1 00:00:00,000 --> 00:00:09,250 2 00:00:09,250 --> 00:00:10,300 >> LUCIANO Arango: Labi, puiši. 3 00:00:10,300 --> 00:00:11,550 Mans vārds ir Luciano Arango. 4 00:00:11,550 --> 00:00:13,915 Es esmu sophomore Adams House. 5 00:00:13,915 --> 00:00:17,550 Un mēs esam gatavojas runāt par interneta drošības aktīva aizsardzība. 6 00:00:17,550 --> 00:00:24,220 Tāpēc es strādāju par biroja informācijas Drošību jūrā. 7 00:00:24,220 --> 00:00:28,670 Un pa vasaru, es internēti SeguraTec, kas bija informācija 8 00:00:28,670 --> 00:00:31,310 apsardzes firma, kas apkalpo Bankai Columbia. 9 00:00:31,310 --> 00:00:34,740 Tas ir, galvenokārt, kur es uzzināju ko es esam iemācījušies līdz šim. 10 00:00:34,740 --> 00:00:37,990 >> Un tāpēc daži no materiāla, ka mēs iet pār šodien, mums nav 11 00:00:37,990 --> 00:00:39,670 tiešām runāja par klasē. 12 00:00:39,670 --> 00:00:40,410 Bet mēs drīz. 13 00:00:40,410 --> 00:00:42,360 Tas būs, piemēram, SQL, JavaScript. 14 00:00:42,360 --> 00:00:44,870 Un mēs neesam īsti gājusi pār to. 15 00:00:44,870 --> 00:00:47,730 Lai es varētu šķirot lidojuma caur to, un jūs varētu nezināt dažas lietas. 16 00:00:47,730 --> 00:00:48,890 Bet drīz, jūs uzzināsiet to. 17 00:00:48,890 --> 00:00:52,080 Un tas būs viss jēgas. 18 00:00:52,080 --> 00:00:54,010 Arī cita lieta - 19 00:00:54,010 --> 00:00:55,780 palikt ētikas. 20 00:00:55,780 --> 00:01:00,560 Dažas no lietām, ko jūs mācīties, jums varētu izmantot bez ētikas veidos. 21 00:01:00,560 --> 00:01:01,950 >> Ja tas ir jums, noteikti izmēģiniet. 22 00:01:01,950 --> 00:01:04,500 Es noteikti motivēt jums guys izmēģināt savu serveri, mēģiniet 23 00:01:04,500 --> 00:01:05,519 notiek iekšpusē tiem. 24 00:01:05,519 --> 00:01:08,500 Redzēt, ja jūs varat iekļūt viņiem, ja jūs varat saņemt iekšpusē tiem. 25 00:01:08,500 --> 00:01:09,560 Bet ne kāds cits ir. 26 00:01:09,560 --> 00:01:12,390 Policija nav īsti patīk jokiem un viss, mēs ieliekam šo šeit. 27 00:01:12,390 --> 00:01:14,040 Mums bija messing apkārt. 28 00:01:14,040 --> 00:01:15,780 Viņiem patiešām dusmīgs. 29 00:01:15,780 --> 00:01:18,700 >> Tāpēc dodies uz šo tīmekļa vietni. 30 00:01:18,700 --> 00:01:23,560 Man to atklāja tieši šeit. 31 00:01:23,560 --> 00:01:26,780 Šī ir mājas lapa, un tas ir ķekars piemērus. 32 00:01:26,780 --> 00:01:30,000 Kas notiek, ir tas, ka pirmais piemērs ir sava veida būs daudz vieglāk 33 00:01:30,000 --> 00:01:33,470 par pēdējo piemēru ziņā ka pirmais piemērs 34 00:01:33,470 --> 00:01:34,970 ir pilnīgi nedrošs. 35 00:01:34,970 --> 00:01:40,850 Un pēdējais ir sava veida, kas normāls interneta drošības cilvēks varētu darīt. 36 00:01:40,850 --> 00:01:42,760 Bet jūs joprojām varat kārtot un saņemt ap to. 37 00:01:42,760 --> 00:01:44,860 Un mēs esam gatavojas koncentrēties uz vienu un divi piemēri, viens un divi. 38 00:01:44,860 --> 00:01:49,880 39 00:01:49,880 --> 00:01:49,920 >> OK. 40 00:01:49,920 --> 00:01:52,780 Sāksim ar pārrobežu vietas skriptu. 41 00:01:52,780 --> 00:01:56,100 JavaScript ir palaist klienta pārlūkprogrammu. 42 00:01:56,100 --> 00:01:59,980 Tas ir programmēšanas valoda, kas jūs izmantojat palaist uz klienta pārlūkprogrammu tā 43 00:01:59,980 --> 00:02:04,120 Jums nav, lai atjauninātu tīmekļa vietni un doties atpakaļ uz serveri. 44 00:02:04,120 --> 00:02:04,940 Jums ir tā darbojas. 45 00:02:04,940 --> 00:02:08,870 Tā, piemēram, Facebook, jums nav pārlādēt mājas lapā jauno statusu 46 00:02:08,870 --> 00:02:09,710 atjauninājumus nākt klajā. 47 00:02:09,710 --> 00:02:12,170 Tas ir, izmantojot JavaScript, lai radītu visas šīs lietas. 48 00:02:12,170 --> 00:02:16,290 Tātad, mēs varam injicēt ļaunprātīgu JavaScript uz mājas lapām. 49 00:02:16,290 --> 00:02:20,890 Un tādā veidā, kad mēs nosūtīt saiti kāds, mēs varētu kārtot nosūtīt to ar 50 00:02:20,890 --> 00:02:23,050 daži no koda, ko mēs vēlamies. 51 00:02:23,050 --> 00:02:26,450 >> Tur ir noturīgas un nenoturīgs JavaScript - 52 00:02:26,450 --> 00:02:30,640 noturīgas un nenoturīgs cross-site skriptu, es domāju. 53 00:02:30,640 --> 00:02:33,760 Un atšķirība ir tāda, ka noturīga ir JavaScript, kas būs 54 00:02:33,760 --> 00:02:36,060 saglabāts mājas lapā. 55 00:02:36,060 --> 00:02:39,780 Un nenoturīgs būs JavaScript , kas faktiski tikai notikt vienu reizi. 56 00:02:39,780 --> 00:02:41,795 Tāpēc aplūkosim piemēru ļoti ātri. 57 00:02:41,795 --> 00:02:45,660 58 00:02:45,660 --> 00:02:46,130 >> OK. 59 00:02:46,130 --> 00:02:51,620 Tātad šajā mājas lapā, vienkārši, nekas nenotiek šeit. 60 00:02:51,620 --> 00:02:53,070 Un mēs ejam, lai mēģinātu ievietot kādu JavaScript. 61 00:02:53,070 --> 00:02:58,110 Tātad, kā mēs sāktu rakstīt JavaScript ir sākam ar sākuma skriptu. 62 00:02:58,110 --> 00:03:00,570 Un mēs aizveriet to ar skriptu. 63 00:03:00,570 --> 00:03:03,770 Mēs esam tikai gatavojas nodot ziņu - 64 00:03:03,770 --> 00:03:05,410 Es jums parādīs, - 65 00:03:05,410 --> 00:03:06,500 brīdinājumu. 66 00:03:06,500 --> 00:03:11,150 Alert ir funkcija, kas JavaScript izmanto, lai parādītu kaut ko. 67 00:03:11,150 --> 00:03:12,400 Tāpēc pamēģināsim to reālu ātri. 68 00:03:12,400 --> 00:03:15,600 69 00:03:15,600 --> 00:03:18,944 Es iešu, trauksmes Sveiki. 70 00:03:18,944 --> 00:03:20,400 Nu, es aizmirsu, lai - 71 00:03:20,400 --> 00:03:24,510 72 00:03:24,510 --> 00:03:25,460 OK. 73 00:03:25,460 --> 00:03:26,540 Tātad tas ir vienkārši. 74 00:03:26,540 --> 00:03:28,730 >> Mēs ieliekam JavaScript tīmekļa vietnē, un tas nāca klajā. 75 00:03:28,730 --> 00:03:31,200 Un tā veida notiek tikai mūsu mājas lapā, vai ne? 76 00:03:31,200 --> 00:03:33,040 Tāpēc šķiet, piemēram, tas nav problēma, vai ne? 77 00:03:33,040 --> 00:03:34,920 Es domāju, kā jūs varētu izmantot tas ļaunprātīgi? 78 00:03:34,920 --> 00:03:39,930 Tā kā, ka hakeri to tas ir patiešām vienkārši. 79 00:03:39,930 --> 00:03:40,970 Viņi gatavojas paķert to. 80 00:03:40,970 --> 00:03:43,750 Tās var nosūtīt šo saiti uz jums. 81 00:03:43,750 --> 00:03:46,780 Ja es sūtīšu šo saiti, lai jūs tieši tagad, un atverot to uz augšu, tas būs 82 00:03:46,780 --> 00:03:51,620 saku, sveiki, sakot, ka mana mājas lapa stāsta jums sveiki. 83 00:03:51,620 --> 00:03:57,280 >> Un tāpēc, ja es teiktu kaut ko mazliet gudrāku, ja es uzvilkt 84 00:03:57,280 --> 00:03:59,880 JavaScript funkcija Es veida jau rakstīja - 85 00:03:59,880 --> 00:04:03,940 bet, ja paskatās uz to, es iešu pār to, pirms es uzrakstīju to. 86 00:04:03,940 --> 00:04:06,650 Tātad, mēs ejam, lai uzstādītu taimautu. 87 00:04:06,650 --> 00:04:08,450 Mēs ejam, lai gaidīt pāris sekundes. 88 00:04:08,450 --> 00:04:13,970 Patiesībā, mēs ejam, lai gaidīt, ja Nemaldos, piecas sekundes. 89 00:04:13,970 --> 00:04:15,870 Tas iet milisekundēs. 90 00:04:15,870 --> 00:04:18,640 Un tad tas, ko mēs gatavojamies darīt, ir, mēs esam gatavojas, lai brīdinātu, ka pieteikšanās 91 00:04:18,640 --> 00:04:21,459 iztecējis, lai pieteiktos atpakaļ collas 92 00:04:21,459 --> 00:04:23,990 Un mēs esam gatavojas mainīt atrašanās vietu uz citu vietu. 93 00:04:23,990 --> 00:04:30,370 94 00:04:30,370 --> 00:04:32,970 >> Tātad, ja es sūtu šo tīmekļa vietni, lai kāds, viņi būs 95 00:04:32,970 --> 00:04:34,380 pārlūkošanas apkārt, klusums. 96 00:04:34,380 --> 00:04:35,650 Nekas notiek. 97 00:04:35,650 --> 00:04:38,550 Un piecās sekundēs, tas notiek teikt, jūsu pieteikšanās beigusies. 98 00:04:38,550 --> 00:04:40,200 Lūdzu, piesakieties atpakaļ collas 99 00:04:40,200 --> 00:04:43,400 Pēc tam, kad tie noklikšķiniet uz Labi, es esmu gatavojas ņemt tos uz citu tīmekļa vietni. 100 00:04:43,400 --> 00:04:45,980 Jādomā, mājas lapā ir gatavojas ir līdzīgs mājas lapā, ka 101 00:04:45,980 --> 00:04:47,280 viņi bija pirms tam. 102 00:04:47,280 --> 00:04:50,770 Un viņi gatavojas ieiet viņu pilnvaras uz manu mājas lapā, nevis 103 00:04:50,770 --> 00:04:51,850 viņu mājas lapā. 104 00:04:51,850 --> 00:04:54,780 >> Un tā es varētu nosūtīt cilvēkus e-pastu ar šo saiti. 105 00:04:54,780 --> 00:04:56,240 Es saku, ak, šeit ir saite. 106 00:04:56,240 --> 00:04:57,290 Tas ir banka, piem. 107 00:04:57,290 --> 00:05:01,390 Es saku, šeit, dodieties uz šīs saites. 108 00:05:01,390 --> 00:05:03,730 Un, kad tie nosūta to, ka viņi būs pārlūkošanas apkārt. 109 00:05:03,730 --> 00:05:07,560 Es varu gaidīt 15 sekundes, 20 sekundes, un tad pop, ka, lūdzu, piesakieties atpakaļ 110 00:05:07,560 --> 00:05:08,840 parakstīt atpakaļ. 111 00:05:08,840 --> 00:05:10,120 Jūs guys var mēģināt to ar daudz vairāk lietām. 112 00:05:10,120 --> 00:05:13,190 Tas ir sarežģīti, jo jūs guys neesmu redzējis JavaScript, lai jūs varētu 113 00:05:13,190 --> 00:05:14,750 nezinām dažas funkcijas. 114 00:05:14,750 --> 00:05:18,625 Bet viss, kas jums jādara, ir sākums ar skriptu, beidzas ar skriptu. 115 00:05:18,625 --> 00:05:22,105 116 00:05:22,105 --> 00:05:25,510 Un jūs varētu likt kaut ko vidū. 117 00:05:25,510 --> 00:05:27,350 >> Alert ir funkcija, pagaidiet. 118 00:05:27,350 --> 00:05:29,365 Logu vieta aizved uz citu vietu. 119 00:05:29,365 --> 00:05:31,370 Bet jūs varat darīt daudz vairāk. 120 00:05:31,370 --> 00:05:32,630 Un tā doma ir tāda, ka mēs, ka off. 121 00:05:32,630 --> 00:05:39,350 Ja es eju uz divām, piemēram, un es īstenot šo pašu kodu, tas ir 122 00:05:39,350 --> 00:05:40,210 nav dodas uz darbu. 123 00:05:40,210 --> 00:05:43,620 Tāpēc tas ir drukāšanu visu ārā, jo ko šajā mājas lapā sākotnēji 124 00:05:43,620 --> 00:05:50,350 tas ir, ja man kaut ko šeit, tas būs to izdrukāt šeit. 125 00:05:50,350 --> 00:05:52,390 Tāpēc tas nedrukā neko. 126 00:05:52,390 --> 00:05:55,560 Šis piemērs ir faktiski pārbaudīt lai redzētu, ja skripts ir tur. 127 00:05:55,560 --> 00:05:57,163 Tātad, jā, iet uz priekšu. 128 00:05:57,163 --> 00:05:57,606 Jautājiet man. 129 00:05:57,606 --> 00:05:59,560 >> Mērķauditorija: nesūta saņemt vai nosūtīt pieprasījumu? 130 00:05:59,560 --> 00:06:00,670 >> LUCIANO Arango: Jā. viņi GET pieprasījumu nosūtīšanu. 131 00:06:00,670 --> 00:06:01,350 >> Mērķauditorija: Tā ir? 132 00:06:01,350 --> 00:06:02,490 >> LUCIANO Arango: Jā. 133 00:06:02,490 --> 00:06:04,030 Arī pārlūki izmanto POST pieprasījumus. 134 00:06:04,030 --> 00:06:07,470 Bet es cenšos parādīt GET pieprasījumu lai mēs varētu redzēt, kas ir 135 00:06:07,470 --> 00:06:10,760 patiesībā notiek. 136 00:06:10,760 --> 00:06:12,880 Un tāpēc, ja mēs skatāmies uz šo kodu - tāpēc tas vairs nedarbojas. 137 00:06:12,880 --> 00:06:24,870 Un, ja mēs to apskatīt šo kodu, tas būs divās piem. 138 00:06:24,870 --> 00:06:29,300 Ko šis cilvēks dara, persona kas atbild par šo pārlūku - 139 00:06:29,300 --> 00:06:35,370 atvērt, OK - 140 00:06:35,370 --> 00:06:39,290 ir aizstāt vārdu skriptu. 141 00:06:39,290 --> 00:06:42,850 Tas ir PHP, kas jūs puiši varētu esmu redzējis mazliet vēl. 142 00:06:42,850 --> 00:06:46,250 >> Viņš vienkārši aizstāt Vārds skriptu ar nosaukumu. 143 00:06:46,250 --> 00:06:50,895 Tātad tomēr, ja es eju uz priekšu un vienkārši īstenot - 144 00:06:50,895 --> 00:06:58,520 145 00:06:58,520 --> 00:07:02,360 ja es greifers manu kodu vēlreiz, un es esmu gatavojas lai mainītu to tikai mazliet. 146 00:07:02,360 --> 00:07:15,010 Tā vietā, lai skriptu, es esmu gatavojas mainīt tas ir par skriptu ar kapitālu R. Un 147 00:07:15,010 --> 00:07:16,390 mēs ejam, lai redzētu, vai tas kods darbojas. 148 00:07:16,390 --> 00:07:19,090 Tāpēc tas nav izdrukāt to ārā, kas ir laba zīme. 149 00:07:19,090 --> 00:07:21,990 Un, cerams, vairāk divas sekundes, tas būs pop up. 150 00:07:21,990 --> 00:07:22,820 >> Jūsu pieteikšanās beigusies. 151 00:07:22,820 --> 00:07:23,210 OK. 152 00:07:23,210 --> 00:07:24,460 Viss kārtībā. 153 00:07:24,460 --> 00:07:27,670 Tātad, pārbaudot skriptu varētu ne vienmēr strādā. 154 00:07:27,670 --> 00:07:28,130 Persona - 155 00:07:28,130 --> 00:07:32,290 tā var arī pārbaudīt skriptu lielajiem burtiem, skripts mazos, str gadījums 156 00:07:32,290 --> 00:07:34,180 salīdzināt, pārliecinieties, ka viņi paši. 157 00:07:34,180 --> 00:07:38,480 Bet hakeris joprojām var darīt veida, kas mēs darījām Vigenere kad mēs pārvietots 158 00:07:38,480 --> 00:07:40,620 atpakaļ pāris burtiem, virzīties uz priekšu. 159 00:07:40,620 --> 00:07:43,470 Un to var izdomāt, kā likt skriptu atpakaļ tur, lai tā varētu injicēt 160 00:07:43,470 --> 00:07:44,460 ka skriptu. 161 00:07:44,460 --> 00:07:50,370 >> Tātad, ko jūs vēlaties izmantot ir htmlspecialchars līdz 162 00:07:50,370 --> 00:07:51,330 aizsargāt jūsu mājas lapā. 163 00:07:51,330 --> 00:07:56,490 Un ko tas dara, ir tas padara pārliecināts, ka tas, ko jūs likts - 164 00:07:56,490 --> 00:07:59,610 piemēram, kursi vai šis lielāks vai mazāks par - 165 00:07:59,610 --> 00:08:04,701 tiek aizstāts ar kaut ko ka nebūs - 166 00:08:04,701 --> 00:08:05,951 ļaujiet man tuvinātu šeit - 167 00:08:05,951 --> 00:08:08,730 168 00:08:08,730 --> 00:08:09,685 faktiskais Ampersand. 169 00:08:09,685 --> 00:08:13,420 Tas aizstās šos īpašos HTML rakstzīmes, ka mēs redzam, kad mēs esam 170 00:08:13,420 --> 00:08:14,670 runājot par - 171 00:08:14,670 --> 00:08:18,635 172 00:08:18,635 --> 00:08:20,740 oh, tas notiek, lai mani atpakaļ - 173 00:08:20,740 --> 00:08:24,220 174 00:08:24,220 --> 00:08:25,380 šīs zīmes šeit. 175 00:08:25,380 --> 00:08:28,180 >> Tie apliecina, ka kaut kas nāk. 176 00:08:28,180 --> 00:08:31,570 HTML, ka, sākot kronšteinu stāsta mums, ka kaut kas 177 00:08:31,570 --> 00:08:33,299 HTML saistīto nāk. 178 00:08:33,299 --> 00:08:33,980 Un mēs gribam, lai atbrīvotos no tā. 179 00:08:33,980 --> 00:08:36,200 Mēs nevēlamies, lai HTML uz website.k Mēs nevēlamies, lai lietotājs varētu būt 180 00:08:36,200 --> 00:08:40,260 spēj kaut ko savā mājas lapā kas var ietekmēt viņu mājas lapā, piemēram, 181 00:08:40,260 --> 00:08:43,480 skripts vai HTML vai kaut kas tamlīdzīgs. 182 00:08:43,480 --> 00:08:53,090 Kas ir svarīgi ir tas, ka jums sanitize lietotāja ievadi. 183 00:08:53,090 --> 00:08:54,720 >> Lai lietotāji var ievades daudzas lietas. 184 00:08:54,720 --> 00:08:58,110 Viņš var ievadīt ķekars lietas, lai mēģinātu triks savu pārlūku joprojām 185 00:08:58,110 --> 00:08:59,410 rādīt šo skriptu kodu. 186 00:08:59,410 --> 00:09:02,870 Ko jūs vēlaties darīt, ir ne tikai apskatīt par skriptu, bet izskatās par visu 187 00:09:02,870 --> 00:09:04,250 kas varētu būt ļaunprātīga. 188 00:09:04,250 --> 00:09:06,800 Un htmlspecialchars būs jādara jums, lai jums nav 189 00:09:06,800 --> 00:09:07,340 jāuztraucas par to. 190 00:09:07,340 --> 00:09:12,280 Bet nav mēģināt to darīt pats kārtot ar savu kodu. 191 00:09:12,280 --> 00:09:14,055 Ir ikvienam skaidrs XSS? 192 00:09:14,055 --> 00:09:14,370 >> OK. 193 00:09:14,370 --> 00:09:16,355 Iesim uz SQL injekcijas. 194 00:09:16,355 --> 00:09:21,010 Tātad, SQL injekcijas, ir iespējams numur viens ievainojamība 195 00:09:21,010 --> 00:09:22,490 dažādās tīmekļa vietnēs. 196 00:09:22,490 --> 00:09:24,350 Es domāju, ir labs piemērs - 197 00:09:24,350 --> 00:09:27,350 Man bija tikai pētīt vistālāk par šo lietu. 198 00:09:27,350 --> 00:09:34,430 Un es atklāju šo awesome raksts, kurā Es redzēju, ka Harvard tika pārkāptas, 199 00:09:34,430 --> 00:09:35,390 bija hacked. 200 00:09:35,390 --> 00:09:37,370 Un man bija jautājums, labi, kā viņi to dara? 201 00:09:37,370 --> 00:09:41,660 Harvard ir ļoti laba, lielākā daļa nodrošināt universitātes jebkad. 202 00:09:41,660 --> 00:09:43,850 Tiesības? 203 00:09:43,850 --> 00:09:45,410 Nu, pārkāpt serveriem, hakeri izmanto 204 00:09:45,410 --> 00:09:47,710 tehniku, ko sauc SQL injekcijas. 205 00:09:47,710 --> 00:09:50,250 >> Tā tas notiek ikdienā. 206 00:09:50,250 --> 00:09:53,590 Cilvēki aizmirst, lai ņemtu vērā SQL injekcijas. 207 00:09:53,590 --> 00:09:54,930 Harvard dara. 208 00:09:54,930 --> 00:10:00,050 Es domāju, ka tā saka šeit, Princeton, Stanford, Cornell. 209 00:10:00,050 --> 00:10:03,550 Tātad, kā mēs - tā, kas tas ir SQL injekcijas, kas ir celt visiem šiem 210 00:10:03,550 --> 00:10:05,668 cilvēki uz leju? 211 00:10:05,668 --> 00:10:08,010 OK. 212 00:10:08,010 --> 00:10:12,090 Tāpēc SQL ir programmēšanas valoda, kas mēs izmantojam, lai piekļūtu datu bāzēm. 213 00:10:12,090 --> 00:10:14,560 Ko mēs darām, ir mūsu izvēlēties - 214 00:10:14,560 --> 00:10:18,510 Tātad, ko tas skan tieši tagad ir izvēlēties viss no galda. 215 00:10:18,510 --> 00:10:22,640 >> SQL, tas pārvēršas šīm datu bāzēm ka ir tabulas pilns ar informāciju. 216 00:10:22,640 --> 00:10:26,550 Tāpēc izvēlēties visu, sākot no lietotājiem ja nosaukums ir lietotājvārds. 217 00:10:26,550 --> 00:10:28,120 Tiesības? 218 00:10:28,120 --> 00:10:30,770 Pietiekami vienkārši. 219 00:10:30,770 --> 00:10:34,490 Ideja SQL injekcijas ir tas, ka mēs ievietot kādu ļaunprātīgu kodu, kas būtu 220 00:10:34,490 --> 00:10:37,270 triks serveri uz braukšanas kaut savādāki nekā to, ko tā 221 00:10:37,270 --> 00:10:38,430 sākotnēji skrēja. 222 00:10:38,430 --> 00:10:44,970 Tātad pieņemsim, lietotājvārdu, mēs ieliekam vai 1 ir vienāds ar 1. 223 00:10:44,970 --> 00:10:46,700 Tāpēc mēs ieliekam vai 1 ir vienāds ar 1. 224 00:10:46,700 --> 00:10:49,890 Veids, kā tas būs redzams, tagad būs izvēlēties no lietotājiem, viss no 225 00:10:49,890 --> 00:10:51,360 lietotāji - tas ir viss - 226 00:10:51,360 --> 00:10:55,880 kur vārds ir lietotājvārds, bet lietotājvārds ir vai 1 ir vienāds ar 1. 227 00:10:55,880 --> 00:11:01,760 >> Tātad vārds ir nekas vai 1 ir vienāds ar 1. 228 00:11:01,760 --> 00:11:04,060 1 ir vienāds ar 1 vienmēr ir taisnība. 229 00:11:04,060 --> 00:11:07,690 Tāpēc tas vienmēr atgriežas informāciju no lietotājiem. 230 00:11:07,690 --> 00:11:08,100 OK. 231 00:11:08,100 --> 00:11:10,030 Mums nav nepieciešams, lai būtu pareizs lietotājvārds. 232 00:11:10,030 --> 00:11:14,240 Mēs varam tikai kaut ko mēs gribam, un tā atgriezīsies informāciju 233 00:11:14,240 --> 00:11:15,690 ka mums ir nepieciešams. 234 00:11:15,690 --> 00:11:17,160 Apskatīsim vēl viens piemērs. 235 00:11:17,160 --> 00:11:22,720 >> Ja mēs esam izvēlēties visu, sākot no lietotāja, kur vārds ir DROP TABLE lietotājiem - 236 00:11:22,720 --> 00:11:26,420 Tātad, ko jūs domājat, ka tas būs darīt, ja man ar lietotājvārdu 237 00:11:26,420 --> 00:11:29,560 kā DROP TABLE lietotājiem? 238 00:11:29,560 --> 00:11:30,230 Kāds ir ideja? 239 00:11:30,230 --> 00:11:31,050 Jā. 240 00:11:31,050 --> 00:11:32,470 >> Mērķauditorija: Tas notiek, lai pastāstītu tā, lai dump visas tabulas. 241 00:11:32,470 --> 00:11:35,460 >> LUCIANO Arango: Tas notiek, lai pastāstītu mums dump visu mājas lapā, 242 00:11:35,460 --> 00:11:38,290 viss datu bāzē. 243 00:11:38,290 --> 00:11:41,910 Un ko cilvēki izmantot šo - tā Es esmu gatavojas parādīs puiši. 244 00:11:41,910 --> 00:11:45,462 Es invalīdiem pilināmā tabulas jo es negribēju tevi 245 00:11:45,462 --> 00:11:48,240 puiši piliens manas tabulas. 246 00:11:48,240 --> 00:11:49,850 Pieņemsim to apskatīt to. 247 00:11:49,850 --> 00:11:54,410 Tāpēc tas vienkārši velk uz augšu informācija noteiktu personai. 248 00:11:54,410 --> 00:11:57,550 Tātad, kā mēs zinām, ja tas ir skārusi SQL injekcijas. 249 00:11:57,550 --> 00:12:01,545 Mēs ejam, lai pārbaudītu nekustamo ātri ja mēs varam kaut ko - 250 00:12:01,545 --> 00:12:04,990 251 00:12:04,990 --> 00:12:06,080 ļaujiet man kopēt šo kodu. 252 00:12:06,080 --> 00:12:08,140 Es iešu pār to sekundē. 253 00:12:08,140 --> 00:12:12,210 Es esmu gatavojas īstenot saknes un 1 ir vienāds ar 1. 254 00:12:12,210 --> 00:12:15,510 >> Šīs tiesības šeit, šajā procentu zīme 23 - 255 00:12:15,510 --> 00:12:19,970 kas tas īsti ir, ja es apskatīt tepat - 256 00:12:19,970 --> 00:12:23,820 kā HTML notiek ar cipariem, ja jūs ieskatieties kad man telpā 257 00:12:23,820 --> 00:12:28,380 šeit - ja man bija kosmosa kaut šeit, tas izmaina to uz procentiem 2. 258 00:12:28,380 --> 00:12:31,420 Jūs guys redzēt to tieši šeit kad man telpā? 259 00:12:31,420 --> 00:12:36,710 Kā tā darbojas, ka jūs varat tikai sūtīt ASCII vērtības, HTML. 260 00:12:36,710 --> 00:12:40,330 Tāpēc tas aizvieto, piemēram, telpa ar procentiem 20. 261 00:12:40,330 --> 00:12:41,970 Es nezinu, ja jūs guys ir redzams, ka pirms tam. 262 00:12:41,970 --> 00:12:45,100 >> Tas aizvieto hashtag ar procentiem 23. 263 00:12:45,100 --> 00:12:50,840 Mums ir nepieciešams hashtag beigās vai paziņojums, lai mēs varētu pateikt 264 00:12:50,840 --> 00:13:00,885 datu bāzi, lai aizmirst komentēt šis pēdējais Semikolu beigās. 265 00:13:00,885 --> 00:13:03,060 Mēs gribam, lai nav jādomā par to. 266 00:13:03,060 --> 00:13:05,980 Mēs vienkārši gribam, lai palaistu visu ka mums ir iepriekš un 267 00:13:05,980 --> 00:13:07,450 komentēt, ka out. 268 00:13:07,450 --> 00:13:08,710 Pieņemsim to apskatīt to. 269 00:13:08,710 --> 00:13:14,670 >> Tātad, ja es būtu, lai kaut ko nepareizi - teiksim, piemēram, man 2 ir vienāds 270 00:13:14,670 --> 00:13:15,690 1, tas nedod man neko. 271 00:13:15,690 --> 00:13:22,930 Kad man 1 ir vienāds ar 1, un tas atgriezties kaut kas, tas man saka, ka 272 00:13:22,930 --> 00:13:24,660 tas ir neaizsargāti pret SQL injekcijas. 273 00:13:24,660 --> 00:13:29,090 Tagad es zinu, ka neatkarīgi Man pēc tam - 274 00:13:29,090 --> 00:13:39,110 un, piemēram, piliens tabulas vai kaut kas tamlīdzīgs 275 00:13:39,110 --> 00:13:41,190 noteikti strādās. 276 00:13:41,190 --> 00:13:44,350 Es zinu, tas ir neaizsargāti pret SQL injekcijas jo es zinu, ka 277 00:13:44,350 --> 00:13:49,850 zem motora pārsega, tā ļaujot man darīt 1 ir 1 lieta. 278 00:13:49,850 --> 00:13:51,100 OK? 279 00:13:51,100 --> 00:13:53,950 280 00:13:53,950 --> 00:13:56,540 >> Un, ja mēs skatāmies uz šiem citiem uzņēmumiem, numur divi un numur trīs, tas ir 281 00:13:56,540 --> 00:13:59,110 gatavojas darīt mazliet vairāk pārbaudīt zem 282 00:13:59,110 --> 00:14:03,680 kapuci, kas tas ir. 283 00:14:03,680 --> 00:14:07,425 Tāpēc ikviens ļauj kritumu kaut ko vēl vai mēģinājis? 284 00:14:07,425 --> 00:14:08,760 Jūs guys veida iegūt SQL vēl? 285 00:14:08,760 --> 00:14:10,430 Jo es zinu, ka jūs guys ir ne redzējuši vēl, tāpēc tas ir sava veida 286 00:14:10,430 --> 00:14:11,759 mulsinoši jums puiši. 287 00:14:11,759 --> 00:14:16,160 288 00:14:16,160 --> 00:14:18,480 Pieņemsim to apskatīt. 289 00:14:18,480 --> 00:14:21,270 Tātad, kas ir veids, kā novērst SQLI? 290 00:14:21,270 --> 00:14:21,390 OK. 291 00:14:21,390 --> 00:14:23,330 Tāpēc tas ir ļoti svarīgi, jo jums puiši noteikti vēlaties, lai novērstu 292 00:14:23,330 --> 00:14:24,090 tas ir jūsu mājas lapas. 293 00:14:24,090 --> 00:14:28,040 >> Ja tā nav, visi jūsu draugi dodas izjokot no jums, kad tie piliens visi 294 00:14:28,040 --> 00:14:29,390 Jūsu galdi. 295 00:14:29,390 --> 00:14:36,150 Tātad ideja ir tāda, ka jums remonts SQL noteiktā veidā, bet jūs varat pielāgot 296 00:14:36,150 --> 00:14:41,940 ko lietotājs ieejas ar zināma virkne. 297 00:14:41,940 --> 00:14:46,120 Tā kā tas darbojas, ir jums sagatavotu datu bāzi. 298 00:14:46,120 --> 00:14:50,830 Izvēlaties nosaukumu, krāsu, un kalorijas no datubāzes, ko sauc par augļiem. 299 00:14:50,830 --> 00:14:53,580 Un pēc tam, ja kaloriju ir mazāks par un mēs nodot jautājuma zīmi tur 300 00:14:53,580 --> 00:14:56,530 sakot, mēs ejam, lai ievadītu kaut sekundē. 301 00:14:56,530 --> 00:14:58,850 >> Un krāsu ir vienāds, un mēs uzdodam jautājumu zīme sakot, mēs ejam 302 00:14:58,850 --> 00:15:00,913 ieeja kaut sekundē, kā arī. 303 00:15:00,913 --> 00:15:02,660 OK? 304 00:15:02,660 --> 00:15:09,920 Un tad mēs izpildīt, liekot ar 150 un sarkanā krāsā. 305 00:15:09,920 --> 00:15:12,820 Un tas būs pārbaudīt, lai pārliecināts, ka šie divi - 306 00:15:12,820 --> 00:15:15,300 šis masīvs pārbaudīs, ka šie divi ir vesels skaitlis un 307 00:15:15,300 --> 00:15:16,550 ka tas ir string. 308 00:15:16,550 --> 00:15:18,810 309 00:15:18,810 --> 00:15:20,890 Tad mēs ejam, un mēs atnest viss, mēs to sarkanā krāsā. 310 00:15:20,890 --> 00:15:21,964 Tas nozīmē, ka mēs atnest visiem. 311 00:15:21,964 --> 00:15:26,790 Tas nozīmē, ka mēs faktiski izpildīt SQL pārskats un nodot to atpakaļ sarkanā krāsā. 312 00:15:26,790 --> 00:15:30,530 Šeit mēs paši, bet mēs darīt to pašu attiecībā dzeltena. 313 00:15:30,530 --> 00:15:32,490 Un mēs atnest visiem. 314 00:15:32,490 --> 00:15:36,140 >> Un šādā veidā, mēs liegt lietotājam no tā varētu ievades kaut 315 00:15:36,140 --> 00:15:41,710 tas nav tas, ko mēs noteikts, stīgu vai vesels skaitlis, piem. 316 00:15:41,710 --> 00:15:45,100 317 00:15:45,100 --> 00:15:46,610 Es runāju agrāk par paļaujoties uz citiem. 318 00:15:46,610 --> 00:15:50,010 Kad jūs guys sākt savu projektu, jūs esat visvairāk noteikti gatavojas izmantot 319 00:15:50,010 --> 00:15:52,310 bootstrap vai kaut kas līdzīgs. 320 00:15:52,310 --> 00:15:53,490 Vai jūs guys kādreiz izmanto WordPress? 321 00:15:53,490 --> 00:15:57,170 Iespējams, jūs puiši ir izmantoti WordPress visticamāk. 322 00:15:57,170 --> 00:16:00,050 Tātad problēma ar izmantojot citu cilvēku lietas - 323 00:16:00,050 --> 00:16:05,940 Es esmu tikai gatavojas Google nekustamo ātri WordPress ievainojamība. 324 00:16:05,940 --> 00:16:07,495 >> Ja es pull šo augšu tieši tagad - 325 00:16:07,495 --> 00:16:08,995 Es burtiski bija divu otru Google. 326 00:16:08,995 --> 00:16:12,300 327 00:16:12,300 --> 00:16:13,800 Mēs varam redzēt, ka WordPress - 328 00:16:13,800 --> 00:16:17,450 tas ir datēta '12 septembrī. 329 00:16:17,450 --> 00:16:19,120 26 tiek atjaunināts. 330 00:16:19,120 --> 00:16:23,620 Noklusējuma konfigurācija WordPress līdz 3.6 neliedz šos 331 00:16:23,620 --> 00:16:27,110 daži attēli, kas varētu atvieglot 332 00:16:27,110 --> 00:16:29,790 pārrobežu vietas skriptu uzbrukumiem. 333 00:16:29,790 --> 00:16:34,530 Tik ātri stāstu, kad mēs strādājām ar - tā man bija, vasarā, darba 334 00:16:34,530 --> 00:16:34,970 prakse. 335 00:16:34,970 --> 00:16:40,400 Un mēs strādājam ar sava veida kā liels kredītkaršu uzņēmumam. 336 00:16:40,400 --> 00:16:42,020 >> Un viņi paļaujas uz kaut ko sauc par - 337 00:16:42,020 --> 00:16:45,740 Es nezinu, ja jūs guys kādreiz bijusi ar produktu sauc Joomla. 338 00:16:45,740 --> 00:16:51,750 Joomla ir produkts, kas tiek izmantots, lai kontrole - veida līdzīgi 339 00:16:51,750 --> 00:16:54,340 WordPress, ko izmanto, lai izveidotu mājas lapām. 340 00:16:54,340 --> 00:16:56,060 Tātad tie bija viņu mājas lapā strādā ar Joomla. 341 00:16:56,060 --> 00:16:59,290 Tas ir faktiski kredītkarte Uzņēmums Kolumbijā. 342 00:16:59,290 --> 00:17:01,000 Es ņemšu jūs ar savu mājas lapā nekustamo ātri. 343 00:17:01,000 --> 00:17:04,550 344 00:17:04,550 --> 00:17:05,400 >> Lai viņi izmanto Joomla. 345 00:17:05,400 --> 00:17:08,630 Un tie nebija atjaunināti Joomla ar jaunāko papildinājumu. 346 00:17:08,630 --> 00:17:12,160 Un tad, kad mēs bijām ņemot apskatīt to kods, mums bija iespēja reāli 347 00:17:12,160 --> 00:17:18,430 iet iekšā to kodu, un nozagt visiem kredītkaršu informāciju, ka viņi bija, 348 00:17:18,430 --> 00:17:21,670 visi kredītkaršu numurus, vārdi, adreses. 349 00:17:21,670 --> 00:17:22,740 Un tas bija tikai - 350 00:17:22,740 --> 00:17:23,569 un to kods ir perfekti labi. 351 00:17:23,569 --> 00:17:24,710 Viņi bija ļoti kodu. 352 00:17:24,710 --> 00:17:25,389 Tas viss bija drošība. 353 00:17:25,389 --> 00:17:26,520 Viņi pārbauda visus datu bāzes. 354 00:17:26,520 --> 00:17:29,020 Viņi pārliecinājās, cross-site skriptu bija labi. 355 00:17:29,020 --> 00:17:34,390 >> Bet viņi izmanto kaut ko, kas nebija atjaunināts, tas nebija droša. 356 00:17:34,390 --> 00:17:36,940 Un tā, kas noveda viņus - Tātad jūs guys ir noteikti gatavojas izmantot citus 357 00:17:36,940 --> 00:17:40,650 tautas kods, citu cilvēku sistēmas , lai izveidotu savu mājas lapā. 358 00:17:40,650 --> 00:17:43,860 Pārliecinieties, ka viņi ir droši, jo dažreiz tas nav jums, viens, ka 359 00:17:43,860 --> 00:17:44,480 padara kļūda. 360 00:17:44,480 --> 00:17:47,440 Bet kāds cits kļūdās, un tad jūs kritums uz leju, jo no tā. 361 00:17:47,440 --> 00:17:51,190 362 00:17:51,190 --> 00:17:53,885 >> Paroles un PII. 363 00:17:53,885 --> 00:17:56,820 Tātad paroles. 364 00:17:56,820 --> 00:17:58,070 OK. 365 00:17:58,070 --> 00:17:59,980 366 00:17:59,980 --> 00:18:04,230 Pieņemsim apskatīt paroles ļoti ātri. 367 00:18:04,230 --> 00:18:04,590 OK. 368 00:18:04,590 --> 00:18:06,520 Lūdzu, pasakiet man, ka visi izmanto drošu - 369 00:18:06,520 --> 00:18:09,030 Es ceru, ka ikviens šeit izmanto drošas paroles. 370 00:18:09,030 --> 00:18:12,890 Es esmu tikai ļaujot ka tik pieņēmumu. 371 00:18:12,890 --> 00:18:14,850 Tātad jūs guys ir noteikti gatavojas glabāt paroles jūsu mājas lapas. 372 00:18:14,850 --> 00:18:17,440 Jūs gatavojas darīt kaut ko līdzīgu login vai kaut kas tamlīdzīgs. 373 00:18:17,440 --> 00:18:19,610 Kas ir svarīgi ir ne uzglabāt paroles teksta. 374 00:18:19,610 --> 00:18:20,860 Tas ir ārkārtīgi svarīgi. 375 00:18:20,860 --> 00:18:23,960 Jūs nevēlaties, lai saglabātu parole teksta. 376 00:18:23,960 --> 00:18:27,370 >> Un jūs noteikti nav patiešām vēlaties uzglabāt to vienvirziena hash. 377 00:18:27,370 --> 00:18:32,440 Tātad, kas viens no veidiem, hash ir tas, ka tad, kad jūs ģenerēt vārdu, kad jūs nodot šo 378 00:18:32,440 --> 00:18:36,200 vārdu uz hash funkciju, tā būs radīt atpakaļ kaut kādas noslēpumains veida 379 00:18:36,200 --> 00:18:39,390 ziņu vai mistisks atslēgu komplekts. 380 00:18:39,390 --> 00:18:40,640 Es jums parādīs piemēru. 381 00:18:40,640 --> 00:18:44,620 382 00:18:44,620 --> 00:18:50,250 Es esmu gatavojas hash viņi vārdu password1. 383 00:18:50,250 --> 00:18:55,280 Tā MD5 Hash gatavojas atgriezties mani daži dīvaini informācijas veida. 384 00:18:55,280 --> 00:18:59,140 >> Problēma ir tā, ka cilvēki, kas tur kas patīk iet uz mājas lapām, ir 385 00:18:59,140 --> 00:19:02,750 jau sapratu, kārtot visu MD5 hashes. 386 00:19:02,750 --> 00:19:06,030 Kas viņi ir tie apsēdās uz to datoriem, un tie sajaukts ik 387 00:19:06,030 --> 00:19:09,660 Vienīgais iespējamais vārds, kas tur līdz brīdim, kad viņi ieguva veida, kas tas ir. 388 00:19:09,660 --> 00:19:11,420 Ja es būtu meklēt to uz augšu - 389 00:19:11,420 --> 00:19:12,420 Es tikko satvert šo hash. 390 00:19:12,420 --> 00:19:14,120 Ja man šo hash no - 391 00:19:14,120 --> 00:19:17,470 ja es dodos uz tīmekļa vietni, un es uzskatu, tas hash jo es nokļūt 392 00:19:17,470 --> 00:19:24,100 datubāzes, un es meklēt to, kāds jau skatīja to ārā par mani. 393 00:19:24,100 --> 00:19:28,600 394 00:19:28,600 --> 00:19:29,100 >> Jā. 395 00:19:29,100 --> 00:19:35,030 Tātad cilvēki apsēdās, un neatkarīgi no md5 hash, kas jums īstenot, viņi gatavojas 396 00:19:35,030 --> 00:19:37,760 atgriezties pie jums kaut tas ir vārds. 397 00:19:37,760 --> 00:19:39,800 Ja es hash citu vārdu, piemēram, - 398 00:19:39,800 --> 00:19:42,410 Es nezinu - 399 00:19:42,410 --> 00:19:43,490 trees2. 400 00:19:43,490 --> 00:19:46,050 Es nevēlos būt vīlušies manu Google meklēšanu. 401 00:19:46,050 --> 00:19:49,820 402 00:19:49,820 --> 00:19:52,780 Tur tas ir, trees2. 403 00:19:52,780 --> 00:19:55,930 Tik daudz tīmekļa vietnes joprojām izmanto md5 hash. 404 00:19:55,930 --> 00:19:57,730 Viņi saka, ak, tas ir droši. 405 00:19:57,730 --> 00:19:58,570 Mēs esam ne uzglabātu teksta. 406 00:19:58,570 --> 00:19:59,740 Mums ir šī md5 hash. 407 00:19:59,740 --> 00:20:01,880 Un viss, kas man ir jādara, ir tikai Google numuru. 408 00:20:01,880 --> 00:20:03,940 >> Man nav pat aprēķināt sevi. 409 00:20:03,940 --> 00:20:06,790 Es varu tikai Google to, un kāds jau to darīja par mani. 410 00:20:06,790 --> 00:20:08,010 Šeit ir ķekars no tiem. 411 00:20:08,010 --> 00:20:09,260 Šeit ir ķekars paroles. 412 00:20:09,260 --> 00:20:13,890 413 00:20:13,890 --> 00:20:18,680 Tāpēc noteikti nelietojiet md5 hash, jo viss, kas jums ir, lai 414 00:20:18,680 --> 00:20:19,140 jādara, ir Google to. 415 00:20:19,140 --> 00:20:20,390 Tātad, ko jūs vēlaties izmantot vietā? 416 00:20:20,390 --> 00:20:29,340 417 00:20:29,340 --> 00:20:30,170 OK. 418 00:20:30,170 --> 00:20:31,260 Kaut ko sauc sālīšana. 419 00:20:31,260 --> 00:20:32,460 Tātad, kas sālīšana ir - 420 00:20:32,460 --> 00:20:36,280 jūs guys atcerēties, kad mēs bijām runājot par nejauši - 421 00:20:36,280 --> 00:20:37,920 Es neesmu pārliecināts, ko PSET tas bija - 422 00:20:37,920 --> 00:20:41,140 tas bija PSET tur vai četras? 423 00:20:41,140 --> 00:20:45,150 >> Mēs runājām par atrast adatu siena kaudzē. 424 00:20:45,150 --> 00:20:48,480 Un PSET, tas teica, ka jūs varētu faktiski izdomāt, ko izlases 425 00:20:48,480 --> 00:20:51,840 rada tāpēc, ka kāds jau skrēja izlases miljons reizes, un tikai 426 00:20:51,840 --> 00:20:53,230 veida veido to, ko tie rada. 427 00:20:53,230 --> 00:20:55,840 Ko jūs vēlaties darīt, ir īstenot ieejas. 428 00:20:55,840 --> 00:20:57,130 Tātad, tas ko sālīšana veida ir. 429 00:20:57,130 --> 00:21:00,900 Viņi jau ir izpētījuši, kas sālīšana atgriežas katram darbam. 430 00:21:00,900 --> 00:21:04,750 >> Tātad, ko sālīšana tas ir jūs likts sāls. 431 00:21:04,750 --> 00:21:06,160 Jūs nodot konkrētu vārdu. 432 00:21:06,160 --> 00:21:09,720 Un tas hash šo vārdu atkarībā par to, ko jūs likts šeit. 433 00:21:09,720 --> 00:21:13,570 Tātad, ja es hash parole viens ar šo teikumu, tas būs hash 434 00:21:13,570 --> 00:21:17,180 savādāk, ja es hash password1 ar atšķirīgu teikums. 435 00:21:17,180 --> 00:21:21,670 Tā veida dod to kaut kur uz posms sajaukšanai, lai sāktu. 436 00:21:21,670 --> 00:21:25,970 Tātad, tas ir daudz grūtāk, lai aprēķinātu, bet joprojām var aprēķināt tā, it 437 00:21:25,970 --> 00:21:26,830 ja jūs izmantojat slikta sāli. 438 00:21:26,830 --> 00:21:29,650 >> Cilvēki jau arī izpētījuši, kopīgas sāļi un sapratu, 439 00:21:29,650 --> 00:21:31,500 kāda tā ir. 440 00:21:31,500 --> 00:21:34,980 Izlases sāļi ir daudz labāk, bet labākais veids ir izmantot 441 00:21:34,980 --> 00:21:38,160 kaut ko sauc kapenes. 442 00:21:38,160 --> 00:21:40,480 Un ko kapenes ļauj darīt - tā šīs funkcijas ir 443 00:21:40,480 --> 00:21:41,820 jau būvētas jums. 444 00:21:41,820 --> 00:21:44,910 Daudzi cilvēki aizmirst, ka, vai viņi aizmirst to izmantot. 445 00:21:44,910 --> 00:21:54,520 Bet, ja es paskatos uz augšu kapenes PHP, kapenes jau atgriež hash virkni par mani. 446 00:21:54,520 --> 00:21:58,790 Un tas faktiski sāļi to vairākas reizes un hashes to vairākas reizes. 447 00:21:58,790 --> 00:22:00,070 >> Tāpēc mums nav to darīt. 448 00:22:00,070 --> 00:22:04,790 Tātad viss, kas jums jādara, ir nosūtīt to kapenes. 449 00:22:04,790 --> 00:22:08,170 Un tas radīs lielu hash bez Jūs jāuztraucas par sāls 450 00:22:08,170 --> 00:22:08,990 vai neko. 451 00:22:08,990 --> 00:22:12,000 Jo, ja tu būtu, lai sāls tam, jums ir atcerēties, ko sāls tu izmanto 452 00:22:12,000 --> 00:22:13,800 jo, ja ne, jūs nevarat saņemt savu parole atpakaļ bez 453 00:22:13,800 --> 00:22:15,760 sāls, ko izmanto. 454 00:22:15,760 --> 00:22:17,010 OK. 455 00:22:17,010 --> 00:22:21,120 456 00:22:21,120 --> 00:22:23,150 >> Un arī personisko identificējama informāciju. 457 00:22:23,150 --> 00:22:26,730 Tātad sociālā drošība, kredītkartes - tas ir diezgan skaidrs. 458 00:22:26,730 --> 00:22:31,880 Bet dažreiz cilvēki aizmirst, kā tas darbi ir, cik daudz informācijas jūs 459 00:22:31,880 --> 00:22:35,690 tiešām ir nepieciešams atrast kādu vienu personu? 460 00:22:35,690 --> 00:22:37,740 Kāds bija pētījums par tas ceļu atpakaļ. 461 00:22:37,740 --> 00:22:40,870 Un tas bija, piemēram, ja jums ir pilns vārds, jūs nevarat atrast 462 00:22:40,870 --> 00:22:41,610 kāds, kas viegli. 463 00:22:41,610 --> 00:22:43,900 Bet ko tad, ja jums ir pilns nosaukums un viņu dzimšanas datumu? 464 00:22:43,900 --> 00:22:47,770 Vai tas ir pietiekami, lai noteiktu kāds konkrēti? 465 00:22:47,770 --> 00:22:52,760 >> Ko darīt, ja jums ir savu vārdu un Adrese, ka viņi dzīvo? 466 00:22:52,760 --> 00:22:55,110 Vai tas ir pietiekami, lai atrastu kādu? 467 00:22:55,110 --> 00:23:02,490 Un tas ir tad, kad tie jautājumu, kas ir personisko identificējamu informāciju, un 468 00:23:02,490 --> 00:23:05,360 Ko jums vajadzētu uztraukties ne dodot prom? 469 00:23:05,360 --> 00:23:08,770 Ja jūs atdot personisko identificējamo informācija, ka kāds dod jums, 470 00:23:08,770 --> 00:23:11,420 Jūs, iespējams, varētu saņemt iesūdzēt tiesā. 471 00:23:11,420 --> 00:23:12,610 Un mēs noteikti negribam, ka. 472 00:23:12,610 --> 00:23:14,955 >> Tātad, ja jūs nodot jūsu mājas lapā out, un jums ir patiešām foršs 473 00:23:14,955 --> 00:23:17,230 dizains, cerams, jūs veicāt laba galīgais projekts. 474 00:23:17,230 --> 00:23:18,370 Kāds jums veida vēlaties nodot to, kas tur. 475 00:23:18,370 --> 00:23:21,420 Jūs vēlaties pārliecināties, ka neatkarīgi jūs lietojat no lietotāja, ja tas ir 476 00:23:21,420 --> 00:23:25,310 personisko identificējamu informāciju, jūs vēlas, lai pārliecinātos, ka jūs to patiešām 477 00:23:25,310 --> 00:23:26,560 uzmanīgiem ar to. 478 00:23:26,560 --> 00:23:29,670 479 00:23:29,670 --> 00:23:31,080 >> Shell injekcijas. 480 00:23:31,080 --> 00:23:31,350 OK. 481 00:23:31,350 --> 00:23:37,590 Shell injekcija ļauj ielaušanās piekļūt jūsu faktisko komandrindas 482 00:23:37,590 --> 00:23:39,660 Jūsu serverī. 483 00:23:39,660 --> 00:23:44,060 Un tāpēc viņš ir spējīgs palaist kodu ka jūs nevarat kontrolēt. 484 00:23:44,060 --> 00:23:49,560 Paņemsim piemēru šajā skaisti stīgu šeit. 485 00:23:49,560 --> 00:23:55,570 Ja mēs ejam uz mājas lapā atkal, es esmu gatavojas iedziļināties kodu injekcijas. 486 00:23:55,570 --> 00:23:58,910 Tātad, ko tas dara, ir - 487 00:23:58,910 --> 00:24:00,420 tas ir arī tas, ko mēs bijām meklē pirms tam. 488 00:24:00,420 --> 00:24:11,200 Mēs ļaujot lietotājam nodot jebkurā viņš grib, un tas izdrukāt 489 00:24:11,200 --> 00:24:12,220 ko jūs vēlaties. 490 00:24:12,220 --> 00:24:13,890 >> Tāpēc es esmu gatavojas, lai aizturētu zvanu. 491 00:24:13,890 --> 00:24:15,540 Kas tas ir - 492 00:24:15,540 --> 00:24:16,940 tas sāks ar konkatenācijas. 493 00:24:16,940 --> 00:24:19,520 Tāpēc tas ļaus man palaist neatkarīgi komandu personas darbību 494 00:24:19,520 --> 00:24:21,500 pirms un manu komandu. 495 00:24:21,500 --> 00:24:23,980 Un es skrienu sistēmas komandu. 496 00:24:23,980 --> 00:24:27,310 Un šie pēdējie stīgas ir - atcerēties ko es runāju ar jums puiši par, 497 00:24:27,310 --> 00:24:31,725 bet jums ir, lai šifrēt tas ar URL metodi. 498 00:24:31,725 --> 00:24:35,010 499 00:24:35,010 --> 00:24:36,992 Ja es palaist šo tagad - 500 00:24:36,992 --> 00:24:39,150 Es jums parādīs, nekā šeit - 501 00:24:39,150 --> 00:24:41,100 Jūs redzēsiet, ka es beidzās galā darbojas komandu. 502 00:24:41,100 --> 00:24:45,700 503 00:24:45,700 --> 00:24:49,320 >> Tas ir faktiski faktiskais serveris ka mana tīmekļa vietne darbojas uz. 504 00:24:49,320 --> 00:24:55,840 505 00:24:55,840 --> 00:24:58,510 Tāpēc mēs negribam, ka, tāpēc, ka es varu palaist - 506 00:24:58,510 --> 00:25:00,320 Šis serveris nav mans. 507 00:25:00,320 --> 00:25:04,030 Tāpēc es nevēlos izjaukt viņa māsa, Marcus serveri. 508 00:25:04,030 --> 00:25:07,470 Bet jūs varat palaist vairākas komandas tas ir bīstami. 509 00:25:07,470 --> 00:25:11,885 Un, iespējams, jūs varētu izdzēst failus, noņemiet katalogi. 510 00:25:11,885 --> 00:25:14,390 511 00:25:14,390 --> 00:25:17,970 Es varu noņemt konkrētu direktoriju, ja Es gribēju, bet es nevēlos 512 00:25:17,970 --> 00:25:19,530 to darīt, lai Marcus. 513 00:25:19,530 --> 00:25:20,420 Viņš ir jauks puisis. 514 00:25:20,420 --> 00:25:21,470 Viņš man aizņemties savu serveri. 515 00:25:21,470 --> 00:25:24,620 Tāpēc es esmu gatavojas let viņam off par labu vienu. 516 00:25:24,620 --> 00:25:32,280 >> Tātad, ko mēs nevēlamies lietot - mums nav vēlaties izmantot eval vai sistēmu. 517 00:25:32,280 --> 00:25:34,755 Eval vai sistēma ļauj mums veikt šīs sistēmas zvanus. 518 00:25:34,755 --> 00:25:37,410 519 00:25:37,410 --> 00:25:38,410 EVAL līdzekļiem novērtēt. 520 00:25:38,410 --> 00:25:40,790 Sistēma nozīmē to, ko es skrēja. 521 00:25:40,790 --> 00:25:42,490 Tas darbojas kaut sistēmā. 522 00:25:42,490 --> 00:25:46,730 Bet mēs varam aizliegt šīs lietas PHP tāpēc, ka mums nav tās izmantot. 523 00:25:46,730 --> 00:25:47,400 Un failu augšupielādes. 524 00:25:47,400 --> 00:25:49,180 Es biju gatavojas darīt laba lieta ar failu augšupielādes. 525 00:25:49,180 --> 00:25:52,740 Bet, tāpat kā es jums puiši teicu, manu failu augšupielāde lieta nedarbojas. 526 00:25:52,740 --> 00:25:54,590 Ja es būtu, lai augšupielādēt failu tieši tagad - 527 00:25:54,590 --> 00:25:57,120 528 00:25:57,120 --> 00:26:00,830 ja man bija, lai augšupielādēt failu, un tas ir attēls - 529 00:26:00,830 --> 00:26:03,180 Jums ir augšupielādes lieta tas attēls. 530 00:26:03,180 --> 00:26:03,660 Tas ir jauki. 531 00:26:03,660 --> 00:26:04,280 Nekas nenotiek. 532 00:26:04,280 --> 00:26:10,840 >> Bet, ja jums ir augšupielādēt failu, lai Piemēram, un lietotājs faktiski attēli 533 00:26:10,840 --> 00:26:19,220 PHP failu vai exe failu vai kaut ko piemēram, ka, tad jūs, iespējams, varētu 534 00:26:19,220 --> 00:26:19,740 ir problēma. 535 00:26:19,740 --> 00:26:21,390 Tas strādāja pirms tam. 536 00:26:21,390 --> 00:26:25,202 Diemžēl man, tas ir vairs nedarbojas. 537 00:26:25,202 --> 00:26:30,230 Ja es, piemēram, ielādē šo failu, Es nesaņemu atļauju augšupielādēt 538 00:26:30,230 --> 00:26:33,400 fails, sakarā ar serveri nav mans. 539 00:26:33,400 --> 00:26:38,670 Tāpēc puisis ir patiešām gudrs. 540 00:26:38,670 --> 00:26:39,610 >> Tāpēc mēs nevēlamies - 541 00:26:39,610 --> 00:26:40,130 Es esmu gatavojas parādīs jums puiši - 542 00:26:40,130 --> 00:26:41,840 Labi, šie ir daži patiešām atdzist rīki. 543 00:26:41,840 --> 00:26:45,100 Tāpēc tie - 544 00:26:45,100 --> 00:26:47,715 iedziļināties - ja jūs guys ir Firefox - Cerams, ka jūs darāt. 545 00:26:47,715 --> 00:26:54,260 Ir divas add-ons sauc SQL injicēšana Me un Cross-Site Script Me. 546 00:26:54,260 --> 00:26:56,870 Tās paver tik maz pusē joslas pusē. 547 00:26:56,870 --> 00:27:01,480 Un, ja man bija, lai dotos uz CS60, piemēram - 548 00:27:01,480 --> 00:27:04,210 lai to, ko tas ir tas izskatās lai visas veidlapas, kas - 549 00:27:04,210 --> 00:27:07,220 550 00:27:07,220 --> 00:27:08,760 cerams, es neiekļūs nepatikšanas par to. 551 00:27:08,760 --> 00:27:09,190 >> Bet OK. 552 00:27:09,190 --> 00:27:12,600 Lūk pin sistēma. 553 00:27:12,600 --> 00:27:18,946 Tātad, kad es sākt meklēt caurumiem sistēmu, pirmā lieta, ko es daru, ir 554 00:27:18,946 --> 00:27:21,820 atvērt šo skaisti maz līdzeklis uz sāniem. 555 00:27:21,820 --> 00:27:24,160 Un es esmu gatavojas izmēģināt formas ar auto uzbrukumiem. 556 00:27:24,160 --> 00:27:28,510 Un tā, ko tas dara, ir tas lēnām atvērt ķekars pārlūkprogrammām. 557 00:27:28,510 --> 00:27:29,930 Šeit ir ķekars pārlūkprogrammām. 558 00:27:29,930 --> 00:27:33,320 Un tas mēģina katru kombināciju pārrobežu vietas skriptu 559 00:27:33,320 --> 00:27:37,380 ka, iespējams, ir, ja jūs redzat uz pusi. 560 00:27:37,380 --> 00:27:42,080 >> Un tas man dos rezultātu kārtot kāda atbilde ir. 561 00:27:42,080 --> 00:27:42,860 Viss iet. 562 00:27:42,860 --> 00:27:43,910 Acīmredzot, viņi visi iet. 563 00:27:43,910 --> 00:27:46,190 Es domāju, ka viņi tiešām ir gudri cilvēki tur. 564 00:27:46,190 --> 00:27:48,010 Bet, ja es būtu palaist - 565 00:27:48,010 --> 00:27:52,050 Man bija reizes pirms, kad es palaist šo par studentu gala projektu. 566 00:27:52,050 --> 00:27:56,080 Es vienkārši palaist SQL Ievada mani ar visi dažādie uzbrukumi. 567 00:27:56,080 --> 00:28:00,080 Un tas cenšas SQL injicē tas pin server. 568 00:28:00,080 --> 00:28:03,590 Tātad, ja mēs ritiniet uz leju, lai Piemēram, tā saka - 569 00:28:03,590 --> 00:28:04,960 tas ir labi, ja tas atgriežas. 570 00:28:04,960 --> 00:28:08,250 >> Tāpēc tas testē dažas noteiktas vērtības. 571 00:28:08,250 --> 00:28:11,170 Un serveris atpakaļ kods, kas bija negatīvs. 572 00:28:11,170 --> 00:28:11,780 Laiku izņemt. 573 00:28:11,780 --> 00:28:13,030 Tas ir labi. 574 00:28:13,030 --> 00:28:17,050 575 00:28:17,050 --> 00:28:20,750 Tas mēģina visus šos testus. 576 00:28:20,750 --> 00:28:21,790 Lai jūs varētu vienkārši palaist - 577 00:28:21,790 --> 00:28:27,860 Es vēlos es varētu atrast mājas lapā nekustamo ātri, ka varētu ļaut man - 578 00:28:27,860 --> 00:28:29,110 varbūt CS50 veikalā. 579 00:28:29,110 --> 00:28:43,890 580 00:28:43,890 --> 00:28:45,711 >> Wow, tas ir gatavojas ņem pārāk ilgi. 581 00:28:45,711 --> 00:28:53,090 582 00:28:53,090 --> 00:28:55,130 Es let pirmais tests nav pabeigta labi. 583 00:28:55,130 --> 00:28:57,330 Tāpēc tas ir sūdzību. 584 00:28:57,330 --> 00:28:58,470 Tātad šie ir trīs lietas. 585 00:28:58,470 --> 00:29:00,430 Šie instrumenti ir bezmaksas. 586 00:29:00,430 --> 00:29:03,960 Jūs varat lejupielādēt un palaist tos jūsu mājas lapā, un tas jums pateiks, ja 587 00:29:03,960 --> 00:29:06,650 Jums ir pārrobežu vietas skriptu, Ja jums ir SQL, ja jums ir 588 00:29:06,650 --> 00:29:07,900 kaut tamlīdzīgi. 589 00:29:07,900 --> 00:29:12,230 590 00:29:12,230 --> 00:29:14,500 Es esmu veida messing up. 591 00:29:14,500 --> 00:29:15,550 >> Kas ir svarīgi - 592 00:29:15,550 --> 00:29:17,900 Labi, tā nekad uzticas lietotājam. 593 00:29:17,900 --> 00:29:21,920 Neatkarīgi no lietotāja izejvielas, lai jūs, pārliecinieties, pārliecināts, ka jūs sanitize to, jūs to tīrīt, 594 00:29:21,920 --> 00:29:25,300 Jūs pārbaudiet pareizās lietas, ka tas dod jums to, ko jūs 595 00:29:25,300 --> 00:29:28,240 vēlos, lai viņš dotu jums. 596 00:29:28,240 --> 00:29:32,460 Vienmēr atjaunina par to sistēmas ka jūs faktiski izmanto. 597 00:29:32,460 --> 00:29:34,630 Ja jūs izmantojat kaut ko līdzīgu bootstrap - 598 00:29:34,630 --> 00:29:36,340 Es zinu, jūs guys gatavojas izmantot bootstrap jo viņš gatavojas iet 599 00:29:36,340 --> 00:29:38,140 nekā tas drīz klasē - 600 00:29:38,140 --> 00:29:43,120 un WordPress vai kaut kas tamlīdzīgs, Parasti tas varētu būt hacked. 601 00:29:43,120 --> 00:29:44,770 >> Un tad jums nav pat zināt. 602 00:29:44,770 --> 00:29:45,800 Jūs tikai darbojas jūsu mājas lapā. 603 00:29:45,800 --> 00:29:47,360 Un tas ir pilnīgi droši. 604 00:29:47,360 --> 00:29:51,730 Un jums iet uz leju. 605 00:29:51,730 --> 00:29:54,000 Tāpēc es esmu zveju tiešām agri. 606 00:29:54,000 --> 00:29:55,770 Bet es vēlos pateikties Pentest Labs. 607 00:29:55,770 --> 00:29:58,140 Es esmu gatavojas parādīs jums, puiši kaut ko sauc Pentest Labs. 608 00:29:58,140 --> 00:30:05,000 Ja jūs puiši tiešām interesē kādi drošības patiešām ir, tur 609 00:30:05,000 --> 00:30:07,300 mājas lapā sauc Pentest Labs, ja jūs guys iet uz to tieši tagad. 610 00:30:07,300 --> 00:30:10,730 Ak, labi, tas nav tā. 611 00:30:10,730 --> 00:30:12,030 Es esmu tikai gatavojas palaist to, kā šis. 612 00:30:12,030 --> 00:30:14,400 Google stāsta man atbildi. 613 00:30:14,400 --> 00:30:16,590 >> OK. 614 00:30:16,590 --> 00:30:19,030 Un tā māca izmantot jums - tā saka, mācīties interneta izplatība 615 00:30:19,030 --> 00:30:21,060 testēšanas pareizo ceļu. 616 00:30:21,060 --> 00:30:23,650 Tā māca jums - 617 00:30:23,650 --> 00:30:25,150 cerams, jūs esat ētiska cilvēks. 618 00:30:25,150 --> 00:30:29,200 Bet tas māca jums, kā jūs varat apskatīt kā jūs varat saņemt iekšpusē mājas lapām. 619 00:30:29,200 --> 00:30:31,130 Un, ja jūs uzzinātu, kā jūs varat iegūt iekšā mājas lapas, jūs varat uzzināt, kā 620 00:30:31,130 --> 00:30:34,960 pasargāt sevi no kļūst iekšpusē mājas lapas. 621 00:30:34,960 --> 00:30:39,100 Ļaujiet man pietuvinātu tāpēc varbūt jūs guys nav meklē šīs tiesības. 622 00:30:39,100 --> 00:30:46,350 >> No SQL injekcijas, lai apvalks, tāpēc veida, kā es varu saņemt no SQL 623 00:30:46,350 --> 00:30:48,530 injekcijas apvalks. 624 00:30:48,530 --> 00:30:53,890 Un jūs lejupielādēt šo virtuālo mašīnu. 625 00:30:53,890 --> 00:30:55,690 Un virtuālā mašīna jau nāk ar tīmekļa vietni, kas tu esi 626 00:30:55,690 --> 00:30:56,780 gatavojas izmēģināt to. 627 00:30:56,780 --> 00:30:58,030 Jūs lejupielādēt šo PDF. 628 00:30:58,030 --> 00:31:03,610 629 00:31:03,610 --> 00:31:08,370 Un tas parādīs pozīcijai, ko kas jums jādara, ko jūs pārbaudīt. 630 00:31:08,370 --> 00:31:14,560 Tas ir tas, ko uzbrucējs patiesībā dara, lai saņemtu iekšpusē mājas lapā. 631 00:31:14,560 --> 00:31:15,750 >> Un daži no šīs lietas ir sarežģīta. 632 00:31:15,750 --> 00:31:17,520 Es vēlos es varētu iet ilgāk lietas ar jums, puiši. 633 00:31:17,520 --> 00:31:21,090 Bet es jāuztraucas, ka jūs guys ir īsti - 634 00:31:21,090 --> 00:31:23,090 tas ir tas, ko es devos pāri ar jūs puiši, web testi 635 00:31:23,090 --> 00:31:26,830 par iespiešanās testēšana. 636 00:31:26,830 --> 00:31:33,540 Nav tiešām zināt, ko SQL un kādam - 637 00:31:33,540 --> 00:31:35,960 Karla Džeksona seminārs ir laba, kā labi. 638 00:31:35,960 --> 00:31:37,360 Jūs guys nezinu veida par to, kas tas ir. 639 00:31:37,360 --> 00:31:39,450 Bet, ja jūs iet uz šo tīmekļa vietni, un jūs lejupielādēt šos videomateriālus, un tie 640 00:31:39,450 --> 00:31:43,290 PDF, jūs varat apskatīt veida kādi drošības jomā tiešām 641 00:31:43,290 --> 00:31:46,940 in iespiešanās testēšana, redzēt, kā jūs varat iekšā mājas un aizsargāt 642 00:31:46,940 --> 00:31:48,020 sevi no tā. 643 00:31:48,020 --> 00:31:56,360 >> Tātad, ja es drīkstu super ātru pārskatu, tas būs novērst pārrobežu vietas skriptu. 644 00:31:56,360 --> 00:32:00,160 Jūs vēlaties izmantot htmlspecialchars ik laikam lietotājs ieejas kaut ko. 645 00:32:00,160 --> 00:32:01,580 Novērstu SQL injekcijas. 646 00:32:01,580 --> 00:32:04,510 Ja jūs to izdarītu, jūs jau labāk nekā Harvard bija 647 00:32:04,510 --> 00:32:06,530 kad viņi ieguva pārkāptas. 648 00:32:06,530 --> 00:32:10,510 Un pārliecinieties, ka jūsu paroles nav teksta. 649 00:32:10,510 --> 00:32:16,220 Pārliecinieties, ka jūs ne tikai viens veids, kā hash viņiem, bet, ka jūs izmantojat kapenēm, PHP 650 00:32:16,220 --> 00:32:18,670 funkcija, kas man parādīja jums puiši. 651 00:32:18,670 --> 00:32:20,060 Tādā veidā, jums ir jābūt labi. 652 00:32:20,060 --> 00:32:25,830 >> Arī tad, ja jūsu draugi jums, palaist SQL Ievada mani savās tīmekļa vietnēs. 653 00:32:25,830 --> 00:32:28,140 Palaist cross-site scripting savās tīmekļa vietnēs. 654 00:32:28,140 --> 00:32:33,720 Un jūs redzēsiet daudz no šīm tīmekļa vietnēm ir ton ievainojamību. 655 00:32:33,720 --> 00:32:40,400 Tas ir neticami, cik daudz cilvēki aizmirst sanitize savas datu bāzes un veikt 656 00:32:40,400 --> 00:32:46,340 pārliecināts, kādi personas ievadīšanu nav skripta kodu. 657 00:32:46,340 --> 00:32:47,200 OK. 658 00:32:47,200 --> 00:32:49,182 Es veida beidzās tiešām agri. 659 00:32:49,182 --> 00:32:56,510 Bet, ja kāds ir kādi jautājumi par kaut kas, jūs varat šaut man jautājumu. 660 00:32:56,510 --> 00:32:56,630 Jā. 661 00:32:56,630 --> 00:32:56,970 Iet, iet. 662 00:32:56,970 --> 00:32:59,846 >> Mērķauditorija: Es tikai gribu jautāt, Vai varat izskaidrot kā fails 663 00:32:59,846 --> 00:33:03,160 augšupielādēt tieši darbi. 664 00:33:03,160 --> 00:33:03,480 >> LUCIANO Arango: Jā. 665 00:33:03,480 --> 00:33:06,350 Tāpēc ļaujiet man jums parādīt failu augšupielādēt nekustamo ātri. 666 00:33:06,350 --> 00:33:11,300 Tāpēc failu augšupielādes - 667 00:33:11,300 --> 00:33:14,500 Problēma wit failu augšupielādes tieši tagad ir tas, ka - 668 00:33:14,500 --> 00:33:18,541 Es esmu gatavojas, lai atvērtu kodu, lai jūs guys redzēt kodu aizkulisēs. 669 00:33:18,541 --> 00:33:22,390 670 00:33:22,390 --> 00:33:24,305 Un tas ir augšupielādēt. 671 00:33:24,305 --> 00:33:28,030 672 00:33:28,030 --> 00:33:31,560 Šeit ir kods failu augšupielādētāju. 673 00:33:31,560 --> 00:33:33,980 >> Mēs cenšamies iet uz to direktorija nekā šeit. 674 00:33:33,980 --> 00:33:37,380 675 00:33:37,380 --> 00:33:44,880 Un mēs cenšamies, kad mēs ievade fails, isset file - tad, kad ir 676 00:33:44,880 --> 00:33:50,900 failu failus, šo attēlu, tad Mēs cenšamies, lai pārvietotu to šeit. 677 00:33:50,900 --> 00:33:51,910 Mēs greifers failu vairāk nekā šeit. 678 00:33:51,910 --> 00:33:58,350 Metode ir POST, veids, attēlu, failu. 679 00:33:58,350 --> 00:33:59,630 Un mēs esam nosūtot šo failu. 680 00:33:59,630 --> 00:34:03,910 Un tad, kad mēs to, lai pēc tam, kad fails ir attēls, mēs cenšamies, lai to nosūtītu 681 00:34:03,910 --> 00:34:05,060 šajā direktorijā. 682 00:34:05,060 --> 00:34:09,814 >> Problēma ir tā, ka mājas lapā nav ļaujot man iet uz šo direktoriju, 683 00:34:09,814 --> 00:34:12,239 tāpēc, ka tā nevēlas, lai es dotos atpakaļ. 684 00:34:12,239 --> 00:34:13,489 Tā nevēlas man iet - 685 00:34:13,489 --> 00:34:15,620 686 00:34:15,620 --> 00:34:17,070 Man ir jāiet - tā šeit ir augšupielādēt. 687 00:34:17,070 --> 00:34:17,639 Šeit ir attēli. 688 00:34:17,639 --> 00:34:21,780 Man ir, lai iet visu ceļu atpakaļ uz sākumā un nodot to tur un tad 689 00:34:21,780 --> 00:34:23,820 iet un nodot to direktoriju. 690 00:34:23,820 --> 00:34:30,000 Tātad, ja es biju darbojas termināla logu, un es gribēju, lai pārvietotu failu - 691 00:34:30,000 --> 00:34:30,409 [Dzirdams] 692 00:34:30,409 --> 00:34:32,159 var redzēt. 693 00:34:32,159 --> 00:34:37,940 Ja es gribēju, lai pārvietotu failu, man ir likt faila nosaukumu un pēc tam 694 00:34:37,940 --> 00:34:40,860 pilnīga ceļš Es gribu nosūtīt to. 695 00:34:40,860 --> 00:34:45,110 >> Un tad serveris nav ļaujot man iet atpakaļ. 696 00:34:45,110 --> 00:34:46,929 Un tā tas neļaujot man nokļūt uz šo failu. 697 00:34:46,929 --> 00:34:47,670 , Bet parasti - 698 00:34:47,670 --> 00:34:49,360 tāpēc tur ir kods augšupielādējot failu. 699 00:34:49,360 --> 00:34:52,260 Tātad, parasti to, kas notiks, ir tas, ka persona ir ne pārbaudīt, ja mans fails 700 00:34:52,260 --> 00:34:57,920 beidzas ar. JPEG, tāpēc es gribētu pārbaudīt. 701 00:34:57,920 --> 00:35:00,054 Ļaujiet man sākt piemēru arī ļoti ātri. 702 00:35:00,054 --> 00:35:07,766 703 00:35:07,766 --> 00:35:08,260 >> OK. 704 00:35:08,260 --> 00:35:09,230 Šis cilvēks labi - 705 00:35:09,230 --> 00:35:11,980 tāpēc divi piemērs ir pārbaudīt ja preg_match - 706 00:35:11,980 --> 00:35:14,180 šeit tas ir vairāk nekā šeit - 707 00:35:14,180 --> 00:35:19,660 lai pārliecinātos, ka beidzas ar PHP, kas ir labs. 708 00:35:19,660 --> 00:35:20,580 Tas ir labi. 709 00:35:20,580 --> 00:35:22,820 Bet tur ir reāls liels problēma ar šo. 710 00:35:22,820 --> 00:35:24,600 Tas ir labi. 711 00:35:24,600 --> 00:35:44,190 Bet, ja man bija, lai izveidotu failu ar nosaukumu myfavoritepicture.php.jpeg, es varētu 712 00:35:44,190 --> 00:35:50,060 joprojām ir iespējams atbrīvoties no JPEG un palaist it.k ka PHP ir bīstami. 713 00:35:50,060 --> 00:35:53,850 Jūs nevēlaties, persona varētu palaist kodu savā mājas lapā. 714 00:35:53,850 --> 00:35:55,750 >> Bet tad. Jpeg ļauj tam iet. 715 00:35:55,750 --> 00:36:00,720 Ideja ir tas, ko jūs patiešām vēlaties darīt Nav pieņemt failus, A., bet OK, ko 716 00:36:00,720 --> 00:36:07,500 jūs patiešām vēlaties darīt, ir pārliecināties, ka jūs lasīt visā pasaulē. 717 00:36:07,500 --> 00:36:08,720 Un tur nekas. Php tajā. 718 00:36:08,720 --> 00:36:10,500 Nav. Php in Visa faila nosaukumu. 719 00:36:10,500 --> 00:36:12,780 >> Mērķauditorija: Bet jūs varētu likts. JPEG uz beigām. 720 00:36:12,780 --> 00:36:15,830 Serveri joprojām palaist kodu. 721 00:36:15,830 --> 00:36:16,870 >> LUCIANO Arango: Nē, tā nebūs palaist sākumā. 722 00:36:16,870 --> 00:36:22,310 Jums ir jāiet atpakaļ un mēģināt redzēt, ja jūs varat - 723 00:36:22,310 --> 00:36:24,210 >> Mērķauditorija: Tātad mums ir - 724 00:36:24,210 --> 00:36:26,020 OK, tikai viens komplekts, kas ietver - 725 00:36:26,020 --> 00:36:26,936 >> LUCIANO Arango: Jā. 726 00:36:26,936 --> 00:36:29,230 >> Mērķauditorija: OK. 727 00:36:29,230 --> 00:36:31,486 >> LUCIANO Arango: Jā. 728 00:36:31,486 --> 00:36:31,900 OK. 729 00:36:31,900 --> 00:36:32,865 Kādi citi jautājumi? 730 00:36:32,865 --> 00:36:33,180 OK. 731 00:36:33,180 --> 00:36:37,350 Es esmu gatavojas atstāt šo augšu un kārtot un mēģināt redzēt, ja jūs guys var - 732 00:36:37,350 --> 00:36:40,490 citi tiem ir nedaudz vairāk sarežģīta, jo tie prasa daudz 733 00:36:40,490 --> 00:36:44,050 vairāk SQL zināšanas ne tikai sākums zināšanas par interneta SQL ir un 734 00:36:44,050 --> 00:36:47,010 kāda JavaScript ir. 735 00:36:47,010 --> 00:36:49,730 Bet es esmu gatavojas izmēģināt, lai saglabātu to uz augšu, un, cerams, jūs guys iemācīsies 736 00:36:49,730 --> 00:36:53,230 par šo un mēģināt veikt palūrēt ko jūs varat darīt, un cik daudz piemēru 737 00:36:53,230 --> 00:36:54,420 jūs varat saņemt, izmantojot. 738 00:36:54,420 --> 00:36:56,020 >> Kāds ir kāda cita jautājumus par to? 739 00:36:56,020 --> 00:36:59,387 740 00:36:59,387 --> 00:37:00,350 Iet uz priekšu. 741 00:37:00,350 --> 00:37:01,170 Jā, šaut, šaut. 742 00:37:01,170 --> 00:37:01,580 Jā, iet uz priekšu. 743 00:37:01,580 --> 00:37:01,850 Iet uz priekšu. 744 00:37:01,850 --> 00:37:02,310 >> Mērķauditorija: OK. 745 00:37:02,310 --> 00:37:08,870 Tāpēc es dzirdēju par to, kā Magic Quotes nav pietiekami droši. 746 00:37:08,870 --> 00:37:09,280 >> LUCIANO Arango: Ko - 747 00:37:09,280 --> 00:37:10,110 Magic Quotes? 748 00:37:10,110 --> 00:37:10,595 >> Mērķauditorija: Jā. 749 00:37:10,595 --> 00:37:15,445 Tāpēc tas piebilst - lai, kad jūs ievade kaut ko, tas vienmēr piebilst cenas. 750 00:37:15,445 --> 00:37:15,930 >> LUCIANO Arango: Jā. 751 00:37:15,930 --> 00:37:16,000 Jā. 752 00:37:16,000 --> 00:37:16,496 OK. 753 00:37:16,496 --> 00:37:19,113 >> Mērķauditorija: Un tad es gan, ka strādāju, bet tad es meklēja to. 754 00:37:19,113 --> 00:37:21,648 Un tas teica, ka tas nav labi. 755 00:37:21,648 --> 00:37:23,050 Bet es neesmu pārliecināts, kāpēc. 756 00:37:23,050 --> 00:37:23,360 >> LUCIANO Arango: Jā. 757 00:37:23,360 --> 00:37:26,240 >> Mērķauditorija: Nelietojiet Magic Quotes, jo tas nav droši. 758 00:37:26,240 --> 00:37:26,360 >> LUCIANO Arango: OK. 759 00:37:26,360 --> 00:37:31,735 Tāpēc Magic Quotes ir, kad jūs ievietojiet SQL un tas jau piebilst citātu jums. 760 00:37:31,735 --> 00:37:33,520 >> Mērķauditorija: Tas vienmēr piebilst cenas ap ko jūs likts collas 761 00:37:33,520 --> 00:37:34,210 >> LUCIANO Arango: Jā. 762 00:37:34,210 --> 00:37:37,190 Tātad problēma ar šo ir tas, ka - 763 00:37:37,190 --> 00:37:38,445 Es ņemšu apskatīt - 764 00:37:38,445 --> 00:37:41,390 >> Mērķauditorija: Kā tas iegūst SQL? 765 00:37:41,390 --> 00:37:44,690 Vai es domāju, tas varētu būt piemēram quote izvēlieties. 766 00:37:44,690 --> 00:37:49,030 >> LUCIANO Arango: Jā, jums ir nepieciešams labas pēdiņām SQL. 767 00:37:49,030 --> 00:37:52,900 >> Mērķauditorija: Nē, bet serveris tas jums. 768 00:37:52,900 --> 00:37:54,460 >> LUCIANO Arango: Šīs mazās pēdiņas tieši šeit, šie maz citātus? 769 00:37:54,460 --> 00:37:55,670 >> Mērķauditorija: Jā. 770 00:37:55,670 --> 00:37:56,450 >> LUCIANO Arango: Jā. 771 00:37:56,450 --> 00:37:59,860 Problēma ir tā, ka jūs varat komentārus, pēdējā - 772 00:37:59,860 --> 00:38:05,770 Labi, lai to, ko es varu darīt, ir es varu komentēt out - tāpēc pieņemsim to apskatīt - Let Me 773 00:38:05,770 --> 00:38:07,920 atvērt teksta rediģēšanas failu. 774 00:38:07,920 --> 00:38:09,610 Ļaujiet man tikai rediģēt šo tieši šeit tieši. 775 00:38:09,610 --> 00:38:19,510 776 00:38:19,510 --> 00:38:20,400 OK. 777 00:38:20,400 --> 00:38:23,710 Vai jūs guys redzēt, ka skaidri? 778 00:38:23,710 --> 00:38:29,730 Ko es varu darīt, ir es varu komentēt out pēdējais. 779 00:38:29,730 --> 00:38:32,190 Tas komentēt pēdējais. 780 00:38:32,190 --> 00:38:36,760 Un tad es nolikšu vienu šeit, ielieciet visi ļaunprātīgu sīkumi šeit. 781 00:38:36,760 --> 00:38:39,840 782 00:38:39,840 --> 00:38:42,630 >> Tāpēc lietotājs ir faktiski ievadot, vai ne? 783 00:38:42,630 --> 00:38:45,230 Lietotājs nav, ievadot lietas, labi? 784 00:38:45,230 --> 00:38:47,430 Tas ir tas, ko es esmu gatavojas ieguldījumu, kā persona mēģina iekļūt iekšā. 785 00:38:47,430 --> 00:38:49,430 Es esmu gatavojas īstenot - 786 00:38:49,430 --> 00:38:59,290 787 00:38:59,290 --> 00:39:00,180 tas ir viens pēdiņas. 788 00:39:00,180 --> 00:39:01,760 Tas ir tikai neskaidro kļūdas. 789 00:39:01,760 --> 00:39:15,080 790 00:39:15,080 --> 00:39:19,400 Un tad kāda kodu ir gatavojas darīt - 791 00:39:19,400 --> 00:39:20,190 sorry, es esmu gatavojas ņemt to out. 792 00:39:20,190 --> 00:39:22,170 Kas kods ir gatavojas darīt, ir tas notiek, lai pievienotu pirmo 793 00:39:22,170 --> 00:39:24,030 pēdiņas šeit. 794 00:39:24,030 --> 00:39:26,040 Un tas notiek, lai pievienotu pēdējā pēdiņas, kā arī. 795 00:39:26,040 --> 00:39:29,350 796 00:39:29,350 --> 00:39:33,270 >> Un tas ir arī gatavojas pievienot Visbeidzot, pēdējā pēdiņas. 797 00:39:33,270 --> 00:39:37,380 Bet es esmu komentējot šos citāts iezīmē, lai viņi neskrien. 798 00:39:37,380 --> 00:39:41,440 Un es esmu apdares šis citāts atzīmēt vairāk nekā šeit. 799 00:39:41,440 --> 00:39:42,290 Vai jūs saprotat? 800 00:39:42,290 --> 00:39:43,750 Vai jūs zaudēja? 801 00:39:43,750 --> 00:39:45,880 Es varu komentēt pēdējo kotāciju zīmi, un rūpēties par 802 00:39:45,880 --> 00:39:46,680 Pirmais pēdiņas. 803 00:39:46,680 --> 00:39:47,350 >> Mērķauditorija: Un tikai apdare pirmā. 804 00:39:47,350 --> 00:39:47,480 >> LUCIANO Arango: Jā. 805 00:39:47,480 --> 00:39:48,400 Un tikai pabeigtu pirmo. 806 00:39:48,400 --> 00:39:48,790 Jā, tas ir labi. 807 00:39:48,790 --> 00:39:50,800 Tas, ko es varu darīt. 808 00:39:50,800 --> 00:39:51,890 Jā. 809 00:39:51,890 --> 00:39:52,980 Visiem citiem jautājumiem, piemēram, ka? 810 00:39:52,980 --> 00:39:54,230 Tas ir liels jautājums. 811 00:39:54,230 --> 00:39:56,960 812 00:39:56,960 --> 00:39:59,790 Nē, jā, varbūt. 813 00:39:59,790 --> 00:40:06,150 Cerams, ka jūs guys būs sava veida padarīs daudz lietderīgāk, ja jūs pētījums SQL un 814 00:40:06,150 --> 00:40:06,650 lietas, piemēram, ka. 815 00:40:06,650 --> 00:40:07,980 Bet, pārliecinieties, ka jūs - 816 00:40:07,980 --> 00:40:10,340 saglabāt šos rīkus skatīties. 817 00:40:10,340 --> 00:40:12,760 Žēl, šie līdzekļi vairāk nekā šeit. 818 00:40:12,760 --> 00:40:14,200 Šie instrumenti ir liels. 819 00:40:14,200 --> 00:40:17,190 Ja kādam ir kādi jautājumi, Jūs varat arī e-pastu man. 820 00:40:17,190 --> 00:40:19,020 Šis ir mans normāli e-pastu. 821 00:40:19,020 --> 00:40:25,015 Un tas ir mans darbs, e-pasts, kas ir tad, kad es strādāju pie jūras. 822 00:40:25,015 --> 00:40:26,040 >> Labi, paldies. 823 00:40:26,040 --> 00:40:26,740 Paldies, puiši. 824 00:40:26,740 --> 00:40:27,860 Jūs labi iet. 825 00:40:27,860 --> 00:40:28,830 Jums nav šeit palikt. 826 00:40:28,830 --> 00:40:29,570 Nav aplaudēt. 827 00:40:29,570 --> 00:40:30,170 Tas ir dīvaini. 828 00:40:30,170 --> 00:40:31,420 Labi, paldies, puiši. 829 00:40:31,420 --> 00:40:32,320