1 00:00:00,000 --> 00:00:09,250 2 00:00:09,250 --> 00:00:10,300 >> LUCIANO Arango: Gerai, vaikinai. 3 00:00:10,300 --> 00:00:11,550 Mano vardas Luciano Arango. 4 00:00:11,550 --> 00:00:13,915 Aš Adams House antrakursis. 5 00:00:13,915 --> 00:00:17,550 Ir mes ketiname kalbėti apie interneto saugumo aktyvios gynybos. 6 00:00:17,550 --> 00:00:24,220 Taigi aš dirbu Informacijos tarnyba Saugumas jūroje. 7 00:00:24,220 --> 00:00:28,670 Ir per vasarą, aš internuoti ne SeguraTec, kuris buvo informacija 8 00:00:28,670 --> 00:00:31,310 draudimo bendrovės, kad tarnavo of Columbia bankas. 9 00:00:31,310 --> 00:00:34,740 Tai dažniausiai, kai aš sužinojau, ką aš sužinojau šiol. 10 00:00:34,740 --> 00:00:37,990 >> Ir todėl kai kurių medžiagų, kad mes ketinate eiti per šiandien, mes turime ne 11 00:00:37,990 --> 00:00:39,670 tikrai kalbėjo apie klasėje. 12 00:00:39,670 --> 00:00:40,410 Bet mes netrukus. 13 00:00:40,410 --> 00:00:42,360 Tai bus kaip SQL, JavaScript. 14 00:00:42,360 --> 00:00:44,870 Ir mes ne tikrai dingo per jį. 15 00:00:44,870 --> 00:00:47,730 Taigi aš surūšiuoti skrydžio per jį, ir jūs negalite žinoti keletą dalykų. 16 00:00:47,730 --> 00:00:48,890 Tačiau netrukus, jums išmokti. 17 00:00:48,890 --> 00:00:52,080 Ir jis bus visas prasmės. 18 00:00:52,080 --> 00:00:54,010 Taip pat dar vienas dalykas - 19 00:00:54,010 --> 00:00:55,780 likti etikos. 20 00:00:55,780 --> 00:01:00,560 Kai kurių dalykų, kad jums sužinoti, jūs galėtų naudotis ne etikos būdais. 21 00:01:00,560 --> 00:01:01,950 >> Jei tai tavo, būtinai išbandyti. 22 00:01:01,950 --> 00:01:04,500 Aš tikrai motyvuoti jums vaikinai išbandyti savo serverius, pabandykite 23 00:01:04,500 --> 00:01:05,519 vyksta jų viduje. 24 00:01:05,519 --> 00:01:08,500 Žr jeigu jūs galite prasiskverbti juos, jei jūs galite gauti jų viduje. 25 00:01:08,500 --> 00:01:09,560 Bet ne kur nors. 26 00:01:09,560 --> 00:01:12,390 Policininkai nelabai patinka anekdotai ir sveiki, mes įdėti šią nuorodą čia. 27 00:01:12,390 --> 00:01:14,040 Mums buvo Messing aplink. 28 00:01:14,040 --> 00:01:15,780 Jie gauti tikrai piktas. 29 00:01:15,780 --> 00:01:18,700 >> Taigi per galvą į šią svetainę. 30 00:01:18,700 --> 00:01:23,560 Turiu ji pradėjo čia. 31 00:01:23,560 --> 00:01:26,780 Tai svetainė, ir ji turi pavyzdžių krūva. 32 00:01:26,780 --> 00:01:30,000 Kas atsitinka, kad pirmasis pavyzdys yra tarsi bus daug lengviau 33 00:01:30,000 --> 00:01:33,470 kaip paskutinę pavyzdžiui, tam tikra prasme kad pirmasis pavyzdys 34 00:01:33,470 --> 00:01:34,970 yra visiškai nesaugus. 35 00:01:34,970 --> 00:01:40,850 Ir naujausia yra tarsi tai, ką normalus interneto saugumo asmuo darytų. 36 00:01:40,850 --> 00:01:42,760 Bet jūs vis dar galite rūšiuoti iš gauti aplink, kad. 37 00:01:42,760 --> 00:01:44,860 Ir mes ketiname didžiausią dėmesį skiriant vieną ir du pavyzdžiai, vienas ir du. 38 00:01:44,860 --> 00:01:49,880 39 00:01:49,880 --> 00:01:49,920 >> Gerai. 40 00:01:49,920 --> 00:01:52,780 Pradėkime nuo cross-site scripting. 41 00:01:52,780 --> 00:01:56,100 JavaScript paleisti kliento naršyklę. 42 00:01:56,100 --> 00:01:59,980 Tai programavimo kalba, kad jūs naudojate paleisti kliento naršyklėje panašiai 43 00:01:59,980 --> 00:02:04,120 jūs neturite atnaujinti svetainę ir grįžti į serverį. 44 00:02:04,120 --> 00:02:04,940 Jūs turite tai veikia. 45 00:02:04,940 --> 00:02:08,870 Pavyzdžiui, "Facebook", jūs neturite perkrauti naujos statuso svetainę 46 00:02:08,870 --> 00:02:09,710 atnaujinimai sugalvoti. 47 00:02:09,710 --> 00:02:12,170 Jis naudoja JavaScript generuoti visi šie dalykai. 48 00:02:12,170 --> 00:02:16,290 Taigi, mes galime įleisti kenksmingą JavaScript į svetaines. 49 00:02:16,290 --> 00:02:20,890 Ir tokiu būdu, kai mes išsiųsti nuorodą kas, galėtume tarsi siųsti jį su 50 00:02:20,890 --> 00:02:23,050 kai kodo, kad mes norime. 51 00:02:23,050 --> 00:02:26,450 >> Yra patvari ir nepastovus JavaScript - 52 00:02:26,450 --> 00:02:30,640 patvarios ir nepatvarus cross-site skriptų, turiu galvoje. 53 00:02:30,640 --> 00:02:33,760 Ir skirtumas yra tas, kad nuolatinis yra JavaScript, kad bus 54 00:02:33,760 --> 00:02:36,060 išsaugotas svetainėje. 55 00:02:36,060 --> 00:02:39,780 Ir nepatvarus bus Javaskriptą kad tikrai tik atsitiko vieną kartą. 56 00:02:39,780 --> 00:02:41,795 Taigi pažvelkime į pavyzdį nekilnojamojo greitai. 57 00:02:41,795 --> 00:02:45,660 58 00:02:45,660 --> 00:02:46,130 >> Gerai. 59 00:02:46,130 --> 00:02:51,620 Taigi ši svetainė, paprastas, nieko neįvyksta čia. 60 00:02:51,620 --> 00:02:53,070 Ir mes ketiname bandyti įterpti šiek tiek "JavaScript". 61 00:02:53,070 --> 00:02:58,110 Taigi, kaip mes pradedame rašyti "JavaScript" yra pradėsime su pradžioje scenarijų. 62 00:02:58,110 --> 00:03:00,570 Ir mes jį uždaryti su scenarijų. 63 00:03:00,570 --> 00:03:03,770 Mes tiesiog ketina pateikti pranešimą - 64 00:03:03,770 --> 00:03:05,410 Aš jums parodysiu, - 65 00:03:05,410 --> 00:03:06,500 perspėjimas. 66 00:03:06,500 --> 00:03:11,150 Perspėjimas yra funkcija, kad "JavaScript" naudoja rodyti kažką. 67 00:03:11,150 --> 00:03:12,400 Taigi, pabandykime jį nekilnojamojo greitai. 68 00:03:12,400 --> 00:03:15,600 69 00:03:15,600 --> 00:03:18,944 Aš ruošiuosi eiti, įspėjimo labas. 70 00:03:18,944 --> 00:03:20,400 Na, aš pamiršau įdėti - 71 00:03:20,400 --> 00:03:24,510 72 00:03:24,510 --> 00:03:25,460 Gerai. 73 00:03:25,460 --> 00:03:26,540 Štai paprasta. 74 00:03:26,540 --> 00:03:28,730 >> Mes atliekame JavaScript svetainę, ir ji atėjo. 75 00:03:28,730 --> 00:03:31,200 Ir tai tarsi būna tik parodysime mūsų puslapyje, tiesa? 76 00:03:31,200 --> 00:03:33,040 Taigi, atrodo, kad tai ne problema, tiesa? 77 00:03:33,040 --> 00:03:34,920 Aš turiu galvoje, kaip tu galėjai naudoti tai piktavališkai? 78 00:03:34,920 --> 00:03:39,930 Taigi, taip, kad hakeriai padaryti tai yra tikrai paprasta. 79 00:03:39,930 --> 00:03:40,970 Jie ketina paimti jį. 80 00:03:40,970 --> 00:03:43,750 Jie gali siųsti šią nuorodą jums. 81 00:03:43,750 --> 00:03:46,780 Jei aš dabar siųsti šią nuorodą jums, ir atidarius jį, jis ketina 82 00:03:46,780 --> 00:03:51,620 sako, labas, sakydamas, kad mano svetainė sakau labas. 83 00:03:51,620 --> 00:03:57,280 >> Ir taip, jei aš buvo pasakyti kažką šiek tiek protingesni, jei aš atsigriebti 84 00:03:57,280 --> 00:03:59,880 "JavaScript" funkcija I rūšies jau rašė - 85 00:03:59,880 --> 00:04:03,940 bet jei jūs žiūrite į jį, aš eisiu Per jį, kol aš ją parašė. 86 00:04:03,940 --> 00:04:06,650 Taigi, mes ketiname nustatyti delsą. 87 00:04:06,650 --> 00:04:08,450 Mes ketiname laukti pora sekundžių. 88 00:04:08,450 --> 00:04:13,970 Tiesą sakant, mes ketiname laukti, jei Neklystu, penkių sekundžių. 89 00:04:13,970 --> 00:04:15,870 Tai eina per kelias milisekundes. 90 00:04:15,870 --> 00:04:18,640 Ir tada, ką mes ketiname padaryti, tai mes ketina įspėti, kad prisijungti 91 00:04:18,640 --> 00:04:21,459 Laikas baigėsi prisijungti įeiti 92 00:04:21,459 --> 00:04:23,990 Ir mes ketiname pakeisti vietą į kitą vietą. 93 00:04:23,990 --> 00:04:30,370 94 00:04:30,370 --> 00:04:32,970 >> Taigi, jei aš siunčiu šią svetainę, kad kažkas, jie bus 95 00:04:32,970 --> 00:04:34,380 peržiūrintys aplink, ramus. 96 00:04:34,380 --> 00:04:35,650 Nieko, kas vyksta. 97 00:04:35,650 --> 00:04:38,550 Ir per penkias sekundes, jis ketina pasakyti, jūsų prisijungimo laikas baigėsi. 98 00:04:38,550 --> 00:04:40,200 Prašome prisijungti įeiti 99 00:04:40,200 --> 00:04:43,400 Kai jie spustelėkite Gerai, aš ruošiuosi imtis juos kitoje svetainėje. 100 00:04:43,400 --> 00:04:45,980 Matyt, svetainė ketina būti panašus į svetainę, kad 101 00:04:45,980 --> 00:04:47,280 jie buvo anksčiau. 102 00:04:47,280 --> 00:04:50,770 Ir jie ketina prisijungti savo įgaliojimai į mano svetainę, o ne 103 00:04:50,770 --> 00:04:51,850 savo interneto svetainėje. 104 00:04:51,850 --> 00:04:54,780 >> Ir kad aš galiu siųsti žmones laišką su šią nuorodą. 105 00:04:54,780 --> 00:04:56,240 Aš sakau, oi, čia nuoroda. 106 00:04:56,240 --> 00:04:57,290 Tai bankas, pavyzdžiui. 107 00:04:57,290 --> 00:05:01,390 Sakau, čia eiti ant šios nuorodos. 108 00:05:01,390 --> 00:05:03,730 Ir kai jie siunčia jį, jie bus naršyti aplink. 109 00:05:03,730 --> 00:05:07,560 Galiu palaukti 15 sekundžių, 20 sekundžių, ir tada pop, kad vėl užsiregistruoti 110 00:05:07,560 --> 00:05:08,840 pasirašyti atgal. 111 00:05:08,840 --> 00:05:10,120 Vaikinai galite pabandyti jį su daug daugiau dalykų. 112 00:05:10,120 --> 00:05:13,190 Tai sudėtinga, nes vaikinai nemačiau JavaScript, todėl jūs galite 113 00:05:13,190 --> 00:05:14,750 nežinau kai kurių funkcijų. 114 00:05:14,750 --> 00:05:18,625 Bet viskas, ką turite padaryti, tai pradėti su scenarijų, baigiasi scenarijų. 115 00:05:18,625 --> 00:05:22,105 116 00:05:22,105 --> 00:05:25,510 Ir jūs galite įdėti ką nors viduryje. 117 00:05:25,510 --> 00:05:27,350 >> Perspėjimas yra funkcija, laukti. 118 00:05:27,350 --> 00:05:29,365 Langų vieta pateksite į naują vietą. 119 00:05:29,365 --> 00:05:31,370 Bet jūs galite padaryti daug daugiau. 120 00:05:31,370 --> 00:05:32,630 Ir todėl idėja yra ta, kad mes, kad ne. 121 00:05:32,630 --> 00:05:39,350 Jei aš einu pavyzdžiui, dvi, ir aš įdėti į tą patį kodą, jis 122 00:05:39,350 --> 00:05:40,210 nesiruošia dirbti. 123 00:05:40,210 --> 00:05:43,620 Taigi, tai spausdinant viską, nes ką ši svetainė iš pradžių 124 00:05:43,620 --> 00:05:50,350 ar yra, jei aš įdėti ką nors čia, jis bus atspausdinti jį čia. 125 00:05:50,350 --> 00:05:52,390 Taigi jis nespausdina nieko iš. 126 00:05:52,390 --> 00:05:55,560 Šis pavyzdys yra iš tikrųjų patikrinti pamatyti, jei scenarijus yra. 127 00:05:55,560 --> 00:05:57,163 Taigi, taip, eiti į priekį. 128 00:05:57,163 --> 00:05:57,606 Paprašykite manęs. 129 00:05:57,606 --> 00:05:59,560 >> Auditorija: Ar nesiunčia gauti arba rašyti prašymą? 130 00:05:59,560 --> 00:06:00,670 >> LUCIANO Arango: Taip. jie siunčiant get prašymą. 131 00:06:00,670 --> 00:06:01,350 >> PUBLIKA: Tai? 132 00:06:01,350 --> 00:06:02,490 >> LUCIANO Arango: Taip. 133 00:06:02,490 --> 00:06:04,030 Taip pat naršyklių naudoti post prašymus. 134 00:06:04,030 --> 00:06:07,470 Bet aš bandau parodyti GET užklausų todėl, kad mes galime pamatyti, kas yra 135 00:06:07,470 --> 00:06:10,760 iš tikrųjų vyksta. 136 00:06:10,760 --> 00:06:12,880 Ir taip, jei pažvelgsime į šio kodekso - todėl ji neveikia anymore. 137 00:06:12,880 --> 00:06:24,870 Ir jei mes pažvelgsime į šio kodekso išvaizdą, tai bus pavyzdyje dvi. 138 00:06:24,870 --> 00:06:29,300 Kas šis žmogus daro, žmogus atsakinga už šios naršyklės - 139 00:06:29,300 --> 00:06:35,370 atverti, gerai - 140 00:06:35,370 --> 00:06:39,290 keičia žodis "scenarijų. 141 00:06:39,290 --> 00:06:42,850 Tai yra PHP, o vaikinai galėtų mačiau šiek tiek dar. 142 00:06:42,850 --> 00:06:46,250 >> Jis tiesiog pakeičiant žodis scenarijų su pavadinimu. 143 00:06:46,250 --> 00:06:50,895 Taigi vis dėlto, jei aš einu į priekį ir tiesiog įdėti - 144 00:06:50,895 --> 00:06:58,520 145 00:06:58,520 --> 00:07:02,360 jei stveriu kodą dar kartą, ir aš ruošiuosi keisti tai tik šiek tiek. 146 00:07:02,360 --> 00:07:15,010 Vietoj scenarijų, aš ruošiuosi keisti tai už scenarijų su kapitalo R. ir 147 00:07:15,010 --> 00:07:16,390 mes ketiname pamatyti, jei šis kodas veikia. 148 00:07:16,390 --> 00:07:19,090 Taigi nebuvo atspausdinti jį, kuris yra geras ženklas. 149 00:07:19,090 --> 00:07:21,990 Ir tikiuosi, dviem daugiau sekundžių, ji ketina pop-up. 150 00:07:21,990 --> 00:07:22,820 >> Jūsų prisijungimo laikas baigėsi. 151 00:07:22,820 --> 00:07:23,210 Gerai. 152 00:07:23,210 --> 00:07:24,460 Viskas gerai. 153 00:07:24,460 --> 00:07:27,670 Taigi tikrinant scenarijų galėtų nebūtinai dirbti. 154 00:07:27,670 --> 00:07:28,130 Asmuo - 155 00:07:28,130 --> 00:07:32,290 ji taip pat gali patikrinti scenarijaus didžiosiomis raidėmis, scenarijų mažosiomis g atvejis 156 00:07:32,290 --> 00:07:34,180 lyginti, įsitikinti, kad jie patys. 157 00:07:34,180 --> 00:07:38,480 Bet įsilaužėlis vis dar galite padaryti, tarsi kas mes padarė Vigenere kai mes persikėlė 158 00:07:38,480 --> 00:07:40,620 atgal pora ženklai, judėti į priekį. 159 00:07:40,620 --> 00:07:43,470 Ir ji gali išsiaiškinti, kaip įdėti scenarijų atgal į ten, kad ji gali švirkšti 160 00:07:43,470 --> 00:07:44,460 kad scenarijų. 161 00:07:44,460 --> 00:07:50,370 >> Taigi, ką jūs norite naudoti yra htmlspecialchars į 162 00:07:50,370 --> 00:07:51,330 apsaugoti jūsų svetainę. 163 00:07:51,330 --> 00:07:56,490 Ir kas tai daro tai daro įsitikinęs, kad tai, ką jūs įtraukėte į - 164 00:07:56,490 --> 00:07:59,610 pavyzdžiui, citatos ar tai didesnis ar mažesnis nei - 165 00:07:59,610 --> 00:08:04,701 pakeičiamas su kažkuo kad nebus - 166 00:08:04,701 --> 00:08:05,951 leiskite man padidinti čia - 167 00:08:05,951 --> 00:08:08,730 168 00:08:08,730 --> 00:08:09,685 faktinis ampersand. 169 00:08:09,685 --> 00:08:13,420 Jis pakeis šių specialių HTML ženklai, kad mes pamatysime kai mes 170 00:08:13,420 --> 00:08:14,670 kalbame apie - 171 00:08:14,670 --> 00:08:18,635 172 00:08:18,635 --> 00:08:20,740 oh, tai paims mane į - 173 00:08:20,740 --> 00:08:24,220 174 00:08:24,220 --> 00:08:25,380 šie ženklai čia. 175 00:08:25,380 --> 00:08:28,180 >> Tai reiškia, kad kažkas ateina. 176 00:08:28,180 --> 00:08:31,570 Dėl HTML, kad nuo laikiklio pasakoja, kad kažkas 177 00:08:31,570 --> 00:08:33,299 HTML susijusi ateina. 178 00:08:33,299 --> 00:08:33,980 Ir mes norime atsikratyti, kad. 179 00:08:33,980 --> 00:08:36,200 Mes nenorime įdėti HTML į website.k Mes nenorime vartotojui turi būti 180 00:08:36,200 --> 00:08:40,260 galima įdėti kažką savo svetainėje kurie gali turėti įtakos jų svetainę, kaip 181 00:08:40,260 --> 00:08:43,480 scenarijų arba HTML ar kažkas panašaus. 182 00:08:43,480 --> 00:08:53,090 Kas svarbu yra tai, kad jums Sanitarinės vartotojo įvestį. 183 00:08:53,090 --> 00:08:54,720 >> Taigi, vartotojai gali įvesties daug dalykų. 184 00:08:54,720 --> 00:08:58,110 Jis gali įvesti stuff krūva pabandyti apgauti savo naršyklę į dar 185 00:08:58,110 --> 00:08:59,410 rodyti šį programinį kodą. 186 00:08:59,410 --> 00:09:02,870 Ką jūs norite daryti yra ne tik ieškoti script, bet atrodo viskas 187 00:09:02,870 --> 00:09:04,250 tai gali būti kenksminga. 188 00:09:04,250 --> 00:09:06,800 Ir htmlspecialchars darys, kad už jus, kad jūs neturite 189 00:09:06,800 --> 00:09:07,340 jaudintis dėl to. 190 00:09:07,340 --> 00:09:12,280 Bet nebandykite to daryti patys tarsi su savo kodu. 191 00:09:12,280 --> 00:09:14,055 Ar kiekvienas aiškiai XSS? 192 00:09:14,055 --> 00:09:14,370 >> Gerai. 193 00:09:14,370 --> 00:09:16,355 Vykime į SQL injekcijos. 194 00:09:16,355 --> 00:09:21,010 Taigi SQL injekcijos tikriausiai numeris vienas pažeidžiamumas 195 00:09:21,010 --> 00:09:22,490 įvairiose interneto svetainėse. 196 00:09:22,490 --> 00:09:24,350 Aš turiu galvoje, geras pavyzdys - 197 00:09:24,350 --> 00:09:27,350 Aš tik tiriant toliausiai dėl šio dalyko. 198 00:09:27,350 --> 00:09:34,430 Ir radau šį awesome straipsnį, kuriame Aš pamačiau, kad Harvardo buvo pažeistas, 199 00:09:34,430 --> 00:09:35,390 buvo įsilaužta. 200 00:09:35,390 --> 00:09:37,370 Ir man buvo įdomu, gerai, kaip jie tai daro? 201 00:09:37,370 --> 00:09:41,660 Harvardo yra labiausiai nuostabus, labiausiai užtikrinti universitetą bet kada. 202 00:09:41,660 --> 00:09:43,850 Teisė? 203 00:09:43,850 --> 00:09:45,410 Na, nepažeistų serverius, hakeriai naudoti 204 00:09:45,410 --> 00:09:47,710 metodas vadinamas SQL injekcijos. 205 00:09:47,710 --> 00:09:50,250 >> Taigi tai atsitinka dėl kasdien. 206 00:09:50,250 --> 00:09:53,590 Žmonės pamiršta, kad būtų atsižvelgta į SQL injekcijos. 207 00:09:53,590 --> 00:09:54,930 Harvardo nėra. 208 00:09:54,930 --> 00:10:00,050 Manau, kad tai sako čia, Prinstono, Stanfordo, Kornelio. 209 00:10:00,050 --> 00:10:03,550 Taigi, kaip mes - tai kas tai yra SQL injekcija, kuri atneša visa tai 210 00:10:03,550 --> 00:10:05,668 žmonės žemyn? 211 00:10:05,668 --> 00:10:08,010 Gerai. 212 00:10:08,010 --> 00:10:12,090 Taigi SQL programavimo kalba, kuri mes naudojame prieiti prie duomenų bazių. 213 00:10:12,090 --> 00:10:14,560 Ką mes darome, tai mes pasirinkite - 214 00:10:14,560 --> 00:10:18,510 Taigi, kas tai skaito dabar yra pasirinkite viskas nuo stalo. 215 00:10:18,510 --> 00:10:22,640 >> SQL jis keičia į šias duomenų bazes kad turi lenteles pilnas informacijos. 216 00:10:22,640 --> 00:10:26,550 Taigi pasirinkite viską iš vartotojų kur vardas yra vardas. 217 00:10:26,550 --> 00:10:28,120 Teisė? 218 00:10:28,120 --> 00:10:30,770 Pakankamai paprasta. 219 00:10:30,770 --> 00:10:34,490 SQL injekcijos idėja yra ta, kad mes įterpti kenkėjišką kodą, kuris būtų 220 00:10:34,490 --> 00:10:37,270 apgauti serverio į rodyti kažką kitoks, nei jis 221 00:10:37,270 --> 00:10:38,430 iš pradžių buvo paleista. 222 00:10:38,430 --> 00:10:44,970 Taigi, tarkim, vardu, mes įdėti ar 1 yra lygus 1. 223 00:10:44,970 --> 00:10:46,700 Taigi, mes įdėti ar 1 yra lygus 1. 224 00:10:46,700 --> 00:10:49,890 Kaip jis bus skaityti dabar bus pasirinkite iš naudotojų, viskas iš 225 00:10:49,890 --> 00:10:51,360 vartotojų - tai yra viskas - 226 00:10:51,360 --> 00:10:55,880 kur vardas yra vardas, bet username is arba 1 yra lygus 1. 227 00:10:55,880 --> 00:11:01,760 >> Taigi vardas yra nieko arba 1 yra lygus 1. 228 00:11:01,760 --> 00:11:04,060 1 lygu 1 visada yra tiesa. 229 00:11:04,060 --> 00:11:07,690 Taigi, tai bus visada grįžti informaciją iš vartotojų. 230 00:11:07,690 --> 00:11:08,100 Gerai. 231 00:11:08,100 --> 00:11:10,030 Mums nereikia turėti teisingą vartotojo vardą. 232 00:11:10,030 --> 00:11:14,240 Mes galime tik nieko, kad mes norime, ir jis grįš informaciją 233 00:11:14,240 --> 00:11:15,690 kad mums reikia. 234 00:11:15,690 --> 00:11:17,160 Pažvelkime į kitą pavyzdį. 235 00:11:17,160 --> 00:11:22,720 >> Jei mes pasirinkti viską nuo vartotojo, kur pavadinimas yra DROP TABLE vartotojai - 236 00:11:22,720 --> 00:11:26,420 Taigi, ką jūs manote, kad tai bus daryti, jei aš įdėti į vardą 237 00:11:26,420 --> 00:11:29,560 kaip DROP TABLE vartotojai? 238 00:11:29,560 --> 00:11:30,230 Kiekvienas turi idėją? 239 00:11:30,230 --> 00:11:31,050 Taip. 240 00:11:31,050 --> 00:11:32,470 >> PUBLIKA: Tai ketinu pasakyti tai iškelties visas lenteles. 241 00:11:32,470 --> 00:11:35,460 >> LUCIANO Arango: Ji ketina papasakoti iškelties viską tinklalapyje 242 00:11:35,460 --> 00:11:38,290 viskas į duomenų bazę. 243 00:11:38,290 --> 00:11:41,910 Ir tai, ką žmonės naudoti šį - taip Aš ketinu parodyti jums, vaikinai. 244 00:11:41,910 --> 00:11:45,462 Aš neįgaliesiems nuleisti lenteles nes aš noriu, kad jūs 245 00:11:45,462 --> 00:11:48,240 vaikinai lašas mano lenteles. 246 00:11:48,240 --> 00:11:49,850 Leiskite pažvelgti į tai pažvelgti. 247 00:11:49,850 --> 00:11:54,410 Taigi tai tiesiog išsitraukia iki informaciją tam tikram asmeniui. 248 00:11:54,410 --> 00:11:57,550 Taigi, kaip mes žinome, jeigu tai yra įtakos SQL injekcijos. 249 00:11:57,550 --> 00:12:01,545 Mes ketiname patikrinti nekilnojamojo greitai jei mes galime įdėti kažką - 250 00:12:01,545 --> 00:12:04,990 251 00:12:04,990 --> 00:12:06,080 leiskite man nukopijuoti šį kodą. 252 00:12:06,080 --> 00:12:08,140 Aš ruošiuosi eiti per jį per sekundę. 253 00:12:08,140 --> 00:12:12,210 Aš ruošiuosi įdėti šaknis ir 1 yra lygus 1. 254 00:12:12,210 --> 00:12:15,510 >> Tai čia, tai procento ženklas 23 - 255 00:12:15,510 --> 00:12:19,970 ką ji iš tikrųjų yra, jei aš atrodo čia ne - 256 00:12:19,970 --> 00:12:23,820 būdas HTML trunka skaičiais, jei pažvelgti, kai aš įdėti į kosmosą ieškoti 257 00:12:23,820 --> 00:12:28,380 čia - jei aš būčiau kosmoso kažką čia jis keičia jį procento 2. 258 00:12:28,380 --> 00:12:31,420 Ar jus vaikinai pamatyti tai čia kai aš įdėti į kosmosą? 259 00:12:31,420 --> 00:12:36,710 Kaip tai veikia tai, kad jūs galite tik siųsti ASCII vertybes HTML. 260 00:12:36,710 --> 00:12:40,330 Taigi jis pakeičia, pavyzdžiui, erdvė su procentais 20. 261 00:12:40,330 --> 00:12:41,970 Aš nežinau, jei jus vaikinai mačiau, kad prieš. 262 00:12:41,970 --> 00:12:45,100 >> Jis pakeičia hashtag su procentais 23. 263 00:12:45,100 --> 00:12:50,840 Mums reikia hashtag pabaigoje ar pareiškimas, kad galėtume pasakyti, 264 00:12:50,840 --> 00:13:00,885 duomenų bazė pamiršti komentaras iš šis paskutinis kabliataškiu pabaigoje. 265 00:13:00,885 --> 00:13:03,060 Mes norime, kad ji negali galvoti apie tai. 266 00:13:03,060 --> 00:13:05,980 Mes tiesiog norime, kad ji paleisti viską kad mes turime iš anksto ir 267 00:13:05,980 --> 00:13:07,450 pastebėjo, kad iš. 268 00:13:07,450 --> 00:13:08,710 Paimkime į jį žiūrėti. 269 00:13:08,710 --> 00:13:14,670 >> Taigi, jei aš buvo įdėti ką nors blogo - tarkim, pavyzdžiui, aš įdėti 2 lygu 270 00:13:14,670 --> 00:13:15,690 1, tai nesuteikia man nieko. 271 00:13:15,690 --> 00:13:22,930 Kai aš įdėti 1 yra lygus 1, ir ji grįžti kažką, tai man sako, kad 272 00:13:22,930 --> 00:13:24,660 tai yra pažeidžiami SQL injekcijos. 273 00:13:24,660 --> 00:13:29,090 Dabar aš žinau, kad bet kokia Aš po to - 274 00:13:29,090 --> 00:13:39,110 ir, pavyzdžiui, DROP LENTELĖS ar kažkas panašaus 275 00:13:39,110 --> 00:13:41,190 tikrai dirbti. 276 00:13:41,190 --> 00:13:44,350 Žinau, kad pažeidžiami SQL injection nes žinau, kad 277 00:13:44,350 --> 00:13:49,850 po kapotu, tai nuomos man tai 1 lygus 1 dalykas. 278 00:13:49,850 --> 00:13:51,100 Gerai? 279 00:13:51,100 --> 00:13:53,950 280 00:13:53,950 --> 00:13:56,540 >> Ir jei mes pažvelgti į šių kitų, numeris du ir numeris trys, tai 281 00:13:56,540 --> 00:13:59,110 ketina padaryti šiek tiek daugiau tikrinti po 282 00:13:59,110 --> 00:14:03,680 dangtis, kas tai yra. 283 00:14:03,680 --> 00:14:07,425 Taigi, kas leistų lašas kas dar ar bandėte? 284 00:14:07,425 --> 00:14:08,760 Ar jums, vaikinai, tarsi gauti SQL dar? 285 00:14:08,760 --> 00:14:10,430 Nes aš žinau, jūs vaikinai neturite mačiau jį dar, kad tai rūšies 286 00:14:10,430 --> 00:14:11,759 painioja jums vaikinai. 287 00:14:11,759 --> 00:14:16,160 288 00:14:16,160 --> 00:14:18,480 Paimkime išvaizdą. 289 00:14:18,480 --> 00:14:21,270 Taigi, kas yra būdas užkirsti kelią SQLI? 290 00:14:21,270 --> 00:14:21,390 Gerai. 291 00:14:21,390 --> 00:14:23,330 Taigi tai yra tikrai svarbus, nes jums vaikinai tikrai norite, kad būtų išvengta 292 00:14:23,330 --> 00:14:24,090 šią nuorodą į savo interneto svetainėse. 293 00:14:24,090 --> 00:14:28,040 >> Jei ne, visi tavo draugai ketinate pasijuokti iš jūsų, kai jie meta viską 294 00:14:28,040 --> 00:14:29,390 Jūsų stalai. 295 00:14:29,390 --> 00:14:36,150 Taigi, idėja yra, kad jūs atkurti SQL tam tikru būdu, o jūs rungtynės 296 00:14:36,150 --> 00:14:41,940 ką vartotojas įėjimai su tikras eilutę. 297 00:14:41,940 --> 00:14:46,120 Taigi, kaip tai veikia, jums parengti duomenų bazę. 298 00:14:46,120 --> 00:14:50,830 Galite pasirinkti pavadinimą, spalvą ir kalorijų iš duomenų bazės vadinamas vaisių. 299 00:14:50,830 --> 00:14:53,580 Ir tada, kai kalorijų yra mažiau nei, ir mes įdėti klaustuką yra 300 00:14:53,580 --> 00:14:56,530 sakydamas, mes ketiname įvesti kažkas per sekundę. 301 00:14:56,530 --> 00:14:58,850 >> Ir spalvos lygios, ir mes įdėti klausimą ženklas sakydamas mes ketiname 302 00:14:58,850 --> 00:15:00,913 įėjimo kažkas per sekundę, taip pat. 303 00:15:00,913 --> 00:15:02,660 Gerai? 304 00:15:02,660 --> 00:15:09,920 Ir tada mes jį vykdyti, įgyvendinant į 150 ir raudona. 305 00:15:09,920 --> 00:15:12,820 Ir tai patikrinti, kad įsitikinęs, kad šie du dalykai - 306 00:15:12,820 --> 00:15:15,300 tai masyvas bus patikrinti, kad šie du yra sveikasis skaičius ir 307 00:15:15,300 --> 00:15:16,550 kad tai yra eilutė. 308 00:15:16,550 --> 00:15:18,810 309 00:15:18,810 --> 00:15:20,890 Tada mes einame, ir mes paimti gale, mes jį raudonai. 310 00:15:20,890 --> 00:15:21,964 Tai reiškia, kad mes atnešti visiems. 311 00:15:21,964 --> 00:15:26,790 Tai reiškia, kad mes iš tikrųjų vykdyti SQL ataskaita ir padėkite jį atgal į raudoną. 312 00:15:26,790 --> 00:15:30,530 Čia mes darome tą patį, bet mes daryti tą patį ir geltona. 313 00:15:30,530 --> 00:15:32,490 Ir mes atnešti visiems. 314 00:15:32,490 --> 00:15:36,140 >> Ir tokiu būdu, mes galime išvengti vartotojui gražu galėtų įvesties kažką 315 00:15:36,140 --> 00:15:41,710 ne tai, ką mes nurodyta, styginių arba sveikasis skaičius, pvz. 316 00:15:41,710 --> 00:15:45,100 317 00:15:45,100 --> 00:15:46,610 Aš kalbu apie anksčiau priklausomi nuo kitų žmonių. 318 00:15:46,610 --> 00:15:50,010 Kai vaikinai pradėti savo projektą, jūs neabejotinai ketinate naudoti 319 00:15:50,010 --> 00:15:52,310 bootstrap'inti ar kažkas panašaus. 320 00:15:52,310 --> 00:15:53,490 Ar jums, vaikinai, kada nors naudojamas WordPress? 321 00:15:53,490 --> 00:15:57,170 Tikriausiai jus vaikinai naudoti WordPress greičiausiai. 322 00:15:57,170 --> 00:16:00,050 Taigi su naudojant problema kitų žmonių dalykų - 323 00:16:00,050 --> 00:16:05,940 Aš tik Google nekilnojamojo greitai WordPress pažeidžiamumas. 324 00:16:05,940 --> 00:16:07,495 >> Jei aš traukti tai iki dabar - 325 00:16:07,495 --> 00:16:08,995 Aš tiesiog padarė du antrojo "Google". 326 00:16:08,995 --> 00:16:12,300 327 00:16:12,300 --> 00:16:13,800 Mes matome, kad WordPress - 328 00:16:13,800 --> 00:16:17,450 tai data kaip '12. 329 00:16:17,450 --> 00:16:19,120 26 yra atnaujinama. 330 00:16:19,120 --> 00:16:23,620 Numatytoji konfigūracija WordPress prieš 3,6 netrukdo tai 331 00:16:23,620 --> 00:16:27,110 tam tikros nuotraukos, kurios gali lengviau 332 00:16:27,110 --> 00:16:29,790 cross-site scripting išpuolių. 333 00:16:29,790 --> 00:16:34,530 Taigi greitai istorija, kai dirbome - taip man buvo, vasarą, darbo 334 00:16:34,530 --> 00:16:34,970 stažuotės. 335 00:16:34,970 --> 00:16:40,400 Ir dirbome su rūšies kaip didelis kredito kortelių bendrovei. 336 00:16:40,400 --> 00:16:42,020 >> Ir jie remiasi kažką vadinama - 337 00:16:42,020 --> 00:16:45,740 Aš nežinau, jei jus vaikinai kada nors grojo su produkto, pavadinto Joomla. 338 00:16:45,740 --> 00:16:51,750 Joomla yra produktas, kuris yra naudojamas kontrolė - tarsi panašus į 339 00:16:51,750 --> 00:16:54,340 WordPress, naudojamas kurti svetaines. 340 00:16:54,340 --> 00:16:56,060 Taigi jie turėjo savo svetainę darbo Joomla. 341 00:16:56,060 --> 00:16:59,290 Tai tikrai kreditinės kortelės bendrovė Kolumbijoje. 342 00:16:59,290 --> 00:17:01,000 Imsiu jums jų svetainė nekilnojamojo greitai. 343 00:17:01,000 --> 00:17:04,550 344 00:17:04,550 --> 00:17:05,400 >> Taigi jie naudojami Joomla. 345 00:17:05,400 --> 00:17:08,630 Ir jie nebuvo atnaujinti Joomla į naujausią to. 346 00:17:08,630 --> 00:17:12,160 Ir todėl, kai mes atsižvelgiant pažvelgti jų kodas, mes galėjome iš tikrųjų 347 00:17:12,160 --> 00:17:18,430 vidun savo kodą ir pavogti visus kredito kortelės informaciją, kad jie turėjo, 348 00:17:18,430 --> 00:17:21,670 visi kredito kortelių numerius, pavadinimai, adresai. 349 00:17:21,670 --> 00:17:22,740 Ir tai buvo tik - 350 00:17:22,740 --> 00:17:23,569 ir jų kodas buvo puikiai baudą. 351 00:17:23,569 --> 00:17:24,710 Jie turėjo didelę kodą. 352 00:17:24,710 --> 00:17:25,389 Tai buvo visų saugumas. 353 00:17:25,389 --> 00:17:26,520 Jie patikrino visas duomenų bazes. 354 00:17:26,520 --> 00:17:29,020 Jie pasirūpino, cross-site scenarijus buvo gerai. 355 00:17:29,020 --> 00:17:34,390 >> Bet jie naudojo kažkas, kad nebuvo atnaujinti, kad nebuvo saugus. 356 00:17:34,390 --> 00:17:36,940 Ir todėl, kad paskatino juos - taip vaikinai tikrai ketinate naudoti kitas 357 00:17:36,940 --> 00:17:40,650 žmonių kodas, kitų žmonių sistemas sukurti savo svetainę. 358 00:17:40,650 --> 00:17:43,860 Įsitikinkite, kad jie saugus, nes kartais tai ne, vienas, kad 359 00:17:43,860 --> 00:17:44,480 suklysta. 360 00:17:44,480 --> 00:17:47,440 Bet kažkas suklysta, ir tada jūs griūti dėl to. 361 00:17:47,440 --> 00:17:51,190 362 00:17:51,190 --> 00:17:53,885 >> Slaptažodžiai ir PCAD. 363 00:17:53,885 --> 00:17:56,820 Taigi slaptažodžius. 364 00:17:56,820 --> 00:17:58,070 Gerai. 365 00:17:58,070 --> 00:17:59,980 366 00:17:59,980 --> 00:18:04,230 Leiskite pažvelgti slaptažodžius išvaizdą nekilnojamojo greitai. 367 00:18:04,230 --> 00:18:04,590 Gerai. 368 00:18:04,590 --> 00:18:06,520 Prašau pasakyti, kad kiekvienas naudoja saugus - 369 00:18:06,520 --> 00:18:09,030 Aš tikiuosi, visiems čia naudoja saugius slaptažodžius. 370 00:18:09,030 --> 00:18:12,890 Aš tiesiog leisti, kad ir kaip prielaida. 371 00:18:12,890 --> 00:18:14,850 Taigi, vaikinai tikrai ketina saugoti slaptažodžius savo interneto svetainėse. 372 00:18:14,850 --> 00:18:17,440 Jūs ketinate padaryti kažką panašaus Prisijunkite arba kažkas panašaus. 373 00:18:17,440 --> 00:18:19,610 Kas svarbu, kad ne aukštesnėje slaptažodžius paprastojo teksto. 374 00:18:19,610 --> 00:18:20,860 Tai labai svarbu. 375 00:18:20,860 --> 00:18:23,960 Nenorite saugoti slaptažodis paprastu tekstu. 376 00:18:23,960 --> 00:18:27,370 >> Ir jūs tikrai tikrai norite laikyti jį į vieną pusę maišos. 377 00:18:27,370 --> 00:18:32,440 Taigi, kas vieną pusę maišos yra tai, kad kai sukurti žodį, kai jūs įtraukėte tai 378 00:18:32,440 --> 00:18:36,200 žodis į maišos funkcija, tai bus generuoti atgal kai paslaptingas rūšiuoti 379 00:18:36,200 --> 00:18:39,390 pranešimas arba paslaptingas rinkinys raktus. 380 00:18:39,390 --> 00:18:40,640 Aš jums parodysiu pavyzdį. 381 00:18:40,640 --> 00:18:44,620 382 00:18:44,620 --> 00:18:50,250 Aš ruošiuosi maišos jie žodį hasło1. 383 00:18:50,250 --> 00:18:55,280 Taigi MD5 hash ketina grįžti man kai keistai informacijos rūšiuoti. 384 00:18:55,280 --> 00:18:59,140 >> Problema ta, kad žmonės ten kad norėčiau eiti į svetaines turi 385 00:18:59,140 --> 00:19:02,750 jau suprato, rūšiuoti visų MD5 maišos. 386 00:19:02,750 --> 00:19:06,030 Kas jie yra jie susėdo ant jų kompiuteriai, ir jie maiša kas 387 00:19:06,030 --> 00:19:09,660 vieno įmanoma žodis ten, kol jie gavo tarsi kas tai yra. 388 00:19:09,660 --> 00:19:11,420 Jei aš būčiau sužinoti apie tai - 389 00:19:11,420 --> 00:19:12,420 Aš tiesiog įsikabinti šį maišos. 390 00:19:12,420 --> 00:19:14,120 Jei gaunu šį maišos - 391 00:19:14,120 --> 00:19:17,470 jei aš einu į svetainę, ir manau, tai maišos, nes gaunu 392 00:19:17,470 --> 00:19:24,100 duomenų bazių ir žiūriu jį, nors jau suprato, kad už mane. 393 00:19:24,100 --> 00:19:28,600 394 00:19:28,600 --> 00:19:29,100 >> Taip. 395 00:19:29,100 --> 00:19:35,030 Taigi žmonės susėdo, ir kokia suma MD5 maišos, kad jūs įdėti, kad jie ketina 396 00:19:35,030 --> 00:19:37,760 grįžti į jus kažkas tai žodis. 397 00:19:37,760 --> 00:19:39,800 Jei aš maišos kitą žodį, kaip - 398 00:19:39,800 --> 00:19:42,410 Aš nežinau, - 399 00:19:42,410 --> 00:19:43,490 trees2. 400 00:19:43,490 --> 00:19:46,050 Nenoriu būti nuvilti mano "Google" paieškas. 401 00:19:46,050 --> 00:19:49,820 402 00:19:49,820 --> 00:19:52,780 Yra tai yra, trees2. 403 00:19:52,780 --> 00:19:55,930 Taigi daug svetainių vis dar naudoja MD5 maišos. 404 00:19:55,930 --> 00:19:57,730 Jie sako, oi, tai saugus. 405 00:19:57,730 --> 00:19:58,570 Mes ne saugoti paprastu tekstu. 406 00:19:58,570 --> 00:19:59,740 Mes turime šį md5 hash. 407 00:19:59,740 --> 00:20:01,880 Ir viskas, ką turite padaryti, tai tik "Google" numerį. 408 00:20:01,880 --> 00:20:03,940 >> Aš net nereikia apskaičiuoti pats. 409 00:20:03,940 --> 00:20:06,790 Galiu tik google jį, ir kažkas jau tai padarė už mane. 410 00:20:06,790 --> 00:20:08,010 Štai jų krūva. 411 00:20:08,010 --> 00:20:09,260 Štai slaptažodžių krūva. 412 00:20:09,260 --> 00:20:13,890 413 00:20:13,890 --> 00:20:18,680 Taigi tikrai nereikia naudoti md5 hash, nes viskas, ką turite 414 00:20:18,680 --> 00:20:19,140 padaryti, tai "Google" ji. 415 00:20:19,140 --> 00:20:20,390 Taigi, ką jūs norite naudoti vietoj? 416 00:20:20,390 --> 00:20:29,340 417 00:20:29,340 --> 00:20:30,170 Gerai. 418 00:20:30,170 --> 00:20:31,260 Kažkas pavadino sūdymas. 419 00:20:31,260 --> 00:20:32,460 Taigi, kas yra sūdymas - 420 00:20:32,460 --> 00:20:36,280 jus vaikinai atsimenu, kai mes buvome kalbame apie atsitiktinai - 421 00:20:36,280 --> 00:20:37,920 Aš nesu įsitikinęs, ką pset ji - 422 00:20:37,920 --> 00:20:41,140 ji buvo pset ten ar keturis? 423 00:20:41,140 --> 00:20:45,150 >> Mes kalbame apie ieškant į adatą šieno kupetoje. 424 00:20:45,150 --> 00:20:48,480 Ir pset, jis sakė, kad galėtumėte iš tikrųjų suprasti, ką atsitiktinai 425 00:20:48,480 --> 00:20:51,840 generuoja, nes kažkas jau vyko atsitiktinių milijoną kartų ir tik 426 00:20:51,840 --> 00:20:53,230 tarsi susiformavo ką jie sukuria. 427 00:20:53,230 --> 00:20:55,840 Ką jūs norite daryti yra įdėti į indėlį. 428 00:20:55,840 --> 00:20:57,130 Štai ką sūdymas tarsi yra. 429 00:20:57,130 --> 00:21:00,900 Jie jau suprato, ką sūdymas grąžina kiekvienam kūriniui. 430 00:21:00,900 --> 00:21:04,750 >> Taigi, ką daro, yra sūdymas jūs įdėti druskos. 431 00:21:04,750 --> 00:21:06,160 Jūs įdėti į tam tikrą žodį. 432 00:21:06,160 --> 00:21:09,720 Ir tai bus koduoti šį žodį, priklausomai apie tai, ką jūs įtraukėte į čia. 433 00:21:09,720 --> 00:21:13,570 Taigi, jei aš maišos slaptažodį vieną su šiuo sakinys, jis ketina maišos 434 00:21:13,570 --> 00:21:17,180 kitaip, jei aš maišos hasło1 su kitu sakiniu. 435 00:21:17,180 --> 00:21:21,670 Tai tarsi suteikia jai kažkur pradžia maišos pradėti. 436 00:21:21,670 --> 00:21:25,970 Taigi, tai daug sunkiau apskaičiuoti, bet jūs dar gali apskaičiuoti, kad, ypač 437 00:21:25,970 --> 00:21:26,830 jei jūs naudojate blogą druskos. 438 00:21:26,830 --> 00:21:29,650 >> Žmonės jau taip pat išsiaiškino, bendras druskos ir išsiaiškino, 439 00:21:29,650 --> 00:21:31,500 kas tai yra. 440 00:21:31,500 --> 00:21:34,980 Atsitiktinė druskos yra daug geriau, bet geriausias būdas yra naudoti 441 00:21:34,980 --> 00:21:38,160 kažkas vadinamas kriptoje. 442 00:21:38,160 --> 00:21:40,480 Ir kas kripta leidžia nereikia - todėl šios funkcijos 443 00:21:40,480 --> 00:21:41,820 jau pastatyta už jus. 444 00:21:41,820 --> 00:21:44,910 Daugelis žmonių pamiršta, kad arba jie pamiršta jį naudoti. 445 00:21:44,910 --> 00:21:54,520 Bet jei aš ieškoti kripta PHP, kripta jau grįžta maišos eilutę man. 446 00:21:54,520 --> 00:21:58,790 Ir ji iš tikrųjų druskos jai daug kartų ir maišos jį daug kartų. 447 00:21:58,790 --> 00:22:00,070 >> Taigi mes neturime tai padaryti. 448 00:22:00,070 --> 00:22:04,790 Taigi, viskas, ką turite padaryti, tai siųsti jį į kriptoje. 449 00:22:04,790 --> 00:22:08,170 Ir jis bus sukurti didelę maišos be Jums net nereikės nerimauti druskos 450 00:22:08,170 --> 00:22:08,990 arba nieko. 451 00:22:08,990 --> 00:22:12,000 Nes jei jums buvo druska tai, jūs turite prisiminti ką druską naudojote 452 00:22:12,000 --> 00:22:13,800 nes jei ne, jūs negalite gauti savo slaptažodis atgal be 453 00:22:13,800 --> 00:22:15,760 druska, kurį naudojote. 454 00:22:15,760 --> 00:22:17,010 Gerai. 455 00:22:17,010 --> 00:22:21,120 456 00:22:21,120 --> 00:22:23,150 >> O taip pat asmens identifikuoti informacija. 457 00:22:23,150 --> 00:22:26,730 Taigi, socialinis draudimas, kreditinės kortelės - tai gana akivaizdu. 458 00:22:26,730 --> 00:22:31,880 Bet kartais žmonės pamiršta, kaip ji darbai yra kiek informacijos jūs 459 00:22:31,880 --> 00:22:35,690 iš tikrųjų reikia rasti vieną asmenį? 460 00:22:35,690 --> 00:22:37,740 Kažkas padarė tyrimą apie tai kelio atgal. 461 00:22:37,740 --> 00:22:40,870 Ir tai buvo, pavyzdžiui, jei turite vardas, pavardė, jūs negalite rasti 462 00:22:40,870 --> 00:22:41,610 kažkas, kad lengvai. 463 00:22:41,610 --> 00:22:43,900 Bet kas, jei jūs turite pilną vardą ir jų gimimo data? 464 00:22:43,900 --> 00:22:47,770 Ar tai pakankamai, kad nustatyti kas konkrečiai? 465 00:22:47,770 --> 00:22:52,760 >> Ką daryti, jei jūs turite savo vardą ir gatvė, kad jie gyvena? 466 00:22:52,760 --> 00:22:55,110 Ar tai pakankamai, kad rasti ką nors? 467 00:22:55,110 --> 00:23:02,490 Ir tai, kai jie klausia: kas yra asmens identifikuojančią informaciją, ir 468 00:23:02,490 --> 00:23:05,360 ką reikia nerimauti ne išvilioti? 469 00:23:05,360 --> 00:23:08,770 Jei atiduoti asmeniniai identifikavimo informacija, kad kas nors suteikia jums, 470 00:23:08,770 --> 00:23:11,420 jums galėtų gauti iškelta byla. 471 00:23:11,420 --> 00:23:12,610 Ir mes tikrai nenorime, kad. 472 00:23:12,610 --> 00:23:14,955 >> Taigi, kai jūs įsigijote savo svetainę užduotis, ir jūs tikrai cool 473 00:23:14,955 --> 00:23:17,230 dizainas, tikiuosi, jūs padarėte nuostabus galutinis projektas. 474 00:23:17,230 --> 00:23:18,370 Bet jūs tarsi nori padėkite jį ten. 475 00:23:18,370 --> 00:23:21,420 Jūs norite įsitikinti, kad nepriklausomai nuo jūs vartojate nuo vartotojo, jei tai 476 00:23:21,420 --> 00:23:25,310 asmens identifikuojančią informaciją, jūs norite įsitikinti, kad jūs iš tikrųjų yra 477 00:23:25,310 --> 00:23:26,560 atsargūs su juo. 478 00:23:26,560 --> 00:23:29,670 479 00:23:29,670 --> 00:23:31,080 >> "Shell injekcija. 480 00:23:31,080 --> 00:23:31,350 Gerai. 481 00:23:31,350 --> 00:23:37,590 "Shell injekcija leidžia įsibrovėlis gauti prieigą prie jūsų faktinis komandinės eilutės 482 00:23:37,590 --> 00:23:39,660 jūsų serverio. 483 00:23:39,660 --> 00:23:44,060 Ir todėl jis gali paleisti kodą kad jūs negalite kontroliuoti. 484 00:23:44,060 --> 00:23:49,560 Paimkime kad šis pavyzdys gražus styginių čia. 485 00:23:49,560 --> 00:23:55,570 Jei mes einame į svetainę dar kartą, aš ruošiuosi eiti į kodų injekcijos. 486 00:23:55,570 --> 00:23:58,910 Taigi, kas tai daro, yra - 487 00:23:58,910 --> 00:24:00,420 jis taip pat tai, ką mes žiūri anksčiau. 488 00:24:00,420 --> 00:24:11,200 Mes leisdami vartotojui įdėti ką jis nori, ir ji bus išspausdinti 489 00:24:11,200 --> 00:24:12,220 ką tik norite. 490 00:24:12,220 --> 00:24:13,890 >> Taigi, aš ruošiuosi įdėti pokalbį. 491 00:24:13,890 --> 00:24:15,540 Kas tai yra - 492 00:24:15,540 --> 00:24:16,940 jis bus pradėti concatenating. 493 00:24:16,940 --> 00:24:19,520 Taigi ji leis man paleisti kokia įsakau asmens veikia 494 00:24:19,520 --> 00:24:21,500 prieš ir mano komanda. 495 00:24:21,500 --> 00:24:23,980 Ir aš bėgu sisteminę komandą. 496 00:24:23,980 --> 00:24:27,310 Ir šie paskutiniai stygos, - prisimena ką aš kalbėjau su jumis, vaikinai, apie, 497 00:24:27,310 --> 00:24:31,725 o jūs turite koduoti tai į URL metodą. 498 00:24:31,725 --> 00:24:35,010 499 00:24:35,010 --> 00:24:36,992 Jei aš paleisti tai dabar - 500 00:24:36,992 --> 00:24:39,150 Aš jums parodysiu, čia - 501 00:24:39,150 --> 00:24:41,100 pamatysite, kad aš galų gale veikia komandą. 502 00:24:41,100 --> 00:24:45,700 503 00:24:45,700 --> 00:24:49,320 >> Tai iš tikrųjų yra tikrasis serverį kad mano svetainė veikia. 504 00:24:49,320 --> 00:24:55,840 505 00:24:55,840 --> 00:24:58,510 Taigi, mes nenorime, kad nes galiu paleisti - 506 00:24:58,510 --> 00:25:00,320 šis serveris yra ne mano. 507 00:25:00,320 --> 00:25:04,030 Taigi, aš nenoriu sujaukti jo sesuo, Marcus serveris. 508 00:25:04,030 --> 00:25:07,470 Bet jūs galite paleisti daugiau komandų kad yra pavojingi. 509 00:25:07,470 --> 00:25:11,885 Ir galbūt galima ištrinti failai, pašalinti katalogus. 510 00:25:11,885 --> 00:25:14,390 511 00:25:14,390 --> 00:25:17,970 Galiu pašalinti tam tikrą katalogą, jei Aš norėjau, bet aš nenoriu 512 00:25:17,970 --> 00:25:19,530 padaryti, kad Marcus. 513 00:25:19,530 --> 00:25:20,420 Jis gražus vaikinas. 514 00:25:20,420 --> 00:25:21,470 Jis leido man skolintis savo serverį. 515 00:25:21,470 --> 00:25:24,620 Taigi, aš ruošiuosi leisti jam off gera. 516 00:25:24,620 --> 00:25:32,280 >> Taigi, ką mes nenorime naudoti - mes ne norite naudoti eval ar sistemą. 517 00:25:32,280 --> 00:25:34,755 Eval ar sistema leidžia mums padaryti šiuos sistemos skambučius. 518 00:25:34,755 --> 00:25:37,410 519 00:25:37,410 --> 00:25:38,410 Eval priemonė įvertinti. 520 00:25:38,410 --> 00:25:40,790 Sistema tai ką išbėgau. 521 00:25:40,790 --> 00:25:42,490 Tai paleisti kažką į sistemą. 522 00:25:42,490 --> 00:25:46,730 Tačiau mes galime uždrausti šiuos dalykus PHP, kad mes nenaudojame jų. 523 00:25:46,730 --> 00:25:47,400 Ir failų įkėlimo. 524 00:25:47,400 --> 00:25:49,180 Aš buvau ketinate daryti nuostabus dalykas su failų įkėlimo. 525 00:25:49,180 --> 00:25:52,740 Bet, kaip aš jus vaikinai sakė, mano failą Įkelti dalykas neveikia. 526 00:25:52,740 --> 00:25:54,590 Jei aš būčiau įkelti failą dabar - 527 00:25:54,590 --> 00:25:57,120 528 00:25:57,120 --> 00:26:00,830 jei aš buvo nusiųsti failą, ir tai vaizdas - 529 00:26:00,830 --> 00:26:03,180 turite įkelti dalykas tai nuotrauka. 530 00:26:03,180 --> 00:26:03,660 Tai gerai. 531 00:26:03,660 --> 00:26:04,280 Nieko neįvyksta. 532 00:26:04,280 --> 00:26:10,840 >> Bet jei jūs turite įkelti failą, skirtą pavyzdys, ir vartotojo faktiškai nuotraukos 533 00:26:10,840 --> 00:26:19,220 PHP failo arba exe failą ar kažkas panašaus, tada jums galėtų 534 00:26:19,220 --> 00:26:19,740 turime problemą. 535 00:26:19,740 --> 00:26:21,390 Tai dirbo anksčiau. 536 00:26:21,390 --> 00:26:25,202 Deja, man, tai nebeveikia. 537 00:26:25,202 --> 00:26:30,230 Jei aš, pavyzdžiui, įkelti šį failą, aš negauna leidimo įkelti 538 00:26:30,230 --> 00:26:33,400 byla dėl serverio nėra mano. 539 00:26:33,400 --> 00:26:38,670 Taigi vaikinas tikrai protingas. 540 00:26:38,670 --> 00:26:39,610 >> Taigi, mes nenorime - 541 00:26:39,610 --> 00:26:40,130 Aš ketinu parodyti jums, vyručiai, - 542 00:26:40,130 --> 00:26:41,840 Gerai, tai yra keletas tikrai cool įrankiai. 543 00:26:41,840 --> 00:26:45,100 Taigi tai - 544 00:26:45,100 --> 00:26:47,715 eiti į - jei jus vaikinai Firefox - tikiuosi, jūs padaryti. 545 00:26:47,715 --> 00:26:54,260 Yra du papildinių vadinamas SQL įpurškiama Man ir cross-site Script'o mane. 546 00:26:54,260 --> 00:26:56,870 Jie atveria tiek mažai pusę barai pusėje. 547 00:26:56,870 --> 00:27:01,480 Ir jei aš turėjo eiti į CS60 pavyzdžiui - 548 00:27:01,480 --> 00:27:04,210 todėl tai, ką jis daro, yra atrodo už visas formas, kad - 549 00:27:04,210 --> 00:27:07,220 550 00:27:07,220 --> 00:27:08,760 tikiuosi, aš ne gauti į bėdą už tai. 551 00:27:08,760 --> 00:27:09,190 >> Bet Gerai. 552 00:27:09,190 --> 00:27:12,600 Štai pin sistema. 553 00:27:12,600 --> 00:27:18,946 Taigi, kai aš pradėti ieškoti skylių sistema, pirmas dalykas, kurį man yra 554 00:27:18,946 --> 00:27:21,820 atverti šį graži įrankis pusėje. 555 00:27:21,820 --> 00:27:24,160 Ir aš ruošiuosi išbandyti formas su auto išpuolių. 556 00:27:24,160 --> 00:27:28,510 Ir kas tai daro tai lėtai atverti naršyklės krūva. 557 00:27:28,510 --> 00:27:29,930 Štai naršyklių krūva. 558 00:27:29,930 --> 00:27:33,320 Ir jis bando kiekvieną derinys iš cross-site scripting 559 00:27:33,320 --> 00:27:37,380 kad galbūt yra, jei matote ant šono. 560 00:27:37,380 --> 00:27:42,080 >> Ir tai duos man rezultatas tarsi ką atsakyti. 561 00:27:42,080 --> 00:27:42,860 Viskas praeina. 562 00:27:42,860 --> 00:27:43,910 Akivaizdu, kad visi jie praeiti. 563 00:27:43,910 --> 00:27:46,190 Aš turiu galvoje, jie tikrai protingas žmonės ten. 564 00:27:46,190 --> 00:27:48,010 Bet jei aš buvo paleisti - 565 00:27:48,010 --> 00:27:52,050 Turėjau seniau, kai aš paleisti šį dėl studentų baigiamųjų projektų. 566 00:27:52,050 --> 00:27:56,080 Aš tiesiog paleisti SQL įšvirkščiamas mane su visi įvairių atakų. 567 00:27:56,080 --> 00:28:00,080 Ir jis bando SQL švirkšti tai pin serveryje. 568 00:28:00,080 --> 00:28:03,590 Taigi, jei mes slinkite žemyn, nes Pavyzdžiui, jis sako - 569 00:28:03,590 --> 00:28:04,960 tai gerai, jei jis grįžta. 570 00:28:04,960 --> 00:28:08,250 >> Taigi išbandyti kai tam tikras vertybes. 571 00:28:08,250 --> 00:28:11,170 Ir serveris grąžino kodas, kuris buvo neigiamas. 572 00:28:11,170 --> 00:28:11,780 Pašalinti laikinai. 573 00:28:11,780 --> 00:28:13,030 Tai yra gerai. 574 00:28:13,030 --> 00:28:17,050 575 00:28:17,050 --> 00:28:20,750 Jis bando visus šiuos bandymus. 576 00:28:20,750 --> 00:28:21,790 Taigi jums gali tiesiog paleisti - 577 00:28:21,790 --> 00:28:27,860 Norėčiau rasti svetainės reali greitai, kad būtų leiskite man - 578 00:28:27,860 --> 00:28:29,110 gal CS50 parduotuvė. 579 00:28:29,110 --> 00:28:43,890 580 00:28:43,890 --> 00:28:45,711 >> Oho, tai vyksta imtis per daug ilgas. 581 00:28:45,711 --> 00:28:53,090 582 00:28:53,090 --> 00:28:55,130 Aš tegul pirmasis bandymas nebaigė teisus. 583 00:28:55,130 --> 00:28:57,330 Taigi jis skundžiasi. 584 00:28:57,330 --> 00:28:58,470 Taigi šie trys dalykai. 585 00:28:58,470 --> 00:29:00,430 Šios priemonės yra nemokamos. 586 00:29:00,430 --> 00:29:03,960 Jūs galite atsisiųsti juos ir paleisti juos jūsų svetainė, ir ji jums pasakys, jei 587 00:29:03,960 --> 00:29:06,650 turite cross-site scripting, jei turite SQL, jei turite 588 00:29:06,650 --> 00:29:07,900 kažkas panašaus. 589 00:29:07,900 --> 00:29:12,230 590 00:29:12,230 --> 00:29:14,500 Aš tarsi Messing. 591 00:29:14,500 --> 00:29:15,550 >> Kas svarbu - 592 00:29:15,550 --> 00:29:17,900 Gerai, kad niekada pasitikėti vartotoją. 593 00:29:17,900 --> 00:29:21,920 Nepriklausomai nuo vartotojo įėjimai jums, kad tikrai išvalyti jį, jūs jį valyti, 594 00:29:21,920 --> 00:29:25,300 jums patikrinti teisingus dalykus, kad ji suteikia jums tai, ką jūs 595 00:29:25,300 --> 00:29:28,240 noriu, kad jis duos jums. 596 00:29:28,240 --> 00:29:32,460 Visada turi būti atnaujinamas kas sistemos kad jūs iš tikrųjų naudoti. 597 00:29:32,460 --> 00:29:34,630 Jei naudojate kažką panašaus bootstrap'inti - 598 00:29:34,630 --> 00:29:36,340 Aš žinau, vaikinai ketinate naudoti bootstrap'inti nes jis ketina eiti 599 00:29:36,340 --> 00:29:38,140 per tai greitai klasėje - 600 00:29:38,140 --> 00:29:43,120 ir WordPress arba kažką panašaus, kad, paprastai tai gali būti nulaužė. 601 00:29:43,120 --> 00:29:44,770 >> Ir tada net nežinau. 602 00:29:44,770 --> 00:29:45,800 Jūs tiesiog rodyti savo svetainėje. 603 00:29:45,800 --> 00:29:47,360 Ir tai visiškai saugus. 604 00:29:47,360 --> 00:29:51,730 Ir jūs einate žemyn. 605 00:29:51,730 --> 00:29:54,000 Taigi, aš žvejybos tikrai anksti. 606 00:29:54,000 --> 00:29:55,770 Bet aš noriu padėkoti Pentest Labs. 607 00:29:55,770 --> 00:29:58,140 Aš ketinu parodyti jums, vaikinai, ką vadinamas Pentest Labs. 608 00:29:58,140 --> 00:30:05,000 Jei vaikinai yra tikrai domina kas saugumo tikrai yra, ten 609 00:30:05,000 --> 00:30:07,300 tinklalapį, pavadintą Pentest Labs "jei vaikinai eiti į jį dabar. 610 00:30:07,300 --> 00:30:10,730 O, gerai, kad ne. 611 00:30:10,730 --> 00:30:12,030 Aš tik ketina paleisti jį, kaip šis. 612 00:30:12,030 --> 00:30:14,400 "Google" man pasako atsakymą. 613 00:30:14,400 --> 00:30:16,590 >> Gerai. 614 00:30:16,590 --> 00:30:19,030 Ir ji moko jus panaudoti - todėl sako, sužinoti interneto skvarba 615 00:30:19,030 --> 00:30:21,060 išbandyti teisingą kelią. 616 00:30:21,060 --> 00:30:23,650 Jis moko jus - 617 00:30:23,650 --> 00:30:25,150 tikiuosi, jūs etikos asmuo. 618 00:30:25,150 --> 00:30:29,200 Bet jis moko jus, kaip jūs galite peržvelgti kaip galite patekti į vidų svetainėse. 619 00:30:29,200 --> 00:30:31,130 Ir jei jums sužinoti, kaip galite patekti į vidų interneto svetaines, jūs galite sužinoti, kaip 620 00:30:31,130 --> 00:30:34,960 apsisaugoti nuo vis viduje svetainėse. 621 00:30:34,960 --> 00:30:39,100 Leiskite man padidinti, nes gal vaikinai nežiūri į šią teisę. 622 00:30:39,100 --> 00:30:46,350 >> Nuo SQL injekcijos Mokėti, todėl rūšiuoti, kaip aš galiu gauti iš SQL 623 00:30:46,350 --> 00:30:48,530 injekcija į kriauklę. 624 00:30:48,530 --> 00:30:53,890 Ir jums atsisiųsti šį virtualią mašiną. 625 00:30:53,890 --> 00:30:55,690 Ir virtualioji mašina jau ateina su svetaine, kad jūs 626 00:30:55,690 --> 00:30:56,780 einu bandyti jį. 627 00:30:56,780 --> 00:30:58,030 Jūs atsisiųsti šį PDF. 628 00:30:58,030 --> 00:31:03,610 629 00:31:03,610 --> 00:31:08,370 Ir jis parodys jums pagal kiekvieną eilutę, kas ką jums reikia padaryti, tai, ką patikrinti. 630 00:31:08,370 --> 00:31:14,560 Tai, kas užpuolikas iš tikrųjų ar patekti į vidų svetainėje. 631 00:31:14,560 --> 00:31:15,750 >> Ir kai kurie iš šių dalykų yra sudėtinga. 632 00:31:15,750 --> 00:31:17,520 Norėčiau eiti per daugiau dalykų, su jumis vaikinai. 633 00:31:17,520 --> 00:31:21,090 Bet aš nerimauti, kad vaikinai turi tikrai ne - 634 00:31:21,090 --> 00:31:23,090 tai ką aš per su vaikinai, interneto testai 635 00:31:23,090 --> 00:31:26,830 už skverbties bandymas. 636 00:31:26,830 --> 00:31:33,540 Ar tikrai nežino, kas SQL yra ir kas - 637 00:31:33,540 --> 00:31:35,960 Carl Jackson seminaras yra nuostabus taip pat. 638 00:31:35,960 --> 00:31:37,360 Vaikinai nežino, rūšiuoti kas tai yra. 639 00:31:37,360 --> 00:31:39,450 Bet jei jūs einate į šią svetainę, ir jūs atsisiųsti šias vadovėliai ir jų 640 00:31:39,450 --> 00:31:43,290 PDF, galite pažvelgti tarsi atrodo kas saugumo srityje tikrai 641 00:31:43,290 --> 00:31:46,940 ir skverbties bandymas, pamatyti, kaip jūs galite gauti viduje svetaines ir apsaugoti 642 00:31:46,940 --> 00:31:48,020 sau iš jo. 643 00:31:48,020 --> 00:31:56,360 >> Taigi, jei aš padaryti super greitą apžvalgą, jis bus išvengti cross-site scripting. 644 00:31:56,360 --> 00:32:00,160 Norite htmlspecialchars naudoti kiekvieną kartą, kai vartotojas įėjimai kažką. 645 00:32:00,160 --> 00:32:01,580 Išvengti SQL injection. 646 00:32:01,580 --> 00:32:04,510 Jei tai padarysite, jūs jau esate geriau nei Harvardo buvo 647 00:32:04,510 --> 00:32:06,530 kai jie gavo pažeistas. 648 00:32:06,530 --> 00:32:10,510 Ir įsitikinkite, kad jūsų slaptažodžiai nėra paprastas tekstas. 649 00:32:10,510 --> 00:32:16,220 Įsitikinkite, kad jūs ne tik vienas būdas maišos juos, bet, kad jūs naudojate kripta, PHP 650 00:32:16,220 --> 00:32:18,670 funkcija, kad aš parodė jums vaikinai. 651 00:32:18,670 --> 00:32:20,060 Tokiu būdu, jums turėtų būti gerai. 652 00:32:20,060 --> 00:32:25,830 >> Be to, jei jūsų draugai jums, paleisti SQL įšvirkščiamas mane į savo tinklalapius. 653 00:32:25,830 --> 00:32:28,140 Pradėti cross-site scripting jų interneto svetainėse. 654 00:32:28,140 --> 00:32:33,720 Ir jūs pamatysite šių svetainių aikštelė turi keletą silpnų toną. 655 00:32:33,720 --> 00:32:40,400 Tai neįtikėtina, kiek žmonių pamiršta iškarpyti filmą savo duomenų bazėse ar padaryti 656 00:32:40,400 --> 00:32:46,340 Nežinote, ką asmens duomenis įvedusiam nėra programinį kodą. 657 00:32:46,340 --> 00:32:47,200 Gerai. 658 00:32:47,200 --> 00:32:49,182 Aš tarsi baigėsi tikrai anksti. 659 00:32:49,182 --> 00:32:56,510 Bet jei kas nors turi kokių nors klausimų kas galite šaudyti man klausimą. 660 00:32:56,510 --> 00:32:56,630 Taip. 661 00:32:56,630 --> 00:32:56,970 Eiti, eiti. 662 00:32:56,970 --> 00:32:59,846 >> PUBLIKA: Aš tiesiog noriu paklausti, galite paaiškinti, kaip failas 663 00:32:59,846 --> 00:33:03,160 įkelti tiksliai darbus. 664 00:33:03,160 --> 00:33:03,480 >> LUCIANO Arango: Taip. 665 00:33:03,480 --> 00:33:06,350 Taigi, leiskite man parodyti jums failą įkelti nekilnojamojo greitai. 666 00:33:06,350 --> 00:33:11,300 Taigi failų įkėlimo - 667 00:33:11,300 --> 00:33:14,500 problema wit failų įkėlimo dabar yra tai, kad - 668 00:33:14,500 --> 00:33:18,541 Aš ruošiuosi atidaryti kodą, todėl jūs vaikinai pamatyti kodą užkulisiuose. 669 00:33:18,541 --> 00:33:22,390 670 00:33:22,390 --> 00:33:24,305 Ir tai yra įkelti. 671 00:33:24,305 --> 00:33:28,030 672 00:33:28,030 --> 00:33:31,560 Štai dėl failo Uploader kodas. 673 00:33:31,560 --> 00:33:33,980 >> Mes bandome eiti į šį katalogas čia. 674 00:33:33,980 --> 00:33:37,380 675 00:33:37,380 --> 00:33:44,880 Ir mes bandome, kai mes įvesti failas, isset failą - todėl, kai yra 676 00:33:44,880 --> 00:33:50,900 failą į bylos, kad vaizdas, tada mes stengiamės perkelti jį čia. 677 00:33:50,900 --> 00:33:51,910 Mes patraukti failą čia. 678 00:33:51,910 --> 00:33:58,350 Metodas POST, tipas, vaizdas, byla. 679 00:33:58,350 --> 00:33:59,630 Ir mes siunčiame šį failą. 680 00:33:59,630 --> 00:34:03,910 Ir tada, kai mes jį gauti, todėl, kai byla turi įvaizdį, mes stengiamės jį išsiųsti 681 00:34:03,910 --> 00:34:05,060 į šį aplanką. 682 00:34:05,060 --> 00:34:09,814 >> Problema ta, kad svetainė nėra leisti man eiti į šį aplanką, 683 00:34:09,814 --> 00:34:12,239 , nes jis nenori man eiti atgal. 684 00:34:12,239 --> 00:34:13,489 Ji nenori man eiti - 685 00:34:13,489 --> 00:34:15,620 686 00:34:15,620 --> 00:34:17,070 Turiu eiti - Taigi čia įkelti. 687 00:34:17,070 --> 00:34:17,639 Štai vaizdai. 688 00:34:17,639 --> 00:34:21,780 Turiu eiti visą kelią atgal į pradeda ir įdėti jį į ten ir ten 689 00:34:21,780 --> 00:34:23,820 eiti ir įdėti jį į katalogą. 690 00:34:23,820 --> 00:34:30,000 Taigi, jei aš paleisti terminalo langą, ir aš norėjau perkelti failą - 691 00:34:30,000 --> 00:34:30,409 [Nesigirdi] 692 00:34:30,409 --> 00:34:32,159 gali jį peržiūrėti. 693 00:34:32,159 --> 00:34:37,940 Jei aš norėjau perkelti failą, turiu įdėti į failo pavadinimą, tada 694 00:34:37,940 --> 00:34:40,860 pilnas kelias Noriu siųsti jį. 695 00:34:40,860 --> 00:34:45,110 >> Ir tada serveris nėra pranešėte man grįžti. 696 00:34:45,110 --> 00:34:46,929 Ir todėl tai nėra nuomos man gauti tą failą. 697 00:34:46,929 --> 00:34:47,670 Bet paprastai - 698 00:34:47,670 --> 00:34:49,360 todėl nėra už kodas įkelti failą. 699 00:34:49,360 --> 00:34:52,260 Taigi paprastai, kas bus atsitikti taip, kad asmuo ne taip, patikrinti, jei mano byla 700 00:34:52,260 --> 00:34:57,920 baigiasi. jpeg, todėl aš norėtų patikrinti. 701 00:34:57,920 --> 00:35:00,054 Leiskite man pradėti pavyzdys per nekilnojamojo greitai. 702 00:35:00,054 --> 00:35:07,766 703 00:35:07,766 --> 00:35:08,260 >> Gerai. 704 00:35:08,260 --> 00:35:09,230 Šis asmuo teisė - 705 00:35:09,230 --> 00:35:11,980 taigi pavyzdys du tikrina jei preg_match - 706 00:35:11,980 --> 00:35:14,180 čia jis yra čia - 707 00:35:14,180 --> 00:35:19,660 įsitikinti, kad baigiasi PHP, kuris yra geras. 708 00:35:19,660 --> 00:35:20,580 Tai yra gerai. 709 00:35:20,580 --> 00:35:22,820 Bet yra realus didelis problema su tai. 710 00:35:22,820 --> 00:35:24,600 Tai yra gerai. 711 00:35:24,600 --> 00:35:44,190 Bet jei aš būčiau įdėti failą pavadinimu myfavoritepicture.php.jpeg, galėčiau 712 00:35:44,190 --> 00:35:50,060 vis tiek gali atsikratyti JPEG ir paleisti it.k kad PHP pavojinga. 713 00:35:50,060 --> 00:35:53,850 Jūs nenorite, kad asmuo galės paleisti kodą į savo svetainę. 714 00:35:53,850 --> 00:35:55,750 >> Bet tada. Jpeg leidžia jam tekėti. 715 00:35:55,750 --> 00:36:00,720 Idėja yra tai, ką tikrai norite daryti nėra priimti failus, A. Bet, gerai, ką 716 00:36:00,720 --> 00:36:07,500 jūs tikrai norite padaryti, tai įsitikinkite, kad skaityti visame pasaulyje. 717 00:36:07,500 --> 00:36:08,720 Ir nieko. Php joje. 718 00:36:08,720 --> 00:36:10,500 Nėra. PHP Visas failo vardas. 719 00:36:10,500 --> 00:36:12,780 >> Auditorija: Bet tu gali įdėti. jpeg ant pabaigos. 720 00:36:12,780 --> 00:36:15,830 Serveriai dar paleisti kodą. 721 00:36:15,830 --> 00:36:16,870 >> LUCIANO Arango: Ne, tai nebus paleisti pradžioje. 722 00:36:16,870 --> 00:36:22,310 Jūs turite eiti į priekį ir išbandyti pamatyti, jei galite - 723 00:36:22,310 --> 00:36:24,210 >> PUBLIKA: Taigi mes turime - 724 00:36:24,210 --> 00:36:26,020 Gerai, tik dar vienas rinkinys, kuris apima - 725 00:36:26,020 --> 00:36:26,936 >> LUCIANO Arango: Taip. 726 00:36:26,936 --> 00:36:29,230 >> PUBLIKA: Gerai. 727 00:36:29,230 --> 00:36:31,486 >> LUCIANO Arango: Taip. 728 00:36:31,486 --> 00:36:31,900 Gerai. 729 00:36:31,900 --> 00:36:32,865 Visi kiti klausimai? 730 00:36:32,865 --> 00:36:33,180 Gerai. 731 00:36:33,180 --> 00:36:37,350 Aš ruošiuosi palikti tai padaryti ir rūšiavimas iš pabandyti pamatyti, jei jus vaikinai gali - 732 00:36:37,350 --> 00:36:40,490 kitos jų yra šiek tiek daugiau sudėtinga, nes jie reikalauja daug 733 00:36:40,490 --> 00:36:44,050 daugiau žinių apie SQL ne tik pradedant žinios web SQL yra ir 734 00:36:44,050 --> 00:36:47,010 kas JavaScript. 735 00:36:47,010 --> 00:36:49,730 Bet aš pasistengsiu, kad tai padaryti, ir, tikiuosi jus vaikinai išmoks 736 00:36:49,730 --> 00:36:53,230 apie tai ir bandyti imtis žvilgtelėti ką galite padaryti ir kiek pavyzdžiai 737 00:36:53,230 --> 00:36:54,420 jūs galite gauti per. 738 00:36:54,420 --> 00:36:56,020 >> Kiekvienas turi bet kuri kita klausimai apie tai? 739 00:36:56,020 --> 00:36:59,387 740 00:36:59,387 --> 00:37:00,350 Eiti į priekį. 741 00:37:00,350 --> 00:37:01,170 Taip, šaudyti, šaudyti. 742 00:37:01,170 --> 00:37:01,580 Taip, eiti į priekį. 743 00:37:01,580 --> 00:37:01,850 Eiti į priekį. 744 00:37:01,850 --> 00:37:02,310 >> PUBLIKA: Gerai. 745 00:37:02,310 --> 00:37:08,870 Taigi, aš girdėjau apie tai, kaip magija kotiruotės nėra pakankamai saugūs. 746 00:37:08,870 --> 00:37:09,280 >> LUCIANO Arango: Kas - 747 00:37:09,280 --> 00:37:10,110 Magic Quotes? 748 00:37:10,110 --> 00:37:10,595 >> PUBLIKA: Taip. 749 00:37:10,595 --> 00:37:15,445 Taigi, ji priduria, - todėl kai tik galite įvesti kažkas, tai visada prideda kabučių. 750 00:37:15,445 --> 00:37:15,930 >> LUCIANO Arango: Taip. 751 00:37:15,930 --> 00:37:16,000 Taip. 752 00:37:16,000 --> 00:37:16,496 Gerai. 753 00:37:16,496 --> 00:37:19,113 >> PUBLIKA: Ir tada aš, nors, kad dirbo, bet tada aš ieškojau jį. 754 00:37:19,113 --> 00:37:21,648 Ir jis sakė, kad tai nėra gerai. 755 00:37:21,648 --> 00:37:23,050 Bet aš nesu tikras, kodėl. 756 00:37:23,050 --> 00:37:23,360 >> LUCIANO Arango: Taip. 757 00:37:23,360 --> 00:37:26,240 >> PUBLIKA: Nenaudokite Magic Quotes, , nes tai nėra saugus. 758 00:37:26,240 --> 00:37:26,360 >> LUCIANO Arango: Gerai. 759 00:37:26,360 --> 00:37:31,735 Taigi Magic kotiruotės, kai įdedate SQL ir tai jau prideda jums citata. 760 00:37:31,735 --> 00:37:33,520 >> PUBLIKA: Jis visada prideda citatos apie ką jūs įtraukėte in 761 00:37:33,520 --> 00:37:34,210 >> LUCIANO Arango: Taip. 762 00:37:34,210 --> 00:37:37,190 Taigi su ta problema yra tai, kad - 763 00:37:37,190 --> 00:37:38,445 Aš pažvelgti - 764 00:37:38,445 --> 00:37:41,390 >> PUBLIKA: Kaip ji įgyja SQL? 765 00:37:41,390 --> 00:37:44,690 Arba aš manau, kad jis gali būti kaip citata pasirinkti. 766 00:37:44,690 --> 00:37:49,030 >> LUCIANO Arango: Taip, jums reikia geras kabučių SQL. 767 00:37:49,030 --> 00:37:52,900 >> PUBLIKA: Ne, bet serveris daro tai už jus. 768 00:37:52,900 --> 00:37:54,460 >> LUCIANO Arango: Šie maži citatos čia, šių mažai kabučių? 769 00:37:54,460 --> 00:37:55,670 >> PUBLIKA: Taip. 770 00:37:55,670 --> 00:37:56,450 >> LUCIANO Arango: Taip. 771 00:37:56,450 --> 00:37:59,860 Problema ta, kad jūs galite komentaras iš paskutinis - 772 00:37:59,860 --> 00:38:05,770 Gerai, kad tai, ką aš galiu padaryti, tai galiu pakomentuoti iš - todėl galime pažvelgti - leiskite man 773 00:38:05,770 --> 00:38:07,920 atidaryti teksto redagavimo failą. 774 00:38:07,920 --> 00:38:09,610 Leiskite man tiesiog redaguoti šį čia tiesiogiai. 775 00:38:09,610 --> 00:38:19,510 776 00:38:19,510 --> 00:38:20,400 Gerai. 777 00:38:20,400 --> 00:38:23,710 Ar jus vaikinai matyti, kad aiškiai? 778 00:38:23,710 --> 00:38:29,730 Ką aš galiu padaryti, tai galiu pakomentuoti iš paskutinio vieną. 779 00:38:29,730 --> 00:38:32,190 Tai komentaras iš naujausia. 780 00:38:32,190 --> 00:38:36,760 Ir tada aš įdėti vieną čia įdėti visos kenksmingos medžiagos čia. 781 00:38:36,760 --> 00:38:39,840 782 00:38:39,840 --> 00:38:42,630 >> Taigi vartotojas iš tikrųjų įvedimo, ar ne? 783 00:38:42,630 --> 00:38:45,230 Vartotojo nėra įvedusi dalykai, tiesa? 784 00:38:45,230 --> 00:38:47,430 Tai, ką aš ruošiuosi žaliava, asmuo bando patekti į vidų. 785 00:38:47,430 --> 00:38:49,430 Aš ruošiuosi įdėti - 786 00:38:49,430 --> 00:38:59,290 787 00:38:59,290 --> 00:39:00,180 kad vienas kabutės. 788 00:39:00,180 --> 00:39:01,760 Tai tiesiog deformuoti per klaidą. 789 00:39:01,760 --> 00:39:15,080 790 00:39:15,080 --> 00:39:19,400 Ir kas tada kodas Ar ketinate daryti - 791 00:39:19,400 --> 00:39:20,190 atsiprašau, aš ruošiuosi į tai dėmesį. 792 00:39:20,190 --> 00:39:22,170 Kas kodas ketina padaryti, tai ji ketina įtraukti pirmas 793 00:39:22,170 --> 00:39:24,030 Kabutės čia. 794 00:39:24,030 --> 00:39:26,040 Ir tai vyksta pridėti paskutinis kabutės, taip pat. 795 00:39:26,040 --> 00:39:29,350 796 00:39:29,350 --> 00:39:33,270 >> Ir jis taip pat ketina įtraukti paskutinis, kabutės. 797 00:39:33,270 --> 00:39:37,380 Bet aš komentuodamas šias citata žymi, ir todėl jie negali paleisti. 798 00:39:37,380 --> 00:39:41,440 Ir aš apdaila šią citatą pažymėti čia. 799 00:39:41,440 --> 00:39:42,290 Ar jūs suprantate? 800 00:39:42,290 --> 00:39:43,750 Ar jums neteko? 801 00:39:43,750 --> 00:39:45,880 Galiu pakomentuoti paskutinę citatą ženklas, ir rūpintis 802 00:39:45,880 --> 00:39:46,680 Pirmasis kabutės. 803 00:39:46,680 --> 00:39:47,350 >> PUBLIKA: Ir tik apdaila pirmasis. 804 00:39:47,350 --> 00:39:47,480 >> LUCIANO Arango: Taip. 805 00:39:47,480 --> 00:39:48,400 Ir tik užbaigti pirmąjį. 806 00:39:48,400 --> 00:39:48,790 Taip, tai tiesa. 807 00:39:48,790 --> 00:39:50,800 Štai ką aš galiu padaryti. 808 00:39:50,800 --> 00:39:51,890 Taip. 809 00:39:51,890 --> 00:39:52,980 Visi kiti klausimai, pavyzdžiui, kad? 810 00:39:52,980 --> 00:39:54,230 Tai puikus klausimas. 811 00:39:54,230 --> 00:39:56,960 812 00:39:56,960 --> 00:39:59,790 Ne, taip, gal. 813 00:39:59,790 --> 00:40:06,150 Tikimės, kad vaikinai bus tarsi padaryti daugiau prasmės, kai jums mokytis SQL ir 814 00:40:06,150 --> 00:40:06,650 dalykų, pavyzdžiui, kad. 815 00:40:06,650 --> 00:40:07,980 Tačiau įsitikinkite, kad jūs - 816 00:40:07,980 --> 00:40:10,340 išlaikyti šias priemones laikrodį. 817 00:40:10,340 --> 00:40:12,760 Atsiprašome, šios priemonės per čia. 818 00:40:12,760 --> 00:40:14,200 Šie įrankiai yra puikus. 819 00:40:14,200 --> 00:40:17,190 Jei kas nors turi kokių nors klausimų, taip pat galite rašyti man. 820 00:40:17,190 --> 00:40:19,020 Tai mano normali el. 821 00:40:19,020 --> 00:40:25,015 Ir tai yra mano darbas elektroniniame laiške, kuriame kai dirbu SEAS. 822 00:40:25,015 --> 00:40:26,040 >> Gerai, ačiū. 823 00:40:26,040 --> 00:40:26,740 Ačiū, vaikinai. 824 00:40:26,740 --> 00:40:27,860 Jūs gerai eiti. 825 00:40:27,860 --> 00:40:28,830 Jūs neturite likti čia. 826 00:40:28,830 --> 00:40:29,570 Negalima triperis. 827 00:40:29,570 --> 00:40:30,170 Tai keista. 828 00:40:30,170 --> 00:40:31,420 Gerai, ačiū, vaikinai. 829 00:40:31,420 --> 00:40:32,320