 --> 00:10:51,360 ユーザーは - これがすべてです - 226 00:10:51,360 --> 00:10:55,880 名前はユーザー名ですが、ここで ユーザ名であるか、または1は1に等しい。 227 00:10:55,880 --> 00:11:01,760 >> だから、名前は何もないか、1は1に等しい。 228 00:11:01,760 --> 00:11:04,060 1 1は常に真であると等しい。 229 00:11:04,060 --> 00:11:07,690 だから、これは常に情報を返します ユーザーから。 230 00:11:07,690 --> 00:11:08,100 [OK]をクリックします。 231 00:11:08,100 --> 00:11:10,030 我々は持っている必要はありません 正しいユーザ名。 232 00:11:10,030 --> 00:11:14,240 私達はちょうど私達が望むものを持つことができ、 それは情報を返します 233 00:11:14,240 --> 00:11:15,690 我々が必要とする。 234 00:11:15,690 --> 00:11:17,160 別の例を見てみましょう。 235 00:11:17,160 --> 00:11:22,720 >> 我々は、ユーザーからすべてを選択した場合は、 名前は、DROP TABLEのユーザーです - 236 00:11:22,720 --> 00:11:26,420 それで、あなたはどう思いますか、この意志 私はユーザー名を入れた場合の対処 237 00:11:26,420 --> 00:11:29,560 DROP TABLEのユーザーと? 238 00:11:29,560 --> 00:11:30,230 誰もがアイデアを持っている? 239 00:11:30,230 --> 00:11:31,050 はい。 240 00:11:31,050 --> 00:11:32,470 >> 観客:それは言うつもりだ それがすべてのテーブルをダンプする。 241 00:11:32,470 --> 00:11:35,460 >> LUCIANOアランゴ:それは私たちに伝えるために起こっている サイト内のすべてをダンプするには 242 00:11:35,460 --> 00:11:38,290 データベース内のすべてのもの。 243 00:11:38,290 --> 00:11:41,910 そして、何人がこれを使って - ので、 私はあなたたちを紹介します。 244 00:11:41,910 --> 00:11:45,462 私はテーブルの削除に無効 私はあなたを望んでいなかったので、 245 00:11:45,462 --> 00:11:48,240 みんな私の表を削除します。 246 00:11:48,240 --> 00:11:49,850 のは、このを見てみましょう。 247 00:11:49,850 --> 00:11:54,410 だから、これは単純に情報をプルアップ 特定の人のために。 248 00:11:54,410 --> 00:11:57,550 これがもしそうならどのように我々は知っている SQLインジェクションの影響を受けません。 249 00:11:57,550 --> 00:12:01,545 我々は本当の簡単なチェックするつもりだ 我々は何かを置くことができれば - 250 00:12:01,545 --> 00:12:04,990 251 00:12:04,990 --> 00:12:06,080 私は、このコードをコピーしてみましょう。 252 00:12:06,080 --> 00:12:08,140 私は2番目にその上に行くつもりです。 253 00:12:08,140 --> 00:12:12,210 私は根を置くつもりだし、1は1に等しい。 254 00:12:12,210 --> 00:12:15,510 >> ここでこの権利は、この パーセント記号23 - 255 00:12:15,510 --> 00:12:19,970 それが本当に何なのか、もし私 で右ここを見て - 256 00:12:19,970 --> 00:12:23,820 もしあればHTMLは、数字を取り込み方法 私はスペースに置くときを見てみましょう 257 00:12:23,820 --> 00:12:28,380 ここ - 私は宇宙に何かした場合 ここでは、2%に変更されます。 258 00:12:28,380 --> 00:12:31,420 あなたたちは、ここでこの権利を見ますか? 私はスペースに入れると? 259 00:12:31,420 --> 00:12:36,710 それが動作する方法は、あなたが唯一できることです HTMLの文字のASCII値を送信します。 260 00:12:36,710 --> 00:12:40,330 だから、例えば、置き換え 20%ある空間。 261 00:12:40,330 --> 00:12:41,970 私がわからない場合はあなたたち 前に見てきました。 262 00:12:41,970 --> 00:12:45,100 >> これは、パーセント23でハッシュタグに置き換えられます。 263 00:12:45,100 --> 00:12:50,840 私たちは、以上の最後にハッシュタグが必要です 声明私たちが知ることができるように 264 00:12:50,840 --> 00:13:00,885 コメントアウトすることを忘れするためのデータベース 最後に、この最後のセミコロン。 265 00:13:00,885 --> 00:13:03,060 我々はそれがそれについて考えていませんします。 266 00:13:03,060 --> 00:13:05,980 私達はちょうどそれがすべてを実行したい 私たちは、事前に持っていることを 267 00:13:05,980 --> 00:13:07,450 それをコメントアウトします。 268 00:13:07,450 --> 00:13:08,710 のは、それを見てみましょう。 269 00:13:08,710 --> 00:13:14,670 >> 私が何か間違ったことを入れていたのであれば - のは、たとえば言わせて、私は2等号を入れる 270 00:13:14,670 --> 00:13:15,690 1、それは私に何も与えていません。 271 00:13:15,690 --> 00:13:22,930 私は1に入れたときに1に等しく、それはありません 何かを返し、これが私に語ったこと 272 00:13:22,930 --> 00:13:24,660 これはに対して脆弱です SQLインジェクション。 273 00:13:24,660 --> 00:13:29,090 私は、今では何でも知っている 私は、この後に入れる - 274 00:13:29,090 --> 00:13:39,110 例えば、テーブルをドロップ またはそのような何か 275 00:13:39,110 --> 00:13:41,190 間違いなく動作します。 276 00:13:41,190 --> 00:13:44,350 私はそれが、SQLインジェクションの脆弱性を知っている 私が知っているので 277 00:13:44,350 --> 00:13:49,850 ボンネットの下に、それはさせるだ 私は1を行う1のものに相当します。 278 00:13:49,850 --> 00:13:51,100 OK? 279 00:13:51,100 --> 00:13:53,950 280 00:13:53,950 --> 00:13:56,540 >> そして、我々は、これらの他のものを見れば、 番号2と番号3、それはだ 281 00:13:56,540 --> 00:13:59,110 もう少しやろうとし 下にチェックする 282 00:13:59,110 --> 00:14:03,680 それが何であるかのフード。 283 00:14:03,680 --> 00:14:07,425 だから誰もがドロップを可能にする まだ何かしようとした? 284 00:14:07,425 --> 00:14:08,760 あなたたちは一種のさらにSQL​​を取得するのですか? 285 00:14:08,760 --> 00:14:10,430 私が知っているので、あなたたちはそうではありません まだ見たので、それは一種のだ 286 00:14:10,430 --> 00:14:11,759 あなたたちのために混乱。 287 00:14:11,759 --> 00:14:16,160 288 00:14:16,160 --> 00:14:18,480 それでは見てみましょう。 289 00:14:18,480 --> 00:14:21,270 そうSQLIを防ぐための方法は何ですか? 290 00:14:21,270 --> 00:14:21,390 [OK]をクリックします。 291 00:14:21,390 --> 00:14:23,330 だから、これはあなたので、本当に重要である 男は間違いないようにしたい 292 00:14:23,330 --> 00:14:24,090 このウェブサイトにある。 293 00:14:24,090 --> 00:14:28,040 >> そうでない場合は、すべてのあなたの友人がしようとしている 彼らはすべてのドロップすると、あなたをからかう 294 00:14:28,040 --> 00:14:29,390 あなたのテーブル。 295 00:14:29,390 --> 00:14:36,150 だから、アイデアを使用すると、SQLを修復することである 特定の方法では、一致するのに対し、 296 00:14:36,150 --> 00:14:41,940 現在の状況でユーザが入力 特定の文字列。 297 00:14:41,940 --> 00:14:46,120 だから、これが動作する方法はあなたです データベースを準備します。 298 00:14:46,120 --> 00:14:50,830 あなたは、名前、色、およびカロリーを選択 データベースと呼ばれる果実から。 299 00:14:50,830 --> 00:14:53,580 次いでカロリー未満である場合 そして我々はそこに疑問符を置く 300 00:14:53,580 --> 00:14:56,530 我々は、入力しようとしていると言って 第二に何か。 301 00:14:56,530 --> 00:14:58,850 >> そして色は等しく、我々は質問する マークは、我々はするつもりだと言って 302 00:14:58,850 --> 00:15:00,913 入力秒間に何にも。 303 00:15:00,913 --> 00:15:02,660 OK? 304 00:15:02,660 --> 00:15:09,920 そして、我々は入れて、それを実行 150赤で。 305 00:15:09,920 --> 00:15:12,820 そして、これは作るためにチェックします 必ずこれらの2という - 306 00:15:12,820 --> 00:15:15,300 この配列は、これらのことをチェックします 2は整数であり、 307 00:15:15,300 --> 00:15:16,550 これは文字列であること。 308 00:15:16,550 --> 00:15:18,810 309 00:15:18,810 --> 00:15:20,890 その後、我々は移動し、我々はフェッチ すべて、私たちは赤に入れて。 310 00:15:20,890 --> 00:15:21,964 それは我々がすべてのフェッチを意味します。 311 00:15:21,964 --> 00:15:26,790 それは我々が実際にSQLを実行することを意味 文と赤で、それを戻す。 312 00:15:26,790 --> 00:15:30,530 ここでは、同じことをするが、私たち 黄色のために同じことをする。 313 00:15:30,530 --> 00:15:32,490 そして、我々はすべてを取得。 314 00:15:32,490 --> 00:15:36,140 >> そして、このように、我々は、ユーザを防ぐ 入力に何かすることができるから 315 00:15:36,140 --> 00:15:41,710 それは我々が指定したものを、文字列ではありません または整数、例えば。 316 00:15:41,710 --> 00:15:45,100 317 00:15:45,100 --> 00:15:46,610 私は約それ以前話していた 他人に頼る。 318 00:15:46,610 --> 00:15:50,010 あなたたちは、あなたのプロジェクトを起動すると、している 最も確実に使用する予定 319 00:15:50,010 --> 00:15:52,310 ブートストラップまたは似たような。 320 00:15:52,310 --> 00:15:53,490 あなたたちは今までのWordpressを使用することがありますか? 321 00:15:53,490 --> 00:15:57,170 おそらく皆さんが使用している Wordpressの最も可能性が高い。 322 00:15:57,170 --> 00:16:00,050 だから、使用する場合の問題 他の人のもの - 323 00:16:00,050 --> 00:16:05,940 私はGoogleの本当のクイックに行くよ Wordpressの脆弱性。 324 00:16:05,940 --> 00:16:07,495 >> 私は今、このプルアップした場合 - 325 00:16:07,495 --> 00:16:08,995 私は、文字通り2秒のGoogleをしました。 326 00:16:08,995 --> 00:16:12,300 327 00:16:12,300 --> 00:16:13,800 我々は、Wordpressのを見ることができます - 328 00:16:13,800 --> 00:16:17,450 これは、9月'12として付けている。 329 00:16:17,450 --> 00:16:19,120 26が更新されます。 330 00:16:19,120 --> 00:16:23,620 Wordpressのデフォルトのコンフィギュレーション 3.6前に、これらを防ぐことはできません 331 00:16:23,620 --> 00:16:27,110 特定のアップロード、そのマイト それが簡単のために作る 332 00:16:27,110 --> 00:16:29,790 クロスサイトスクリプティング攻撃。 333 00:16:29,790 --> 00:16:34,530 非常に速く物語は、かつて私たちは働いていた と - 私は働いて、夏になりました 334 00:16:34,530 --> 00:16:34,970 インターンシップ。 335 00:16:34,970 --> 00:16:40,400 そして、我々は一種で作業していた 大クレジットカード会社などである。 336 00:16:40,400 --> 00:16:42,020 >> そして、彼らはと呼ばれるものに依存している - 337 00:16:42,020 --> 00:16:45,740 皆さんが今までプレイした場合、私は知らない Joomlaのと呼ばれる製品で。 338 00:16:45,740 --> 00:16:51,750 Joomlaのに使用されている製品です コントロール - に並べ、同様の 339 00:16:51,750 --> 00:16:54,340 WordPressは、ウェブサイトを構築するために使用。 340 00:16:54,340 --> 00:16:56,060 そこで、彼らは彼らのウェブサイトを持っていた Joomlaのに取り組んで。 341 00:16:56,060 --> 00:16:59,290 これは実際にクレジットカードです コロンビアの会社。 342 00:16:59,290 --> 00:17:01,000 私は彼らのページへ移動します ウェブサイト実際に素早く。 343 00:17:01,000 --> 00:17:04,550 344 00:17:04,550 --> 00:17:05,400 >> そこで、彼らはJoomlaのを使用していました。 345 00:17:05,400 --> 00:17:08,630 そして、彼らはJoomlaの更新していなかった 最新の追加に。 346 00:17:08,630 --> 00:17:12,160 そして私たちはを見てみたところ そのコードは、私たちは実際にことができました 347 00:17:12,160 --> 00:17:18,430 自分のコードの中に移動し、すべての盗む 彼らが持っていたクレジットカード情報、 348 00:17:18,430 --> 00:17:21,670 すべてのクレジットカード番号、 名前、住所。 349 00:17:21,670 --> 00:17:22,740 そして、これはただだった - 350 00:17:22,740 --> 00:17:23,569 そして彼らのコードは完全に大丈夫だった。 351 00:17:23,569 --> 00:17:24,710 彼らは偉大なコードを持っていた。 352 00:17:24,710 --> 00:17:25,389 これは、すべてのセキュリティだった。 353 00:17:25,389 --> 00:17:26,520 彼らは、すべてのデータベースを確認した。 354 00:17:26,520 --> 00:17:29,020 彼らは、クロスサイトを確認しました スクリプトは大丈夫だった。 355 00:17:29,020 --> 00:17:34,390 >> しかし、彼らはありませんでした何かを使用 更新された、それは安全ではありませんでした。 356 00:17:34,390 --> 00:17:36,940 そしてそうにそれらを導いたこと - そうあなたたち 間違いなく、他のを使用しようとしている 357 00:17:36,940 --> 00:17:40,650 人のコード、他の人々のフレームワーク あなたのウェブサイトを構築する。 358 00:17:40,650 --> 00:17:43,860 彼らがいるため、セキュアだということを確認してください 時にはそれはあなた、1ではありません 359 00:17:43,860 --> 00:17:44,480 間違え。 360 00:17:44,480 --> 00:17:47,440 しかし、他の誰かが間違いを作り、 あなたはそのために落下。 361 00:17:47,440 --> 00:17:51,190 362 00:17:51,190 --> 00:17:53,885 >> パスワードとPII。 363 00:17:53,885 --> 00:17:56,820 パスワードはそう。 364 00:17:56,820 --> 00:17:58,070 [OK]をクリックします。 365 00:17:58,070 --> 00:17:59,980 366 00:17:59,980 --> 00:18:04,230 のパスワードを見てみましょう 実際に素早く。 367 00:18:04,230 --> 00:18:04,590 [OK]をクリックします。 368 00:18:04,590 --> 00:18:06,520 私にそのすべての人を教えてください 安全な使用しています - 369 00:18:06,520 --> 00:18:09,030 私はここで皆を願っています 安全なパスワードを使用しています。 370 00:18:09,030 --> 00:18:12,890 私はちょうどそれをさせるよ 仮定として中。 371 00:18:12,890 --> 00:18:14,850 だから、あなたたちは間違いなくしようとしている あなたのウェブサイトのパスワードを保存します。 372 00:18:14,850 --> 00:18:17,440 あなたのような何かをするつもりだ そのようなログインまたは何か。 373 00:18:17,440 --> 00:18:19,610 重要なのは保管しないことです プレーンテキストでパスワードを設定します。 374 00:18:19,610 --> 00:18:20,860 これは非常に重要である。 375 00:18:20,860 --> 00:18:23,960 あなたが保存したくない プレーンテキストのパスワード。 376 00:18:23,960 --> 00:18:27,370 >> そして、あなたは間違いなく本当にしたくない 一方向ハッシュに格納する。 377 00:18:27,370 --> 00:18:32,440 それでは、1方向ハッシュは、あるときに これを入れると、単語を生成する 378 00:18:32,440 --> 00:18:36,200 ハッシュ関数への言葉、それは意志 不可解なのいくつかの並べ替えをバック生成 379 00:18:36,200 --> 00:18:39,390 メッセージやキーの暗号のようなセット。 380 00:18:39,390 --> 00:18:40,640 私はあなたの例を紹介します。 381 00:18:40,640 --> 00:18:44,620 382 00:18:44,620 --> 00:18:50,250 私は、彼らの単語パスワード1をハッシュするつもりです。 383 00:18:50,250 --> 00:18:55,280 だから、MD5ハッシュは私を返すために起こっている 変な情報のいくつかの並べ替え。 384 00:18:55,280 --> 00:18:59,140 >> 問題は、人々のそこにある それは、持っているウェブサイトに行くのが好き 385 00:18:59,140 --> 00:19:02,750 すでにソート考え出し すべてのMD5ハッシュの。 386 00:19:02,750 --> 00:19:06,030 彼らがやったことは、彼らは彼らの上に座っている コンピュータ、およびそれらすべてのハッシュ化 387 00:19:06,030 --> 00:19:09,660 そこに一つの可能​​性の単語まで、 彼らはこれが何であるかのようなものを得ました。 388 00:19:09,660 --> 00:19:11,420 私はこれを検索した場合 - 389 00:19:11,420 --> 00:19:12,420 私はこのハッシュを手にした。 390 00:19:12,420 --> 00:19:14,120 私がこのハッシュを取得した場合 - 391 00:19:14,120 --> 00:19:17,470 私は、ウェブサイトに行き、私が発見した場合 このハッシュ私はに行くので、 392 00:19:17,470 --> 00:19:24,100 データベース、私はそれを見て、誰か すでに私のためにそれを考え出した。 393 00:19:24,100 --> 00:19:28,600 394 00:19:28,600 --> 00:19:29,100 >> うん。 395 00:19:29,100 --> 00:19:35,030 だから、人々が座って、そしてどのようなMD5 あなたが入れたハッシュは、彼らがしようとしている 396 00:19:35,030 --> 00:19:37,760 あなたに戻って何か それは言葉である。 397 00:19:37,760 --> 00:19:39,800 私のような、別の単語をハッシュした場合 - 398 00:19:39,800 --> 00:19:42,410 私は知らない - 399 00:19:42,410 --> 00:19:43,490 trees2。 400 00:19:43,490 --> 00:19:46,050 私が失望されないようにする 私のGoogle検索による。 401 00:19:46,050 --> 00:19:49,820 402 00:19:49,820 --> 00:19:52,780 そこには、trees2です。 403 00:19:52,780 --> 00:19:55,930 だから、多くのウェブサイト まだMD5ハッシュを使用しています。 404 00:19:55,930 --> 00:19:57,730 彼らはああ、それは安全です、と言う。 405 00:19:57,730 --> 00:19:58,570 私たちは、プレーンテキストで保存していない。 406 00:19:58,570 --> 00:19:59,740 我々は、このMD5ハッシュを持っている。 407 00:19:59,740 --> 00:20:01,880 そして、私がしなければならないすべてはちょうどです 番号をグーグル。 408 00:20:01,880 --> 00:20:03,940 >> 私も自分自身を計算する必要はありません。 409 00:20:03,940 --> 00:20:06,790 私はそれをグーグルしてくれる人 すでに私のためにそれをやった。 410 00:20:06,790 --> 00:20:08,010 ここではそれらの束です。 411 00:20:08,010 --> 00:20:09,260 ここでは、パスワードの束です。 412 00:20:09,260 --> 00:20:13,890 413 00:20:13,890 --> 00:20:18,680 だから、間違いなくMD5ハッシュを使用していない、 あなたが持っているすべてをするために 414 00:20:18,680 --> 00:20:19,140 やるGoogleはある。 415 00:20:19,140 --> 00:20:20,390 それで、あなたが代わりに使用しますか? 416 00:20:20,390 --> 00:20:29,340 417 00:20:29,340 --> 00:20:30,170 [OK]をクリックします。 418 00:20:30,170 --> 00:20:31,260 塩析と呼ばれるもの。 419 00:20:31,260 --> 00:20:32,460 だから何塩漬けです - 420 00:20:32,460 --> 00:20:36,280 私達がいたとき、皆さんは覚えていますか 内のランダムの話 - 421 00:20:36,280 --> 00:20:37,920 私はそれが何だったかPSETはよく分からない - 422 00:20:37,920 --> 00:20:41,140 そこPSETまたは4でしたか? 423 00:20:41,140 --> 00:20:45,150 >> 我々は見つけることについて話していた 干し草の山の中の針。 424 00:20:45,150 --> 00:20:48,480 とPSETで、それはあなたが可能性があるという 実際にどのようなランダムな把握 425 00:20:48,480 --> 00:20:51,840 誰かがすでに実行されただから生成 ランダム万回だけ 426 00:20:51,840 --> 00:20:53,230 並べ替えそれらが生成するものを形成した。 427 00:20:53,230 --> 00:20:55,840 何をやってみたいことはある 入力中に置く。 428 00:20:55,840 --> 00:20:57,130 だから、つまり一種の塩析ものだ。 429 00:20:57,130 --> 00:21:00,900 彼らはすでに塩析何を考え出し 各作業のために返されます。 430 00:21:00,900 --> 00:21:04,750 >> それでは、塩漬けしている あなたは、塩を入れ。 431 00:21:04,750 --> 00:21:06,160 あなたは、特定の単語に置く。 432 00:21:06,160 --> 00:21:09,720 そして、それは応じてその単語をハッシュします あなたがここに入れるかについて。 433 00:21:09,720 --> 00:21:13,570 だから私はこれでパスワード1をハッシュした場合 文、ハッシュになるだろう 434 00:21:13,570 --> 00:21:17,180 私はパスワード1ハッシュ異なっている場合 異なる文で。 435 00:21:17,180 --> 00:21:21,670 それは一種のどこかに与える 開始するハッシュに開始します。 436 00:21:21,670 --> 00:21:25,970 だから、あなたは、計算が多くの困難だが、 それでも、特に、それを計算することができます 437 00:21:25,970 --> 00:21:26,830 あなたが悪いの塩を使用した場合。 438 00:21:26,830 --> 00:21:29,650 >> 人々はすでにも考え出した 一般的な塩と考え出し 439 00:21:29,650 --> 00:21:31,500 それがあることをどのような。 440 00:21:31,500 --> 00:21:34,980 ランダムな塩は、はるかに優れている、 しかし、最善の方法は、使用することです 441 00:21:34,980 --> 00:21:38,160 暗号と呼ばれるもの。 442 00:21:38,160 --> 00:21:40,480 そして、何のcryptあなたがすることができます ので、これらの機能は - ん 443 00:21:40,480 --> 00:21:41,820 既にあなたのために構築された。 444 00:21:41,820 --> 00:21:44,910 多くの人々はそれを忘れてしまったり、 彼らはそれを使用することを忘れ。 445 00:21:44,910 --> 00:21:54,520 しかし、私は地下室、PHP、地下室を見れば すでに私のためにハッシュ文字列を返します。 446 00:21:54,520 --> 00:21:58,790 そしてそれは実際にそれを何度も塩 それを何度もハッシュする。 447 00:21:58,790 --> 00:22:00,070 >> だから我々はこれを行う必要はありません。 448 00:22:00,070 --> 00:22:04,790 だからしてください。操作は 地下室にそれを送信します。 449 00:22:04,790 --> 00:22:08,170 そして、それはなしに偉大なハッシュを作成します あなたは、塩を気にすること 450 00:22:08,170 --> 00:22:08,990 か何か。 451 00:22:08,990 --> 00:22:12,000 あなたは、塩にされた場合、あなたが持っているので、 あなたは何を使用される塩覚えておく 452 00:22:12,000 --> 00:22:13,800 そうでない場合は、あなたを得ることができないので 裏なしのパスワード 453 00:22:13,800 --> 00:22:15,760 あなたが使用される塩。 454 00:22:15,760 --> 00:22:17,010 [OK]をクリックします。 455 00:22:17,010 --> 00:22:21,120 456 00:22:21,120 --> 00:22:23,150 >> また、個人を特定できる 情報。 457 00:22:23,150 --> 00:22:26,730 だから、社会保障、クレジットカード - それはかなり明白だ。 458 00:22:26,730 --> 00:22:31,880 しかし、時には人々が道にそれを忘れてしまった 作品は、あなたがどれだけの情報である 459 00:22:31,880 --> 00:22:35,690 実際にいくつかの1人を見つける必要がありますか? 460 00:22:35,690 --> 00:22:37,740 誰かが約勉強をしました この帰り道。 461 00:22:37,740 --> 00:22:40,870 そして、それはあなたが持っている場合、のようだった フルネームは、あなたが見つけることができません 462 00:22:40,870 --> 00:22:41,610 簡単に誰か。 463 00:22:41,610 --> 00:22:43,900 しかし、あなたは完全な名前を持っているものかどう そして彼らの誕生日? 464 00:22:43,900 --> 00:22:47,770 十分に識別することである 特に誰か? 465 00:22:47,770 --> 00:22:52,760 >> あなたは自分の名前と持っている場合はどう 彼らが住んでいる通りの住所? 466 00:22:52,760 --> 00:22:55,110 それは、誰かを見つけるには十分ですか? 467 00:22:55,110 --> 00:23:02,490 彼らが質問するとき、それが何であるか、です 個人を特定できる情報、および 468 00:23:02,490 --> 00:23:05,360 あなたはについて何を心配する必要があります 配ってませんか? 469 00:23:05,360 --> 00:23:08,770 あなたが個人的に識別を与える場合 誰かがあなたを与えることについては、 470 00:23:08,770 --> 00:23:11,420 あなたは、潜在的に訴えられる可能性があります。 471 00:23:11,420 --> 00:23:12,610 そして、我々は間違いなくそれを望んでいない。 472 00:23:12,610 --> 00:23:14,955 >> つまり、あなたのウェブサイトを入れているとき アウト、あなたが本当にクールを持っている 473 00:23:14,955 --> 00:23:17,230 デザイン、うまくいけば、作られ 素晴らしい最終的なプロジェクト。 474 00:23:17,230 --> 00:23:18,370 並べ替えのしたい そこにそれを置く。 475 00:23:18,370 --> 00:23:21,420 あなたは確かにどんなことをしたい それはだ場合には、利用者から取っている 476 00:23:21,420 --> 00:23:25,310 個人を特定できる情報に、 あなたが本当にされているようにしたい 477 00:23:25,310 --> 00:23:26,560 それには注意してください。 478 00:23:26,560 --> 00:23:29,670 479 00:23:29,670 --> 00:23:31,080 >> シェル注入。 480 00:23:31,080 --> 00:23:31,350 [OK]をクリックします。 481 00:23:31,350 --> 00:23:37,590 シェル注入は、​​侵入者がすることができます あなたの実際のコマンドラインへのアクセスを取得 482 00:23:37,590 --> 00:23:39,660 サーバー内の。 483 00:23:39,660 --> 00:23:44,060 そして彼は、コードを実行することができます あなたがコントロールすることができない。 484 00:23:44,060 --> 00:23:49,560 のは、この例を見てみましょう ちょうどここに美しい文字列。 485 00:23:49,560 --> 00:23:55,570 我々は再びウェブサイトに行けば、私は今 コー​​ドインジェクションに行くつもり。 486 00:23:55,570 --> 00:23:58,910 だから、これは何です - 487 00:23:58,910 --> 00:24:00,420 それは我々が何であったかもだ 前を見ている。 488 00:24:00,420 --> 00:24:11,200 私たちは、どのようなに入れ、ユーザーをさせるしている 彼が望んでいる、それがプリントアウトされます 489 00:24:11,200 --> 00:24:12,220 あなたが好き。 490 00:24:12,220 --> 00:24:13,890 >> だから私は電話を置くつもりです。 491 00:24:13,890 --> 00:24:15,540 これは何です - 492 00:24:15,540 --> 00:24:16,940 それが連結することによって開始されます。 493 00:24:16,940 --> 00:24:19,520 だから、私は何でも実行できるようになる 人のランニングを命令 494 00:24:19,520 --> 00:24:21,500 前と私のコマンド。 495 00:24:21,500 --> 00:24:23,980 そして、私は、システムのコマンドを実行している。 496 00:24:23,980 --> 00:24:27,310 そしてこれらの最後の文字列があります - 覚えて 何私はあなたたちに話を聞いた、 497 00:24:27,310 --> 00:24:31,725 あなたがエンコードしなければならないということです そのURLのメソッドで。 498 00:24:31,725 --> 00:24:35,010 499 00:24:35,010 --> 00:24:36,992 私は今、これを実行すると - 500 00:24:36,992 --> 00:24:39,150 私はこっちを紹介します - 501 00:24:39,150 --> 00:24:41,100 あなたは私が終わったことがわかります アップコマンドを実行している。 502 00:24:41,100 --> 00:24:45,700 503 00:24:45,700 --> 00:24:49,320 >> これは実際に実際のサーバで 私のウェブサイトが実行されている。 504 00:24:49,320 --> 00:24:55,840 505 00:24:55,840 --> 00:24:58,510 だから我々はそれをしたくない、 私が実行できるので - 506 00:24:58,510 --> 00:25:00,320 このサーバーは、私のものではありません。 507 00:25:00,320 --> 00:25:04,030 だから私は台無しにしたくない彼 妹、マーカスのサーバー。 508 00:25:04,030 --> 00:25:07,470 しかし、あなたはより多くのコマンドを実行することができます それは危険です。 509 00:25:07,470 --> 00:25:11,885 潜在的に、あなたは削除でき ファイル、ディレクトリを削除します。 510 00:25:11,885 --> 00:25:14,390 511 00:25:14,390 --> 00:25:17,970 私は、次の場合に特定のディレクトリを削除することができます 私がしたかったが、私はしたくない 512 00:25:17,970 --> 00:25:19,530 マーカスにそれをする。 513 00:25:19,530 --> 00:25:20,420 彼はいい人だ。 514 00:25:20,420 --> 00:25:21,470 彼は私が彼のサーバーを借りるましょう。 515 00:25:21,470 --> 00:25:24,620 だから私は彼を聞かせするつもりです 良いものにオフ。 516 00:25:24,620 --> 00:25:32,280 >> それでは、私たちは使用したくない - 私たちにはありません 評価やシステムを使用したい。 517 00:25:32,280 --> 00:25:34,755 評価やシステムは、私たちがすることができます これらのシステムコールを行います。 518 00:25:34,755 --> 00:25:37,410 519 00:25:37,410 --> 00:25:38,410 評価手段は評価します。 520 00:25:38,410 --> 00:25:40,790 このシステムは、私が走ったものを意味します。 521 00:25:40,790 --> 00:25:42,490 これは、システムで何かを実行だ。 522 00:25:42,490 --> 00:25:46,730 しかし、我々は、これらのことを禁止することができます PHPの我々が利用していないようにします。 523 00:25:46,730 --> 00:25:47,400 およびファイルアップロード。 524 00:25:47,400 --> 00:25:49,180 私は素晴らしいをするつもりだった ファイルアップロードがあるもの。 525 00:25:49,180 --> 00:25:52,740 しかしように私は、私のファイルをあなたたちに言った アップロード事は機能していません。 526 00:25:52,740 --> 00:25:54,590 私は今、ファイルをアップロードした場合 - 527 00:25:54,590 --> 00:25:57,120 528 00:25:57,120 --> 00:26:00,830 私はファイルをアップロードした場合、 それは絵だ - 529 00:26:00,830 --> 00:26:03,180 あなたは、アップロードのものを持っている それが写真です。 530 00:26:03,180 --> 00:26:03,660 それはいい。 531 00:26:03,660 --> 00:26:04,280 何も起こりません。 532 00:26:04,280 --> 00:26:10,840 >> しかし、あなたがアップロードファイルがある場合は、用 例えば、ユーザが実際にアップロード 533 00:26:10,840 --> 00:26:19,220 PHPファイルやEXEファイルか何か そのような場合、あなたが潜在的に可能性 534 00:26:19,220 --> 00:26:19,740 問題を抱えている。 535 00:26:19,740 --> 00:26:21,390 これは以前に働いていた。 536 00:26:21,390 --> 00:26:25,202 残念ながら私にとって、それはだ もはや機能していない。 537 00:26:25,202 --> 00:26:30,230 私は、例えば、このファイルをアップロードすると、私は今 アップロードするための許可を得ていない 538 00:26:30,230 --> 00:26:33,400 サーバーによるファイル 地雷ではない。 539 00:26:33,400 --> 00:26:38,670 だから、男は本当に賢いです。 540 00:26:38,670 --> 00:26:39,610 >> だから我々はしたくない - 541 00:26:39,610 --> 00:26:40,130 私はあなたたちを紹介します - 542 00:26:40,130 --> 00:26:41,840 [OK]を、これらはいくつかの本当にクールなツールです。 543 00:26:41,840 --> 00:26:45,100 したがって、これらの - 544 00:26:45,100 --> 00:26:47,715 あなたたちはFirefoxを持っている場合 - に入る - うまくいけば、やる。 545 00:26:47,715 --> 00:26:54,260 SQLインジェクトと呼ばれる2個のアドオンがあります 私とクロスサイトスクリプトミー。 546 00:26:54,260 --> 00:26:56,870 彼らは少し側として開く 側のバー。 547 00:26:56,870 --> 00:27:01,480 そして、私はに行っていた場合は、 例えばCS60 - 548 00:27:01,480 --> 00:27:04,210 それでは、それがないと、それが見えている - そのすべての形態のための 549 00:27:04,210 --> 00:27:07,220 550 00:27:07,220 --> 00:27:08,760 うまくいけば、私は取得することはありません このためトラブルに。 551 00:27:08,760 --> 00:27:09,190 >> しかし、[OK]をクリックします。 552 00:27:09,190 --> 00:27:12,600 ここでピンシステムです。 553 00:27:12,600 --> 00:27:18,946 だから私はの穴を探し始めるとき このシステムは、私が最初にすることです 554 00:27:18,946 --> 00:27:21,820 この美しい小さなを開く 側のツール。 555 00:27:21,820 --> 00:27:24,160 そして、私は、フォームをテストするつもりだ 自動攻撃で。 556 00:27:24,160 --> 00:27:28,510 だからこれが何をするかは、それが徐々になりますです ブラウザの束を開く。 557 00:27:28,510 --> 00:27:29,930 ここでは、ブラウザの束です。 558 00:27:29,930 --> 00:27:33,320 そして、それはすべての単一の組み合わせをしようとしている クロスサイトスクリプティングの 559 00:27:33,320 --> 00:27:37,380 おそらくあれば、そこにあることを あなたが側に表示されます。 560 00:27:37,380 --> 00:27:42,080 >> そしてそれは私に結果が得られます 答えは何であるかのようなもの。 561 00:27:42,080 --> 00:27:42,860 すべて渡します。 562 00:27:42,860 --> 00:27:43,910 明らかに、それらはすべて合格。 563 00:27:43,910 --> 00:27:46,190 私が意味する、彼らは本当にスマートだ そこまでの人。 564 00:27:46,190 --> 00:27:48,010 しかし、私は実行した場合 - 565 00:27:48,010 --> 00:27:52,050 私はこれを実行したときに、私は前に時間を持っていた 学生の最終的なプロジェクトで。 566 00:27:52,050 --> 00:27:56,080 私は単に私を注入するSQL実行 すべてのさまざまな攻撃。 567 00:27:56,080 --> 00:28:00,080 そして、それは、SQL注入するようにしようとしている このピンサーバー。 568 00:28:00,080 --> 00:28:03,590 だから、我々は、下にスクロールした場合 たとえば、それは言う - 569 00:28:03,590 --> 00:28:04,960 それが返された場合、これは良いです。 570 00:28:04,960 --> 00:28:08,250 >> だから、いくつかの特定の値をテストしました。 571 00:28:08,250 --> 00:28:11,170 そしてサーバは、返された 陰性であったコード。 572 00:28:11,170 --> 00:28:11,780 一時的に削除します。 573 00:28:11,780 --> 00:28:13,030 これは良いです。 574 00:28:13,030 --> 00:28:17,050 575 00:28:17,050 --> 00:28:20,750 それはすべてのこれらのテストをしようとします。 576 00:28:20,750 --> 00:28:21,790 だから、単純に実行することができます - 577 00:28:21,790 --> 00:28:27,860 私はウェブサイトの本当を見つけることがしたい 迅速なことはさせて頂いておりますでしょう - 578 00:28:27,860 --> 00:28:29,110 多分CS50店。 579 00:28:29,110 --> 00:28:43,890 580 00:28:43,890 --> 00:28:45,711 >> うわー、これはしようとしている あまりにも時間がかかる。 581 00:28:45,711 --> 00:28:53,090 582 00:28:53,090 --> 00:28:55,130 私は最初のテストをもらおう 右終了しない。 583 00:28:55,130 --> 00:28:57,330 だから、文句だ。 584 00:28:57,330 --> 00:28:58,470 したがって、これらの3つのことである。 585 00:28:58,470 --> 00:29:00,430 これらのツールは無料です。 586 00:29:00,430 --> 00:29:03,960 あなたがそれらをダウンロードし、それらを実行することができます あなたのウェブサイト、それがあれば教えてくれます 587 00:29:03,960 --> 00:29:06,650 あなたは、クロスサイトスクリプティングを持っている、 あなたが持っている場合は、SQLを持っている場合 588 00:29:06,650 --> 00:29:07,900 のようなのようなもの。 589 00:29:07,900 --> 00:29:12,230 590 00:29:12,230 --> 00:29:14,500 私はめちゃくちゃ一種です。 591 00:29:14,500 --> 00:29:15,550 >> 何が重要なの - 592 00:29:15,550 --> 00:29:17,900 [OK]を、ので、ユーザーを信頼することはありません。 593 00:29:17,900 --> 00:29:21,920 あなたにどのようなユーザ入力、確認 、あなたがそれをきれいに、それをサニタイズしてください 594 00:29:21,920 --> 00:29:25,300 あなたが正しいことを確認し、 それはあなたの何を与えていることを 595 00:29:25,300 --> 00:29:28,240 彼はあなたを与えたいと思う。 596 00:29:28,240 --> 00:29:32,460 常に更新することがどのようなフレームワーク あなたが実際に使用していること。 597 00:29:32,460 --> 00:29:34,630 ブートストラップのようなものを使用している場合 - 598 00:29:34,630 --> 00:29:36,340 私はあなたたちが使用しようとしている知っている 彼は行くつもりだからブートストラップ 599 00:29:36,340 --> 00:29:38,140 この上にすぐにクラスの - 600 00:29:38,140 --> 00:29:43,120 そしてWordpressのか、そのような何か、 通常、これはハッキングされる可能性があります。 601 00:29:43,120 --> 00:29:44,770 >> して、あなたも知らない。 602 00:29:44,770 --> 00:29:45,800 あなたは自分のウェブサイトを実行している。 603 00:29:45,800 --> 00:29:47,360 そして、それは完全に安全です。 604 00:29:47,360 --> 00:29:51,730 そして、あなたは下がる。 605 00:29:51,730 --> 00:29:54,000 だから私は本当に早い釣りだ。 606 00:29:54,000 --> 00:29:55,770 しかし、私は侵入テストラボに感謝したいと思います。 607 00:29:55,770 --> 00:29:58,140 私はあなたたちに何かを紹介します 侵入テストラボと呼ばれる。 608 00:29:58,140 --> 00:30:05,000 君たちは本当に興味があるなら ですが、そこは本当にどのようなセキュリティ 609 00:30:05,000 --> 00:30:07,300 侵入テストラボ場合に呼び出さサイト 君たちは今、それを参照してください。 610 00:30:07,300 --> 00:30:10,730 ああ、まあ、それはそれではない。 611 00:30:10,730 --> 00:30:12,030 私はちょうどこのようにそれを実行するつもりです。 612 00:30:12,030 --> 00:30:14,400 Googleは私に答えを伝えます。 613 00:30:14,400 --> 00:30:16,590 >> [OK]をクリックします。 614 00:30:16,590 --> 00:30:19,030 それように - それはあなたを使用して教えている と言い、ウェブの浸透を学ぶ 615 00:30:19,030 --> 00:30:21,060 正しい方法をテストする。 616 00:30:21,060 --> 00:30:23,650 それはあなたを教えて - 617 00:30:23,650 --> 00:30:25,150 うまくいけば、あなたは倫理的な人物だ。 618 00:30:25,150 --> 00:30:29,200 しかし、それはあなたが見ることができる方法を教え どのようにして内部のウェブサイトを得ることができます。 619 00:30:29,200 --> 00:30:31,130 そして、あなたはあなたが中に入ることができる方法を学ぶ場合は、 ウェブサイト、あなたはどのようにすることを学ぶことができます 620 00:30:31,130 --> 00:30:34,960 なってから身を守る 内部のウェブサイト。 621 00:30:34,960 --> 00:30:39,100 私は多分君たちので、ズームインしましょう この権利を見ていません。 622 00:30:39,100 --> 00:30:46,350 >> SQLインジェクションからシェルに、そう 私はSQLから取得する方法の一種 623 00:30:46,350 --> 00:30:48,530 シェルに注入。 624 00:30:48,530 --> 00:30:53,890 そして、あなたは、この仮想マシンをダウンロードします。 625 00:30:53,890 --> 00:30:55,690 仮想マシンはすでに来る あなたがしているウェブサイトで 626 00:30:55,690 --> 00:30:56,780 それを試してみるつもり。 627 00:30:56,780 --> 00:30:58,030 このPDFファイルをダウンロードします。 628 00:30:58,030 --> 00:31:03,610 629 00:31:03,610 --> 00:31:08,370 そして、それはどのようなラインで、あなたの行が表示されます あなたがチェックするものを、しなければならない。 630 00:31:08,370 --> 00:31:14,560 これは実際にどのような攻撃者である ウェブサイトの中に入るように行います。 631 00:31:14,560 --> 00:31:15,750 >> そしてこのようなもののいくつかは複雑である。 632 00:31:15,750 --> 00:31:17,520 私はもっ​​と上に行くことがしたい 皆さんとの事。 633 00:31:17,520 --> 00:31:21,090 しかし、私はあなたたちを心配 本当に持っていない - 634 00:31:21,090 --> 00:31:23,090 これは私が渡ったものです 君たち、Webテスト 635 00:31:23,090 --> 00:31:26,830 侵入テストのため。 636 00:31:26,830 --> 00:31:33,540 本当にわからない SQLであり、どのような - 637 00:31:33,540 --> 00:31:35,960 カール·ジャクソンのセミナー 同様に驚くばかりである。 638 00:31:35,960 --> 00:31:37,360 君たちは、ソートがわからない これが何であるかの。 639 00:31:37,360 --> 00:31:39,450 しかし、もしあなたがこのウェブサイトに移動し、 これらのチュートリアルや、これらをダウンロード 640 00:31:39,450 --> 00:31:43,290 PDFは、並べ替えのを見てみることができます セキュリティの面積が実際に何をするか 641 00:31:43,290 --> 00:31:46,940 侵入テストでは、どのようにことができます参照してください 内部のウェブサイトを取得し、保護する 642 00:31:46,940 --> 00:31:48,020 あなた自身それから。 643 00:31:48,020 --> 00:31:56,360 >> だから私は超簡単な概要をした場合、 それは、クロスサイトスクリプティングを防ぐことができます。 644 00:31:56,360 --> 00:32:00,160 あなたはすべてのデータを元に戻して使用したい 時間は、ユーザーが何かを入力する。 645 00:32:00,160 --> 00:32:01,580 SQLインジェクションを防ぐ。 646 00:32:01,580 --> 00:32:04,510 あなたはそれを行う場合は、すでにしている ハーバード大学があったより裕福 647 00:32:04,510 --> 00:32:06,530 それらは違反してしまったとき。 648 00:32:06,530 --> 00:32:10,510 そして、あなたのパスワードを確認してください プレーンテキストではありません。 649 00:32:10,510 --> 00:32:16,220 あなただけでなく一方向ハッシュを行うことを確認してください 彼らができますが、暗号を使用することを、PHP 650 00:32:16,220 --> 00:32:18,670 私はあなたたちを示した機能。 651 00:32:18,670 --> 00:32:20,060 そうすれば、あなたは良いことがあります。 652 00:32:20,060 --> 00:32:25,830 >> また、あなたの友人があなたを許可すれば、実行 SQLは、自分のウェブサイトに私を注入します。 653 00:32:25,830 --> 00:32:28,140 実行して、クロスサイトスクリプティング 自分のウェブサイト上で。 654 00:32:28,140 --> 00:32:33,720 そして、あなたはこれらのウェブサイトの多くが表示されます 脆弱性のトンを持っている。 655 00:32:33,720 --> 00:32:40,400 それは多くの人々が忘れてしまったか信じられない それらのデータベースを消毒したりするために 656 00:32:40,400 --> 00:32:46,340 どのような人の入力を確認してください スクリプトコードではありません。 657 00:32:46,340 --> 00:32:47,200 [OK]をクリックします。 658 00:32:47,200 --> 00:32:49,182 私は一種の早期本当に終わった。 659 00:32:49,182 --> 00:32:56,510 しかし、誰でもについてのご質問がある場合 何でも、あなたは私に質問を撮影することができます。 660 00:32:56,510 --> 00:32:56,630 うん。 661 00:32:56,630 --> 00:32:56,970 GO、GO。 662 00:32:56,970 --> 00:32:59,846 >> 読者:私は聞いてみたい、 あなたはどのようにファイルを説明することができます 663 00:32:59,846 --> 00:33:03,160 正確に作品をアップロードしてください。 664 00:33:03,160 --> 00:33:03,480 >> LUCIANOアランゴ:うん。 665 00:33:03,480 --> 00:33:06,350 だから私はあなたにファイルを表示してみましょう 実際に素早くアップロードします。 666 00:33:06,350 --> 00:33:11,300 だから、ファイルのアップロード - 667 00:33:11,300 --> 00:33:14,500 問題は、ファイルのアップロードウィット 今それは - 668 00:33:14,500 --> 00:33:18,541 私はあなたたちのコードをオープンするつもりです 裏でコードを参照してください。 669 00:33:18,541 --> 00:33:22,390 670 00:33:22,390 --> 00:33:24,305 そしてそれは、アップロードされている。 671 00:33:24,305 --> 00:33:28,030 672 00:33:28,030 --> 00:33:31,560 ここで、ファイルアップローダのコードです。 673 00:33:31,560 --> 00:33:33,980 >> 我々は、このに入るためにしようとしている こっちディレクトリ。 674 00:33:33,980 --> 00:33:37,380 675 00:33:37,380 --> 00:33:44,880 そして、我々は、しようとしている我々は、入力回 ファイル、どうかの判断ファイル - これがある 676 00:33:44,880 --> 00:33:50,900 [ファイル内のファイル、そのイメージ、 我々はそれをここに移動しよう。 677 00:33:50,900 --> 00:33:51,910 我々はここを介してファイルをつかむ。 678 00:33:51,910 --> 00:33:58,350 この方法は、POST、種類、画像、ファイルです。 679 00:33:58,350 --> 00:33:59,630 そして、我々は、このファイルを送信している。 680 00:33:59,630 --> 00:34:03,910 そして、我々がそれを得れば、そのファイルがいったん イメージを持って、我々はそれを送信しようとしている 681 00:34:03,910 --> 00:34:05,060 このディレクトリにコピーします。 682 00:34:05,060 --> 00:34:09,814 >> 問題は、Webサイトがないということです 私は、このディレクトリに移動させること、 683 00:34:09,814 --> 00:34:12,239 それは私が戻って望んでいないからです。 684 00:34:12,239 --> 00:34:13,489 それは私が行くことを望んでいない - 685 00:34:13,489 --> 00:34:15,620 686 00:34:15,620 --> 00:34:17,070 私が行かなければならない - ので、ここでアップロードです。 687 00:34:17,070 --> 00:34:17,639 ここでは画像です。 688 00:34:17,639 --> 00:34:21,780 私は戻ってすべての道を行かなければならない それから始まり、そこに入れて 689 00:34:21,780 --> 00:34:23,820 行くと、ディレクトリに入れて。 690 00:34:23,820 --> 00:34:30,000 だから私は、ターミナルウィンドウを実行していた場合には、 そして私は、ファイルを移動したい - 691 00:34:30,000 --> 00:34:30,409 [聞こえない] 692 00:34:30,409 --> 00:34:32,159 それを見ることができます。 693 00:34:32,159 --> 00:34:37,940 私は、ファイルを移動したい場合は、私が持っている ファイル名を配置し、する 694 00:34:37,940 --> 00:34:40,860 完全なパス私はそれを送りたい。 695 00:34:40,860 --> 00:34:45,110 >> して、サーバーではありません 私は戻って手放す。 696 00:34:45,110 --> 00:34:46,929 そしてそれはさせないことだ 私は、そのファイルを取得する。 697 00:34:46,929 --> 00:34:47,670 しかし、通常は - 698 00:34:47,670 --> 00:34:49,360 そのためのコードがあります ファイルをアップロードする。 699 00:34:49,360 --> 00:34:52,260 だから、通常は何が起こるかということです 人はチェックしなかったら私のファイル 700 00:34:52,260 --> 00:34:57,920 。JPEGで終わるので、私 確認したいと思う。 701 00:34:57,920 --> 00:35:00,054 私も本当の簡単な例を開いてみましょう。 702 00:35:00,054 --> 00:35:07,766 703 00:35:07,766 --> 00:35:08,260 >> [OK]をクリックします。 704 00:35:08,260 --> 00:35:09,230 この人は右 - 705 00:35:09,230 --> 00:35:11,980 ですから、例えば2でチェックしています 正規表現による場合 - 706 00:35:11,980 --> 00:35:14,180 ここでは、ここを超えている - 707 00:35:14,180 --> 00:35:19,660 必ずそれはで終わる作る 良いですPHP、。 708 00:35:19,660 --> 00:35:20,580 これは良いです。 709 00:35:20,580 --> 00:35:22,820 しかし、本当の大きながあります これに伴う問題。 710 00:35:22,820 --> 00:35:24,600 これは良いです。 711 00:35:24,600 --> 00:35:44,190 しかし、私はと呼ばれるファイルを入れていた場合は、 myfavoritepicture.php.jpeg、私ができた 712 00:35:44,190 --> 00:35:50,060 それでも、潜在的にはJPEGを取り除く そしてPHPのは危険ということit.k実行します。 713 00:35:50,060 --> 00:35:53,850 あなたは、人ができるようにする必要はありません あなたのウェブサイト上でコードを実行します。 714 00:35:53,850 --> 00:35:55,750 >> しかし、その後。JPEGは、渡すことができます。 715 00:35:55,750 --> 00:36:00,720 アイデアは、あなたが本当にやりたいことである ファイル、A.しかし、[OK]を、何が必要されていません 716 00:36:00,720 --> 00:36:07,500 あなたが本当にやりたいことを確認してある あなたは、全世界にお読みください。 717 00:36:07,500 --> 00:36:08,720 そして何もありません。これでは、PHP。 718 00:36:08,720 --> 00:36:10,500 には。PHPはありません 全体ファイル名。 719 00:36:10,500 --> 00:36:12,780 >> 観客:しかし、あなたは可能性 。JPEGが端に置く。 720 00:36:12,780 --> 00:36:15,830 サーバーは、まだコードを実行します。 721 00:36:15,830 --> 00:36:16,870 >> LUCIANOアランゴ:いいえ、それはないでしょう 初めに実行されます。 722 00:36:16,870 --> 00:36:22,310 あなたが戻って、試してみて下さい あなたができるかどうかを確認するために - 723 00:36:22,310 --> 00:36:24,210 >> 観客:だから我々はする必要があります - 724 00:36:24,210 --> 00:36:26,020 [OK]を、含まちょうど別のセット - 725 00:36:26,020 --> 00:36:26,936 >> LUCIANOアランゴ:うん。 726 00:36:26,936 --> 00:36:29,230 >> 観客:[OK]をクリックします。 727 00:36:29,230 --> 00:36:31,486 >> LUCIANOアランゴ:うん。 728 00:36:31,486 --> 00:36:31,900 [OK]をクリックします。 729 00:36:31,900 --> 00:36:32,865 その他のご質問は? 730 00:36:32,865 --> 00:36:33,180 [OK]をクリックします。 731 00:36:33,180 --> 00:36:37,350 私はこれを残して、ソートするつもりだ の皆さんができるかどうかを確認しよう - 732 00:36:37,350 --> 00:36:40,490 他のものはもう少しです 彼らは多くを必要とするため、複雑 733 00:36:40,490 --> 00:36:44,050 単なるSQLのより多くの知識 ウェブのSQLの知識をされているから始まり、 734 00:36:44,050 --> 00:36:47,010 何JavaScriptがある。 735 00:36:47,010 --> 00:36:49,730 しかし、私は、これを維持しようとするつもりだ うまくいけば、あなたたちは学びます 736 00:36:49,730 --> 00:36:53,230 このことについてとを覗いて見てしよう 何を行うことができますし、どのように多くの例 737 00:36:53,230 --> 00:36:54,420 あなたはを通して得ることができます。 738 00:36:54,420 --> 00:36:56,020 >> 誰もが、他を持っている それについての質問? 739 00:36:56,020 --> 00:36:59,387 740 00:36:59,387 --> 00:37:00,350 どうぞ召しあがれ。 741 00:37:00,350 --> 00:37:01,170 ええ、撃つ、撃つ。 742 00:37:01,170 --> 00:37:01,580 ええ、先に行く。 743 00:37:01,580 --> 00:37:01,850 どうぞ召しあがれ。 744 00:37:01,850 --> 00:37:02,310 >> 観客:[OK]をクリックします。 745 00:37:02,310 --> 00:37:08,870 だから私はどのようにマジッククオートを聞いた 十分に安全ではありません。 746 00:37:08,870 --> 00:37:09,280 >> LUCIANOアランゴ:何 - 747 00:37:09,280 --> 00:37:10,110 マジッククオート? 748 00:37:10,110 --> 00:37:10,595 >> 観客:うん。 749 00:37:10,595 --> 00:37:15,445 だから、追加します - そうなときにいつでも入力 何かが、それは常に引用符が追加されます。 750 00:37:15,445 --> 00:37:15,930 >> LUCIANOアランゴ:うん。 751 00:37:15,930 --> 00:37:16,000 うん。 752 00:37:16,000 --> 00:37:16,496 [OK]をクリックします。 753 00:37:16,496 --> 00:37:19,113 >> 観客:そして、私は、しかし、働いていたこと しかし、私はそれを探した。 754 00:37:19,113 --> 00:37:21,648 そして、それはそれは良いではないと述べた。 755 00:37:21,648 --> 00:37:23,050 しかし、私は、なぜわからないんだけど。 756 00:37:23,050 --> 00:37:23,360 >> LUCIANOアランゴ:うん。 757 00:37:23,360 --> 00:37:26,240 >> 読者:マジッククオートを使用しないでください、 それは安全ではありませんので。 758 00:37:26,240 --> 00:37:26,360 >> LUCIANOアランゴ:わかりました。 759 00:37:26,360 --> 00:37:31,735 あなたは、SQLを挿入すると、そのようにマジッククオートです それは、すでにあなたのために引用符を追加します。 760 00:37:31,735 --> 00:37:33,520 >> 観客:それは、常に引用符が追加されます 何でもあなたの周り25.40置く 761 00:37:33,520 --> 00:37:34,210 >> LUCIANOアランゴ:うん。 762 00:37:34,210 --> 00:37:37,190 だからの問題は、ということです - 763 00:37:37,190 --> 00:37:38,445 私は見てみましょう - 764 00:37:38,445 --> 00:37:41,390 >> 観客:どのように取得しません SQL文? 765 00:37:41,390 --> 00:37:44,690 または私はそれができると思います 引用符のように選択します。 766 00:37:44,690 --> 00:37:49,030 >> LUCIANOアランゴ:ええ、あなたが必要とする SQLのためのよい引用符。 767 00:37:49,030 --> 00:37:52,900 >> 観客:いいえ、しかし、サーバ あなたのためにそれを行います。 768 00:37:52,900 --> 00:37:54,460 >> LUCIANOアランゴ:これらの小さな引用符 右ここでは、これらのほとんどの引用符? 769 00:37:54,460 --> 00:37:55,670 >> 観客:うん。 770 00:37:55,670 --> 00:37:56,450 >> LUCIANOアランゴ:うん。 771 00:37:56,450 --> 00:37:59,860 問題は、あなたができることです 最後にコメントアウト - 772 00:37:59,860 --> 00:38:05,770 [OK]を、ので、私は何をすることができますことは、私がコメントすることができている アウト - それでは、見てみましょう - とさせて頂いております 773 00:38:05,770 --> 00:38:07,920 テキスト編集ファイルを開きます。 774 00:38:07,920 --> 00:38:09,610 私はただ、これを編集してみましょう ちょうどここに直接。 775 00:38:09,610 --> 00:38:19,510 776 00:38:19,510 --> 00:38:20,400 [OK]をクリックします。 777 00:38:20,400 --> 00:38:23,710 あなたたちは、明らかにそれを見ることはできますか? 778 00:38:23,710 --> 00:38:29,730 私ができることは、私がコメントすることができている 最後の1つ。 779 00:38:29,730 --> 00:38:32,190 これは、最後の1をコメントアウトします。 780 00:38:32,190 --> 00:38:36,760 そして私は、ここに1を入れてあげるよ ここにすべての悪質なもの。 781 00:38:36,760 --> 00:38:39,840 782 00:38:39,840 --> 00:38:42,630 >> したがって、ユーザーは、実際の 右、入力? 783 00:38:42,630 --> 00:38:45,230 ユーザーが入力することはないだ 物事は、右? 784 00:38:45,230 --> 00:38:47,430 これは私のように入力するつもりだものです 内部取得しようとしている人。 785 00:38:47,430 --> 00:38:49,430 私が中に置くつもりだ - 786 00:38:49,430 --> 00:38:59,290 787 00:38:59,290 --> 00:39:00,180 つまり、1つの引用符です。 788 00:39:00,180 --> 00:39:01,760 それが誤ってちょうど私たちだ。 789 00:39:01,760 --> 00:39:15,080 790 00:39:15,080 --> 00:39:19,400 した後、どのようなコード どうするつもりです - 791 00:39:19,400 --> 00:39:20,190 申し訳ありませんが、私はこれを取るつもりです。 792 00:39:20,190 --> 00:39:22,170 どのようなコードが何をするつもりなのはある それは最初に追加するだろう 793 00:39:22,170 --> 00:39:24,030 引用はここにマークします。 794 00:39:24,030 --> 00:39:26,040 そして、それは最後に追加になるだろう 引用符も同様。 795 00:39:26,040 --> 00:39:29,350 796 00:39:29,350 --> 00:39:33,270 >> そしてそれはまた、追加になるだろう 最後の、最後の引用符。 797 00:39:33,270 --> 00:39:37,380 しかし、私はこれらの引用をコメントしてい 外マークので、実行されません。 798 00:39:37,380 --> 00:39:41,440 そして、私はこの引用を終えています こっちマーク。 799 00:39:41,440 --> 00:39:42,290 わかりますか? 800 00:39:42,290 --> 00:39:43,750 あなたは失われていますか? 801 00:39:43,750 --> 00:39:45,880 私は、最後の引用符をコメントすることができます マークとの世話をする 802 00:39:45,880 --> 00:39:46,680 最初の引用符。 803 00:39:46,680 --> 00:39:47,350 >> 観客:そして、ちょうど仕上げ 最初の1。 804 00:39:47,350 --> 00:39:47,480 >> LUCIANOアランゴ:うん。 805 00:39:47,480 --> 00:39:48,400 そして、ちょうど最初のものを仕上げています。 806 00:39:48,400 --> 00:39:48,790 うん、そうだね。 807 00:39:48,790 --> 00:39:50,800 それは私が何ができるかだ。 808 00:39:50,800 --> 00:39:51,890 うん。 809 00:39:51,890 --> 00:39:52,980 そのような他の質問? 810 00:39:52,980 --> 00:39:54,230 それは素晴らしい質問ですね。 811 00:39:54,230 --> 00:39:56,960 812 00:39:56,960 --> 00:39:59,790 いいえ、はい、多分。 813 00:39:59,790 --> 00:40:06,150 うまくいけば、あなたたちは、ソートのようになります あなたはSQLとの勉強より理 814 00:40:06,150 --> 00:40:06,650 そのようなこと。 815 00:40:06,650 --> 00:40:07,980 しかし、あなたを確認してください - 816 00:40:07,980 --> 00:40:10,340 時計にこれらのツールを保つ。 817 00:40:10,340 --> 00:40:12,760 申し訳ありませんが、こちらには、これらのツール。 818 00:40:12,760 --> 00:40:14,200 これらのツールは素晴らしいです。 819 00:40:14,200 --> 00:40:17,190 誰もが疑問を持っている場合、 あなたも私にメールすることができます。 820 00:40:17,190 --> 00:40:19,020 これは私の通常の電子メールである。 821 00:40:19,020 --> 00:40:25,015 そしてこれは、私の仕事のメールである 私は海で作業しているときである。 822 00:40:25,015 --> 00:40:26,040 >> [OK]を、ありがとうございます。 823 00:40:26,040 --> 00:40:26,740 ありがとう、みんな。 824 00:40:26,740 --> 00:40:27,860 あなたが行ってもいいです。 825 00:40:27,860 --> 00:40:28,830 あなたがここに滞在する必要はありません。 826 00:40:28,830 --> 00:40:29,570 拍手しないでください。 827 00:40:29,570 --> 00:40:30,170 それは奇妙なことだ。 828 00:40:30,170 --> 00:40:31,420 [OK]を、ありがとう、みんな。 829 00:40:31,420 --> 00:40:32,320