1 00:00:00,000 --> 00:00:09,250 2 00:00:09,250 --> 00:00:10,300 >> LUCIANO Arango: OK, chlapci. 3 00:00:10,300 --> 00:00:11,550 Volám sa Luciano Arango. 4 00:00:11,550 --> 00:00:13,915 Som vo druháku v Adams House. 5 00:00:13,915 --> 00:00:17,550 A budeme hovoriť o Web Security aktívna obrana. 6 00:00:17,550 --> 00:00:24,220 Tak som pracovať pre Úrad pre informácie Bezpečnosť v mori. 7 00:00:24,220 --> 00:00:28,670 A v lete, som na stáži na SeguraTec, ktorá bola informácia 8 00:00:28,670 --> 00:00:31,310 bezpečnostná firma, ktorá slúžila pre Bank of Columbia. 9 00:00:31,310 --> 00:00:34,740 Je to najmä tam, kde som sa dozvedel, čo som sa doteraz naučili. 10 00:00:34,740 --> 00:00:37,990 >> A tak niektorí z materiálu, ktorý sme ísť na dnes, nemáme 11 00:00:37,990 --> 00:00:39,670 naozaj hovoril v triede. 12 00:00:39,670 --> 00:00:40,410 Ale čoskoro. 13 00:00:40,410 --> 00:00:42,360 To bude ako SQL, JavaScript. 14 00:00:42,360 --> 00:00:44,870 A my sme naozaj preč nad ním. 15 00:00:44,870 --> 00:00:47,730 Tak som použiť triedenie letu cez to, a možno neviete, niektoré veci. 16 00:00:47,730 --> 00:00:48,890 Ale čoskoro sa naučíte to. 17 00:00:48,890 --> 00:00:52,080 A to bude všetko dávať zmysel. 18 00:00:52,080 --> 00:00:54,010 Tiež ďalšia vec - 19 00:00:54,010 --> 00:00:55,780 zostať etický. 20 00:00:55,780 --> 00:01:00,560 Niektoré z vecí, ktoré sa naučíte, budete použiť v non-etické spôsoby. 21 00:01:00,560 --> 00:01:01,950 >> Ak je to tvoje, určite vyskúšajte. 22 00:01:01,950 --> 00:01:04,500 Určite motivovať ľudí vyskúšať svoje vlastné servery, skúste 23 00:01:04,500 --> 00:01:05,519 deje vo vnútri nich. 24 00:01:05,519 --> 00:01:08,500 Uvidíme, či im môžete preniknúť, ak môžete získať v nich. 25 00:01:08,500 --> 00:01:09,560 Ale niekto iný to. 26 00:01:09,560 --> 00:01:12,390 Policajti nemajú naozaj rád vtipy a celá, dáme to tu. 27 00:01:12,390 --> 00:01:14,040 Boli sme si pohrávate. 28 00:01:14,040 --> 00:01:15,780 Oni sa naozaj hnevá. 29 00:01:15,780 --> 00:01:18,700 >> Takže zamierte na tejto webovej stránke. 30 00:01:18,700 --> 00:01:23,560 Mám ju otvoril tu. 31 00:01:23,560 --> 00:01:26,780 Jedná sa o webové stránky, a to má veľa príkladov. 32 00:01:26,780 --> 00:01:30,000 Čo sa stane, je, že prvý príklad je druh bude oveľa jednoduchšie 33 00:01:30,000 --> 00:01:33,470 ako posledný príklad v tom zmysle, , Že prvý príklad 34 00:01:33,470 --> 00:01:34,970 je úplne neistá. 35 00:01:34,970 --> 00:01:40,850 A posledná je niečo, čo normálny Web Security človek urobí. 36 00:01:40,850 --> 00:01:42,760 Ale stále môžete triediť ze sa okolo toho. 37 00:01:42,760 --> 00:01:44,860 A budeme sa zameraním na jednu a dva príklady jedna a dve. 38 00:01:44,860 --> 00:01:49,880 39 00:01:49,880 --> 00:01:49,920 >> OK. 40 00:01:49,920 --> 00:01:52,780 Začnime s cross-site scripting. 41 00:01:52,780 --> 00:01:56,100 JavaScript je prevádzkovaná na Prehliadač klienta. 42 00:01:56,100 --> 00:01:59,980 Je to programovací jazyk, ktorý používate bežať na prehliadači klienta tak, 43 00:01:59,980 --> 00:02:04,120 nemusíte aktualizovať webové stránky a vrátiť sa späť na server. 44 00:02:04,120 --> 00:02:04,940 Máte to beží. 45 00:02:04,940 --> 00:02:08,870 Napríklad, Facebook, nemáte znovu načítať webovej stránky pre nový štatút 46 00:02:08,870 --> 00:02:09,710 Aktualizácie prísť. 47 00:02:09,710 --> 00:02:12,170 Je to pomocou JavaScriptu k vytvoreniu všetky tieto veci. 48 00:02:12,170 --> 00:02:16,290 Takže môžeme aplikovať škodlivý JavaScript na internetových stránkach. 49 00:02:16,290 --> 00:02:20,890 A takto, keď sme poslať odkaz na niekto, mohli by sme nejako poslať ju 50 00:02:20,890 --> 00:02:23,050 niektoré z kódu, ktorý chceme. 51 00:02:23,050 --> 00:02:26,450 >> K dispozícii je perzistentná a non-perzistentné JavaScript - 52 00:02:26,450 --> 00:02:30,640 perzistentné a non-perzistentné cross-site písať, mám na mysli. 53 00:02:30,640 --> 00:02:33,760 A s tým rozdielom, že perzistentné je JavaScript, ktorý bude 54 00:02:33,760 --> 00:02:36,060 uložené na internetových stránkach. 55 00:02:36,060 --> 00:02:39,780 A non-perzistentné budú JavaScript že sa vlastne len náhodou raz. 56 00:02:39,780 --> 00:02:41,795 Takže poďme sa pozrieť na príklad naozaj rýchlo. 57 00:02:41,795 --> 00:02:45,660 58 00:02:45,660 --> 00:02:46,130 >> OK. 59 00:02:46,130 --> 00:02:51,620 Takže tento web, jednoduchý, tu nič nedeje. 60 00:02:51,620 --> 00:02:53,070 A budeme sa snažiť, aby vložiť nejaký JavaScript. 61 00:02:53,070 --> 00:02:58,110 Tak ako začneme písať JavaScript sa začneme začiatku skriptu. 62 00:02:58,110 --> 00:03:00,570 A my ho zatvorte so skriptom. 63 00:03:00,570 --> 00:03:03,770 Sme jednoducho bude dať správu - 64 00:03:03,770 --> 00:03:05,410 Ja vám ukážem, - 65 00:03:05,410 --> 00:03:06,500 upozornenia. 66 00:03:06,500 --> 00:03:11,150 Alert je funkcia, ktorá JavaScript používa na zobrazenie niečoho. 67 00:03:11,150 --> 00:03:12,400 Takže skúsme to naozaj rýchlo. 68 00:03:12,400 --> 00:03:15,600 69 00:03:15,600 --> 00:03:18,944 Ja idem, upozornenia ahoj. 70 00:03:18,944 --> 00:03:20,400 No, zabudol som dať - 71 00:03:20,400 --> 00:03:24,510 72 00:03:24,510 --> 00:03:25,460 OK. 73 00:03:25,460 --> 00:03:26,540 Tak to je jednoduché. 74 00:03:26,540 --> 00:03:28,730 >> Kladieme JavaScript na webové stránky, a to prišiel. 75 00:03:28,730 --> 00:03:31,200 A tak nejako stane len na našich webových stránkach, že jo? 76 00:03:31,200 --> 00:03:33,040 Takže to vyzerá, že to nie je problém, nie? 77 00:03:33,040 --> 00:03:34,920 Myslím tým, ako by ste mohli použiť to zlomyseľne? 78 00:03:34,920 --> 00:03:39,930 Takže tak, že hackeri robiť je to naozaj jednoduché. 79 00:03:39,930 --> 00:03:40,970 Chystajú sa chytiť. 80 00:03:40,970 --> 00:03:43,750 Môžu poslať odkaz na vás. 81 00:03:43,750 --> 00:03:46,780 Ak pošlem odkaz na vás práve teraz, a otvorte ju, že to bude 82 00:03:46,780 --> 00:03:51,620 povedať, ahoj, tým, že moje webové stránky sa hovorí, ahoj. 83 00:03:51,620 --> 00:03:57,280 >> A tak keď som mal povedať niečo trochu múdrejší, keď som vytiahnuť 84 00:03:57,280 --> 00:03:59,880 Funkcia JavaScript Aj druh už napísal - 85 00:03:59,880 --> 00:04:03,940 ale keď sa pozriete na to, pôjdem nad ním, ako som to napísal. 86 00:04:03,940 --> 00:04:06,650 Takže budeme nastaviť časový limit. 87 00:04:06,650 --> 00:04:08,450 Budeme čakať na pár sekúnd. 88 00:04:08,450 --> 00:04:13,970 V skutočnosti, budeme čakať, pokiaľ Sa nemýlim, päť sekúnd. 89 00:04:13,970 --> 00:04:15,870 To ide ruka v milisekundách. 90 00:04:15,870 --> 00:04:18,640 A čo budeme robiť, potom ich budeme bude varovať, že prihlásenie 91 00:04:18,640 --> 00:04:21,459 Vypršal časový limit pre prihlásenie späť dovnútra 92 00:04:21,459 --> 00:04:23,990 A budeme chcete zmeniť umiestnenie na iné miesto. 93 00:04:23,990 --> 00:04:30,370 94 00:04:30,370 --> 00:04:32,970 >> Takže keď som poslať tento web s niekým, oni bude 95 00:04:32,970 --> 00:04:34,380 prechádzanie okolo, kľud. 96 00:04:34,380 --> 00:04:35,650 Nič sa nedeje. 97 00:04:35,650 --> 00:04:38,550 A za päť sekúnd, bude to povedať, vaše prihlásenie vypršal. 98 00:04:38,550 --> 00:04:40,200 Prosím prihláste sa späť dovnútra 99 00:04:40,200 --> 00:04:43,400 Po kliknutí na tlačidlo OK, idem do vziať ich na iné webové stránky. 100 00:04:43,400 --> 00:04:45,980 Možno predpokladať, že internetové stránky sa deje na byť podobné webové stránky, ktoré 101 00:04:45,980 --> 00:04:47,280 boli predtým. 102 00:04:47,280 --> 00:04:50,770 A oni sa chystáte prihlásiť svojho Prihlasovacie údaje do svojich webových stránkach miesto 103 00:04:50,770 --> 00:04:51,850 ich webové stránky. 104 00:04:51,850 --> 00:04:54,780 >> A tak môžem poslať ľuďom e-mail pomocou tohto odkazu. 105 00:04:54,780 --> 00:04:56,240 Ja hovorím, oh, tu je odkaz. 106 00:04:56,240 --> 00:04:57,290 To je bankou, napríklad. 107 00:04:57,290 --> 00:05:01,390 Ja hovorím, tu, choďte na tento odkaz. 108 00:05:01,390 --> 00:05:03,730 A keď sa im to poslať, sú bude prechádzanie okolo. 109 00:05:03,730 --> 00:05:07,560 Môžem počkať 15 sekúnd, 20 sekúnd a potom vyskočí, že musíte prihlásiť späť 110 00:05:07,560 --> 00:05:08,840 prihlásiť späť. 111 00:05:08,840 --> 00:05:10,120 Vy to môžete skúsiť s oveľa viac vecí. 112 00:05:10,120 --> 00:05:13,190 Je to zložité, pretože vy Nevidel JavaScript, takže si mohol 113 00:05:13,190 --> 00:05:14,750 neviem, niektoré funkcie. 114 00:05:14,750 --> 00:05:18,625 Ale všetko, čo musíte urobiť, je začať s písmom, končí scenára. 115 00:05:18,625 --> 00:05:22,105 116 00:05:22,105 --> 00:05:25,510 A vy ste mohli dať čokoľvek v stredu. 117 00:05:25,510 --> 00:05:27,350 >> Alert je funkcia, počkajte. 118 00:05:27,350 --> 00:05:29,365 Umiestnenie okna sa dostanete na nové miesto. 119 00:05:29,365 --> 00:05:31,370 Ale môžete tak urobiť oveľa viac. 120 00:05:31,370 --> 00:05:32,630 A tak predstava je, že Vezmeme to preč. 121 00:05:32,630 --> 00:05:39,350 Ak idem na príklade dvoch, a ja dal v rovnakom kódu, je to 122 00:05:39,350 --> 00:05:40,210 nebude fungovať. 123 00:05:40,210 --> 00:05:43,620 Tak to je všetko, čo tlačíte, pretože čo tento web pôvodne 124 00:05:43,620 --> 00:05:50,350 robí sa, ak som dal tu niečo, to bude tlačiť to tu. 125 00:05:50,350 --> 00:05:52,390 Takže to nie je nič z tlače. 126 00:05:52,390 --> 00:05:55,560 Tento príklad je vlastne kontrola aby ste zistili, či skript je tam. 127 00:05:55,560 --> 00:05:57,163 Tak jo, choďte do toho. 128 00:05:57,163 --> 00:05:57,606 Opýtaj sa ma. 129 00:05:57,606 --> 00:05:59,560 >> DIVÁKOV: Nie je odoslanie GET alebo POST požiadavke? 130 00:05:59,560 --> 00:06:00,670 >> LUCIANO Arango: Jo. sú odoslaní požiadavky GET. 131 00:06:00,670 --> 00:06:01,350 >> DIVÁKOV: Je? 132 00:06:01,350 --> 00:06:02,490 >> LUCIANO Arango: Jo. 133 00:06:02,490 --> 00:06:04,030 Tiež prehliadače používajú žiadosti o príspevok. 134 00:06:04,030 --> 00:06:07,470 Ale ja sa snažím ukázať, požiadavky GET takže môžeme vidieť, čo je 135 00:06:07,470 --> 00:06:10,760 v skutočnosti deje. 136 00:06:10,760 --> 00:06:12,880 A tak keď sa pozrieme na tomto kódu - tak to nefunguje. 137 00:06:12,880 --> 00:06:24,870 A ak sa pozrieme na tento kód, to bude mať napríklad dve. 138 00:06:24,870 --> 00:06:29,300 Čo tento človek robí, človek na starosti tohto prehliadača - 139 00:06:29,300 --> 00:06:35,370 otvoriť, OK - 140 00:06:35,370 --> 00:06:39,290 nahradí slovo skript. 141 00:06:39,290 --> 00:06:42,850 To je PHP, ktorý vy by mohli videli trochu ešte. 142 00:06:42,850 --> 00:06:46,250 >> Je to len výmenou Slovo skript s názvom. 143 00:06:46,250 --> 00:06:50,895 Takže sa však, keď idem do toho a len dať do - 144 00:06:50,895 --> 00:06:58,520 145 00:06:58,520 --> 00:07:02,360 keď som chytiť môj kód znova, a ja idem na to zmeniť len trochu. 146 00:07:02,360 --> 00:07:15,010 Namiesto toho skriptu, budem meniť je pre skript s veľkým R. A 147 00:07:15,010 --> 00:07:16,390 budeme vidieť, či to funguje. 148 00:07:16,390 --> 00:07:19,090 Takže to nebolo vytlačiť, čo je dobré znamenie. 149 00:07:19,090 --> 00:07:21,990 A dúfajme, že v ďalších dvoch sekúnd, to bude pop-up. 150 00:07:21,990 --> 00:07:22,820 >> Váš prihlásenia vypršal. 151 00:07:22,820 --> 00:07:23,210 OK. 152 00:07:23,210 --> 00:07:24,460 To je v poriadku. 153 00:07:24,460 --> 00:07:27,670 Takže kontrola skript by mohol nemusí nutne fungovať. 154 00:07:27,670 --> 00:07:28,130 Osoba - 155 00:07:28,130 --> 00:07:32,290 to môže tiež kontrolovať skriptu veľkými písmenami, Skript malá, str prípad 156 00:07:32,290 --> 00:07:34,180 porovnať, uistite sa, že sú rovnaké. 157 00:07:34,180 --> 00:07:38,480 Ale hacker môže ešte robiť druh, čo sme v Vigenère keď sme sa presťahovali 158 00:07:38,480 --> 00:07:40,620 späť pár znakov, pohnúť dopredu. 159 00:07:40,620 --> 00:07:43,470 A to môže prísť na to, ako dať skript späť tam, takže je možné aplikovať 160 00:07:43,470 --> 00:07:44,460 že skript. 161 00:07:44,460 --> 00:07:50,370 >> Takže to, čo chcete používať je špeciálne znaky na 162 00:07:50,370 --> 00:07:51,330 chrániť vaše webové stránky. 163 00:07:51,330 --> 00:07:56,490 A čo to robí sa to robí Uistite sa, že to, čo ste vložili do - 164 00:07:56,490 --> 00:07:59,610 napríklad kurzy alebo tento väčšie ako alebo menšia ako - 165 00:07:59,610 --> 00:08:04,701 sa nahradí niečím , Že nebude - 166 00:08:04,701 --> 00:08:05,951 dovoľte mi priblížiť tu - 167 00:08:05,951 --> 00:08:08,730 168 00:08:08,730 --> 00:08:09,685 aktuálne ampersand. 169 00:08:09,685 --> 00:08:13,420 Nahradia tie špeciálne HTML znaky, ktoré uvidíme, keď budeme 170 00:08:13,420 --> 00:08:14,670 hovorí o - 171 00:08:14,670 --> 00:08:18,635 172 00:08:18,635 --> 00:08:20,740 oh, to bude trvať ma späť do - 173 00:08:20,740 --> 00:08:24,220 174 00:08:24,220 --> 00:08:25,380 Tieto znaky priamo tu. 175 00:08:25,380 --> 00:08:28,180 >> To značí, že sa niečo sa blíži. 176 00:08:28,180 --> 00:08:31,570 Pre HTML, týmto začiatok držiakom nám hovorí, že niečo 177 00:08:31,570 --> 00:08:33,299 Súvisiace HTML sa blíži. 178 00:08:33,299 --> 00:08:33,980 A chceme sa zbaviť toho. 179 00:08:33,980 --> 00:08:36,200 Nechceme, aby HTML do website.k Nechceme, aby užívateľ bude 180 00:08:36,200 --> 00:08:40,260 schopný dať niečo svoje webové stránky ktoré môžu mať vplyv na ich webové stránky, rovnako ako 181 00:08:40,260 --> 00:08:43,480 skript alebo HTML, alebo niečo také. 182 00:08:43,480 --> 00:08:53,090 Čo je dôležité, je to, že vám dezinfikovať vstup užívateľa. 183 00:08:53,090 --> 00:08:54,720 >> Takže užívatelia môžu vstupných veľa vecí. 184 00:08:54,720 --> 00:08:58,110 Ten môžete zadať veľa vecí vyskúšať prinútiť váš prehliadač do stále 185 00:08:58,110 --> 00:08:59,410 spustenie tohto kódu skriptu. 186 00:08:59,410 --> 00:09:02,870 Čo chcete urobiť, je nielen hľadať pre scenár, ale pozrite sa na všetko 187 00:09:02,870 --> 00:09:04,250 ktorý by mohol byť nebezpečný. 188 00:09:04,250 --> 00:09:06,800 A špeciálne znaky budú robiť, že pre vás, takže nemusíte 189 00:09:06,800 --> 00:09:07,340 sa starať o to. 190 00:09:07,340 --> 00:09:12,280 Ale nesnažte sa robiť sami druh s vlastným kódom. 191 00:09:12,280 --> 00:09:14,055 Je každý jasno XSS? 192 00:09:14,055 --> 00:09:14,370 >> OK. 193 00:09:14,370 --> 00:09:16,355 Poďme na SQL injection. 194 00:09:16,355 --> 00:09:21,010 Takže SQL injection je pravdepodobne číslo jedna zraniteľnosť 195 00:09:21,010 --> 00:09:22,490 v rôznych webových stránkach. 196 00:09:22,490 --> 00:09:24,350 Myslím, že je dobrý príklad - 197 00:09:24,350 --> 00:09:27,350 Len som sa skúmať najďalej pre túto vec. 198 00:09:27,350 --> 00:09:34,430 A našiel som tento skvelý článok, kde Videl som, že Harvard bol porušený, 199 00:09:34,430 --> 00:09:35,390 bol hacknut. 200 00:09:35,390 --> 00:09:37,370 A ja som si hovoril, no, ako by to? 201 00:09:37,370 --> 00:09:41,660 Harvard je to najúžasnejšie, najviac zabezpečiť vysokú školu vôbec. 202 00:09:41,660 --> 00:09:43,850 Je to tak? 203 00:09:43,850 --> 00:09:45,410 No, pre porušenie servery, hackeri používajú 204 00:09:45,410 --> 00:09:47,710 Technika tzv SQL injection. 205 00:09:47,710 --> 00:09:50,250 >> Tak toto sa deje na každodennej báze. 206 00:09:50,250 --> 00:09:53,590 Ľudia zabúdajú vziať do úvahy pre SQL injection. 207 00:09:53,590 --> 00:09:54,930 Harvard robí. 208 00:09:54,930 --> 00:10:00,050 Myslím, že tu sa píše, Princeton, Stanford, Cornell. 209 00:10:00,050 --> 00:10:03,550 Tak ako sme sa - tak čo je to SQL vstrekovanie, ktorý prináša všetky tieto 210 00:10:03,550 --> 00:10:05,668 Ľudia dole? 211 00:10:05,668 --> 00:10:08,010 OK. 212 00:10:08,010 --> 00:10:12,090 Takže SQL je programovací jazyk, ktorý používame pre prístup k databázam. 213 00:10:12,090 --> 00:10:14,560 To, čo robíme, je vyberáme - 214 00:10:14,560 --> 00:10:18,510 tak čo to číta práve teraz, je vybrať všetko od stola. 215 00:10:18,510 --> 00:10:22,640 >> SQL, zmení sa do týchto databáz ktoré majú stoly plné informácií. 216 00:10:22,640 --> 00:10:26,550 Takže vybrať všetko od užívateľov kde meno je užívateľské meno. 217 00:10:26,550 --> 00:10:28,120 Je to tak? 218 00:10:28,120 --> 00:10:30,770 Dosť jednoduché. 219 00:10:30,770 --> 00:10:34,490 Myšlienka SQL injection je, že sme vložiť nejaký škodlivý kód, ktorý by 220 00:10:34,490 --> 00:10:37,270 trik server do chodu niečo iný ako to, čo 221 00:10:37,270 --> 00:10:38,430 Pôvodne bol spustený. 222 00:10:38,430 --> 00:10:44,970 Takže povedzme, že pre užívateľské meno, dáme alebo 1 rovná 1. 223 00:10:44,970 --> 00:10:46,700 Takže sme dali alebo 1 rovná 1. 224 00:10:46,700 --> 00:10:49,890 Ako to bude čítať teraz bude vybrať od užívateľov, všetko od 225 00:10:49,890 --> 00:10:51,360 užívatelia - to je všetko - 226 00:10:51,360 --> 00:10:55,880 kde meno je užívateľské meno, ale užívateľské meno alebo 1 rovná 1. 227 00:10:55,880 --> 00:11:01,760 >> Takže názov je nič alebo 1 rovná 1. 228 00:11:01,760 --> 00:11:04,060 1 sa rovná 1, je vždy pravda. 229 00:11:04,060 --> 00:11:07,690 Takže to bude vždy vrátiť informácie od užívateľa. 230 00:11:07,690 --> 00:11:08,100 OK. 231 00:11:08,100 --> 00:11:10,030 Nepotrebujeme mať správne užívateľské meno. 232 00:11:10,030 --> 00:11:14,240 Môžeme len niečo, čo chceme, a vráti informácie 233 00:11:14,240 --> 00:11:15,690 ktoré potrebujeme. 234 00:11:15,690 --> 00:11:17,160 Pozrime sa na ďalší príklad. 235 00:11:17,160 --> 00:11:22,720 >> Ak sme sa vybrať všetko od užívateľa, kde meno je DROP TABLE užívateľov - 236 00:11:22,720 --> 00:11:26,420 Tak čo si myslíte, že to bude robiť, ak som dal do mena 237 00:11:26,420 --> 00:11:29,560 ako používatelia DROP TABLE? 238 00:11:29,560 --> 00:11:30,230 Každý, kto má nápad? 239 00:11:30,230 --> 00:11:31,050 Áno. 240 00:11:31,050 --> 00:11:32,470 >> DIVÁKOV: Bude to povedať je výpis všetkých tabuliek. 241 00:11:32,470 --> 00:11:35,460 >> LUCIANO Arango: Bude to, aby nám povedali vypísať všetko, čo na webových stránkach, 242 00:11:35,460 --> 00:11:38,290 všetko v databáze. 243 00:11:38,290 --> 00:11:41,910 A čo ľudia používajú to na - tak Chystám sa vám ukázať chlapci. 244 00:11:41,910 --> 00:11:45,462 Vyradil som pád tabuľky pretože som ťa nechcela 245 00:11:45,462 --> 00:11:48,240 chlapci tam svoje tabuľky. 246 00:11:48,240 --> 00:11:49,850 Poďme sa na to pozrieť. 247 00:11:49,850 --> 00:11:54,410 Tak to proste ťahá nahor informácie k určitej osobe. 248 00:11:54,410 --> 00:11:57,550 Tak ako môžeme vedieť, či je to ovplyvnená SQL injection. 249 00:11:57,550 --> 00:12:01,545 Budeme kontrolovať naozaj rýchlo či môžeme dať niečo - 250 00:12:01,545 --> 00:12:04,990 251 00:12:04,990 --> 00:12:06,080 dovoľte mi, aby som skopírujte tento kód. 252 00:12:06,080 --> 00:12:08,140 Chystám sa ísť cez neho na sekundu. 253 00:12:08,140 --> 00:12:12,210 Chystám sa dať koreň a 1 sa rovná 1. 254 00:12:12,210 --> 00:12:15,510 >> Toto právo je tu, v tomto znak percenta 23 - 255 00:12:15,510 --> 00:12:19,970 čo to vlastne je, keď som pozrite sa tu na - 256 00:12:19,970 --> 00:12:23,820 spôsob, HTML berie v číslach, ak pozrite sa na, keď som dal v priestore 257 00:12:23,820 --> 00:12:28,380 tu - keby som priestore niečo tu, zmení sa na 2 percentá. 258 00:12:28,380 --> 00:12:31,420 Rozumiete mi to tu keď som dal v priestore? 259 00:12:31,420 --> 00:12:36,710 Spôsob, akým to funguje tak, že môžete len Poslať hodnoty ASCII pomocou HTML. 260 00:12:36,710 --> 00:12:40,330 Nahrádza tak, napríklad, priestor s 20 percentami. 261 00:12:40,330 --> 00:12:41,970 Neviem, či ste už skôr vidieť, že. 262 00:12:41,970 --> 00:12:45,100 >> Nahrádza hashtag s 23 percentami. 263 00:12:45,100 --> 00:12:50,840 Potrebujeme hashtag na konci alebo vyhlásenie, takže môžeme povedať, 264 00:12:50,840 --> 00:13:00,885 databázy nezabudnite ju komentovať von Tento posledný bodkočiarku na konci. 265 00:13:00,885 --> 00:13:03,060 Chceme, aby to myslieť. 266 00:13:03,060 --> 00:13:05,980 Chceme len, aby to bežať všetko , Že máme dopredu a 267 00:13:05,980 --> 00:13:07,450 komentár, že von. 268 00:13:07,450 --> 00:13:08,710 Poďme sa na to pozrieť. 269 00:13:08,710 --> 00:13:14,670 >> Takže ak by som mal dať niečo zle - povedzme napríklad, dal som 2 rovná 270 00:13:14,670 --> 00:13:15,690 1, to mi nedáva nič. 271 00:13:15,690 --> 00:13:22,930 Keď som dal v 1 sa rovná 1, a to robí vrátiť niečo mi to hovorí, že 272 00:13:22,930 --> 00:13:24,660 To je náchylné k SQL injection. 273 00:13:24,660 --> 00:13:29,090 Teraz viem, že bez ohľadu na Dal som za to - 274 00:13:29,090 --> 00:13:39,110 a napríklad DROP TABUĽKY alebo niečo také 275 00:13:39,110 --> 00:13:41,190 bude určite fungovať. 276 00:13:41,190 --> 00:13:44,350 Viem, že je náchylné na SQL injection pretože viem, že 277 00:13:44,350 --> 00:13:49,850 pod kapotou, je to nechať me to 1 sa rovná 1 vec. 278 00:13:49,850 --> 00:13:51,100 OK? 279 00:13:51,100 --> 00:13:53,950 280 00:13:53,950 --> 00:13:56,540 >> A ak sa pozrieme na tieto iné tie, číslo dva a číslo tri, je to 281 00:13:56,540 --> 00:13:59,110 robiť trochu viac kontroly pod 282 00:13:59,110 --> 00:14:03,680 kapucňa, čo to je. 283 00:14:03,680 --> 00:14:07,425 Takže niekto umožní pokles niečo, alebo ešte neskúsil? 284 00:14:07,425 --> 00:14:08,760 Myslíte si chlapci nejako dostať ešte SQL? 285 00:14:08,760 --> 00:14:10,430 Pretože viem, že vy nie Videl to ešte, takže je to trochu 286 00:14:10,430 --> 00:14:11,759 mätúce pre vás. 287 00:14:11,759 --> 00:14:16,160 288 00:14:16,160 --> 00:14:18,480 Poďme sa pozrieť. 289 00:14:18,480 --> 00:14:21,270 Takže, čo je to spôsob, ako zabrániť SQLite? 290 00:14:21,270 --> 00:14:21,390 OK. 291 00:14:21,390 --> 00:14:23,330 Takže je to naozaj dôležité, pretože vám chlapci určite chcieť, aby sa zabránilo 292 00:14:23,330 --> 00:14:24,090 to vo vašich webových stránkach. 293 00:14:24,090 --> 00:14:28,040 >> Ak nie, všetci vaši priatelia budú robiť si žarty z vás, keď sa zrušia všetky 294 00:14:28,040 --> 00:14:29,390 tabuliek. 295 00:14:29,390 --> 00:14:36,150 Takže myšlienka je, že oprava SQL určitým spôsobom, zatiaľ čo budete odpovedať 296 00:14:36,150 --> 00:14:41,940 čo používateľ zadá sa určitý reťazec. 297 00:14:41,940 --> 00:14:46,120 Takže ako to funguje, je vám pripraviť databázu. 298 00:14:46,120 --> 00:14:50,830 Môžete zvoliť názov, farbu a kalórií z databázy s názvom ovocia. 299 00:14:50,830 --> 00:14:53,580 A potom, kde kalórií je nižšia ako, a dáme otáznik tam 300 00:14:53,580 --> 00:14:56,530 hovorí, ideme na vstupe niečo, čo v sekunde. 301 00:14:56,530 --> 00:14:58,850 >> A farba zodpovedá, a kladieme otázku značka hovorí, že budeme 302 00:14:58,850 --> 00:15:00,913 Vstup niečo sekundu rovnako. 303 00:15:00,913 --> 00:15:02,660 OK? 304 00:15:02,660 --> 00:15:09,920 A potom sme ju spustiť, uvedenie v 150 a červenej. 305 00:15:09,920 --> 00:15:12,820 A to bude kontrolovať, aby sa Uistite sa, že títo dvaja - 306 00:15:12,820 --> 00:15:15,300 Toto pole bude kontrolovať, že sa jedná dva ar celé číslo a 307 00:15:15,300 --> 00:15:16,550 že sa jedná o reťazec. 308 00:15:16,550 --> 00:15:18,810 309 00:15:18,810 --> 00:15:20,890 Potom ideme, a my prines všetci, dáme ho do červenej. 310 00:15:20,890 --> 00:15:21,964 To znamená, že načítanie všetkých. 311 00:15:21,964 --> 00:15:26,790 To znamená, že sme vlastne spustiť SQL vyhlásenie a dal ju späť v červenej farbe. 312 00:15:26,790 --> 00:15:30,530 Tu sme sa urobiť to isté, ale urobiť to isté pre žltý. 313 00:15:30,530 --> 00:15:32,490 A prines všetko. 314 00:15:32,490 --> 00:15:36,140 >> A týmto spôsobom, sa zabráni, aby užívateľ aby bola schopná vstup niečo 315 00:15:36,140 --> 00:15:41,710 to nie je to, čo je uvedené, reťazec alebo celé číslo, napríklad. 316 00:15:41,710 --> 00:15:45,100 317 00:15:45,100 --> 00:15:46,610 Predtým som hovoril o spoliehať na ostatných. 318 00:15:46,610 --> 00:15:50,010 Keď vy začať svoj projekt, ste určite bude používať 319 00:15:50,010 --> 00:15:52,310 natiahnutie alebo niečo podobné. 320 00:15:52,310 --> 00:15:53,490 Už ste chlapci niekedy používa Wordpress? 321 00:15:53,490 --> 00:15:57,170 Pravdepodobne použili vy Wordpress s najväčšou pravdepodobnosťou. 322 00:15:57,170 --> 00:16:00,050 Takže problém s použitím iných ľudí veci - 323 00:16:00,050 --> 00:16:05,940 Ja som jednoducho ísť do Google naozaj rýchlo Wordpress zraniteľnosť. 324 00:16:05,940 --> 00:16:07,495 >> Ak som sa vytiahnuť to až teraz - 325 00:16:07,495 --> 00:16:08,995 Doslova som urobil dve sekundy Google. 326 00:16:08,995 --> 00:16:12,300 327 00:16:12,300 --> 00:16:13,800 Môžeme vidieť, že Wordpress - 328 00:16:13,800 --> 00:16:17,450 to je datovaný v septembri '12. 329 00:16:17,450 --> 00:16:19,120 26 je aktualizovaný. 330 00:16:19,120 --> 00:16:23,620 Predvolené konfigurácie Wordpress pred 3.6 nebráni to 331 00:16:23,620 --> 00:16:27,110 niektoré obrázky, ktoré by mohli uľahčujú 332 00:16:27,110 --> 00:16:29,790 cross-site scripting útoky. 333 00:16:29,790 --> 00:16:34,530 Tak rýchly príbeh, raz sme pracovali s - tak som bol v lete, pracuje 334 00:16:34,530 --> 00:16:34,970 stáž. 335 00:16:34,970 --> 00:16:40,400 A my sme pracovali s druhom ako spoločnosť veľký kreditnej karty. 336 00:16:40,400 --> 00:16:42,020 >> A oni sa spoliehajú na niečo, čo nazýva - 337 00:16:42,020 --> 00:16:45,740 Ja neviem, či niekedy hrali chlapci sa produkt s názvom Joomla. 338 00:16:45,740 --> 00:16:51,750 Joomla je produkt, ktorý sa používa pre Riadenie - trochu podobné 339 00:16:51,750 --> 00:16:54,340 Wordpress, ktorý sa používa na vytvorenie webovej stránky. 340 00:16:54,340 --> 00:16:56,060 Takže oni mali ich webové stránky pracuje na systéme Joomla. 341 00:16:56,060 --> 00:16:59,290 Jedná sa vlastne o platobných kartách spoločnosť v Kolumbii. 342 00:16:59,290 --> 00:17:01,000 Vezmem vás k ich Webové stránky naozaj rýchlo. 343 00:17:01,000 --> 00:17:04,550 344 00:17:04,550 --> 00:17:05,400 >> Takže použiť Joomla. 345 00:17:05,400 --> 00:17:08,630 A oni nie sú aktualizované Joomla k najnovším prírastkom. 346 00:17:08,630 --> 00:17:12,160 A tak keď sme sa podrobnejšie pozrieme na ich kód, sme boli schopní skutočne 347 00:17:12,160 --> 00:17:18,430 ísť v ich kóde a ukradnúť všetky Informácie o kreditnej karty, ktoré mali, 348 00:17:18,430 --> 00:17:21,670 všetky čísla kreditných kariet, mená, adresy. 349 00:17:21,670 --> 00:17:22,740 A to bol len - 350 00:17:22,740 --> 00:17:23,569 a ich kód bol úplne v poriadku. 351 00:17:23,569 --> 00:17:24,710 Mali veľkú kód. 352 00:17:24,710 --> 00:17:25,389 Bolo to všetko zabezpečenia. 353 00:17:25,389 --> 00:17:26,520 Sú kontrolované všetky databázy. 354 00:17:26,520 --> 00:17:29,020 Urobili, že cross-site skriptovanie v poriadku. 355 00:17:29,020 --> 00:17:34,390 >> Ale oni používali niečo, čo nebolo aktualizované, aby nebolo bezpečné. 356 00:17:34,390 --> 00:17:36,940 A tak, aby viedli k - takže vy sa určite použiť iné 357 00:17:36,940 --> 00:17:40,650 kód, rámcov ľudí iných ľudí vybudovať svoje webové stránky. 358 00:17:40,650 --> 00:17:43,860 Uistite sa, že sú bezpečnejšie, pretože niekedy to nie si ty, ten, ktorý 359 00:17:43,860 --> 00:17:44,480 urobí chybu. 360 00:17:44,480 --> 00:17:47,440 Ale niekto urobí chybu, a potom padajú kvôli tomu. 361 00:17:47,440 --> 00:17:51,190 362 00:17:51,190 --> 00:17:53,885 >> Heslá a PII. 363 00:17:53,885 --> 00:17:56,820 Takže hesla. 364 00:17:56,820 --> 00:17:58,070 OK. 365 00:17:58,070 --> 00:17:59,980 366 00:17:59,980 --> 00:18:04,230 Poďme sa pozrieť na heslá naozaj rýchlo. 367 00:18:04,230 --> 00:18:04,590 OK. 368 00:18:04,590 --> 00:18:06,520 Prosím, povedzte mi, že každý používa bezpečné - 369 00:18:06,520 --> 00:18:09,030 Dúfam, že všetci tu používa bezpečné heslá. 370 00:18:09,030 --> 00:18:12,890 Len som nechal, že v ako predpoklad. 371 00:18:12,890 --> 00:18:14,850 Takže vy sa určite ukladanie hesiel pre vaše webové stránky. 372 00:18:14,850 --> 00:18:17,440 Budeš robiť niečo ako login alebo niečo také. 373 00:18:17,440 --> 00:18:19,610 Čo je dôležité je, že nebude ukladať heslá vo formáte obyčajného textu. 374 00:18:19,610 --> 00:18:20,860 To je nesmierne dôležité. 375 00:18:20,860 --> 00:18:23,960 Vy nechcete uložiť heslo vo formáte obyčajného textu. 376 00:18:23,960 --> 00:18:27,370 >> A určite to nie je naozaj chcete uložiť ho do jednosmernej hash. 377 00:18:27,370 --> 00:18:32,440 Takže to, čo jeden spôsob, hash je, že keď generovať slovo, keď dal tento 378 00:18:32,440 --> 00:18:36,200 Slovo do funkcie hash, že bude generovať späť nejaký mystický 379 00:18:36,200 --> 00:18:39,390 správa alebo mystický sada kľúčov. 380 00:18:39,390 --> 00:18:40,640 Ukážem vám príklad. 381 00:18:40,640 --> 00:18:44,620 382 00:18:44,620 --> 00:18:50,250 Chystám sa hash, že slovo password1. 383 00:18:50,250 --> 00:18:55,280 Takže md5 hash sa ma vrátiť nejaký divný informácií. 384 00:18:55,280 --> 00:18:59,140 >> Problém je v tom, že ľudia tam vonku že chcel ísť do webovej stránky majú 385 00:18:59,140 --> 00:19:02,750 už prišiel na to nejako všetkých MD5 hash. 386 00:19:02,750 --> 00:19:06,030 To, čo urobil, je, že si sadol na svoje počítača, a oni hash každý 387 00:19:06,030 --> 00:19:09,660 jediné možné slovo tam, kým dostali trochu o tom, čo to je. 388 00:19:09,660 --> 00:19:11,420 Ak by som mal hľadať to hore - 389 00:19:11,420 --> 00:19:12,420 Len som vzal tento hash. 390 00:19:12,420 --> 00:19:14,120 Ak by som si to hash z - 391 00:19:14,120 --> 00:19:17,470 keď pôjdem do webovej stránky, a ja si Tento hash, pretože som si na 392 00:19:17,470 --> 00:19:24,100 databázy, a ja sa to, niekto už na to prišiel za mnou. 393 00:19:24,100 --> 00:19:28,600 394 00:19:28,600 --> 00:19:29,100 >> Jo. 395 00:19:29,100 --> 00:19:35,030 Takže ľudia sa posadil, a čo md5 hash, ktoré ste vložili do, idú do 396 00:19:35,030 --> 00:19:37,760 späť k vám niečo , Že je slovo. 397 00:19:37,760 --> 00:19:39,800 Keby som hash ďalšie slovo, rovnako ako - 398 00:19:39,800 --> 00:19:42,410 Neviem - 399 00:19:42,410 --> 00:19:43,490 trees2. 400 00:19:43,490 --> 00:19:46,050 Ja nechcem byť sklamaný podľa môjho vyhľadávania Google. 401 00:19:46,050 --> 00:19:49,820 402 00:19:49,820 --> 00:19:52,780 Tu to je, trees2. 403 00:19:52,780 --> 00:19:55,930 Takže mnoho internetových stránok naďalej používať MD5 hash. 404 00:19:55,930 --> 00:19:57,730 Hovorí sa, ach, je to bezpečné. 405 00:19:57,730 --> 00:19:58,570 Nie sme ukladanie vo formáte obyčajného textu. 406 00:19:58,570 --> 00:19:59,740 Máme túto MD5 hash. 407 00:19:59,740 --> 00:20:01,880 A všetko, čo musíte urobiť, je len Google číslo. 408 00:20:01,880 --> 00:20:03,940 >> Nemám ani spočítať sám. 409 00:20:03,940 --> 00:20:06,790 Môžem len Google, a niekto už to urobil za mňa. 410 00:20:06,790 --> 00:20:08,010 Tu je banda z nich. 411 00:20:08,010 --> 00:20:09,260 Tu je banda hesla. 412 00:20:09,260 --> 00:20:13,890 413 00:20:13,890 --> 00:20:18,680 Takže rozhodne nepoužívajte md5 hash, pretože všetko, čo musíte 414 00:20:18,680 --> 00:20:19,140 urobiť, je Google to. 415 00:20:19,140 --> 00:20:20,390 Tak čo chcete namiesto toho použiť? 416 00:20:20,390 --> 00:20:29,340 417 00:20:29,340 --> 00:20:30,170 OK. 418 00:20:30,170 --> 00:20:31,260 Niečo, čo nazýva solenie. 419 00:20:31,260 --> 00:20:32,460 Takže to, čo solenie je - 420 00:20:32,460 --> 00:20:36,280 Myslíte si, chlapci Pamätám si, keď sme boli hovorí o náhodné - 421 00:20:36,280 --> 00:20:37,920 Nie som si istý, čo pset to bolo - 422 00:20:37,920 --> 00:20:41,140 to bolo pset tam, alebo štyri? 423 00:20:41,140 --> 00:20:45,150 >> Rozprávali sme si o hľadaní ihly v kope sena. 424 00:20:45,150 --> 00:20:48,480 A v pset, povedal, že by ste mohli vlastne zistiť, čo náhodne 425 00:20:48,480 --> 00:20:51,840 generuje preto, že niekto už bežal náhodné miliónkrát a len 426 00:20:51,840 --> 00:20:53,230 druh tvorí to, čo vytvárajú. 427 00:20:53,230 --> 00:20:55,840 Čo chcete urobiť, je dať do vstupu. 428 00:20:55,840 --> 00:20:57,130 Takže to je to, čo solenie druh je. 429 00:20:57,130 --> 00:21:00,900 Už prišiel na to, čo solenie sa vracia pre každú prácu. 430 00:21:00,900 --> 00:21:04,750 >> Takže to, čo robí, je solenie môžete dať do soli. 431 00:21:04,750 --> 00:21:06,160 Môžete dať v určitom slova. 432 00:21:06,160 --> 00:21:09,720 A to bude hash slovo v závislosti na čo si dať sem. 433 00:21:09,720 --> 00:21:13,570 Takže keď som hash jedného hesla s tým veta, že to bude hash 434 00:21:13,570 --> 00:21:17,180 inak, keď som hash password1 s inou vetou. 435 00:21:17,180 --> 00:21:21,670 Je to trochu dáva niekde na začiatok pre zatrieďovanie začať. 436 00:21:21,670 --> 00:21:25,970 Takže je to oveľa ťažšie pre výpočet, ale môže ešte počítať to, a to najmä 437 00:21:25,970 --> 00:21:26,830 Ak používate zlý soľ. 438 00:21:26,830 --> 00:21:29,650 >> Ľudia už tiež prišiel na to, bežné soli a prišiel na to, 439 00:21:29,650 --> 00:21:31,500 čo to je. 440 00:21:31,500 --> 00:21:34,980 Náhodné soli sú oveľa lepšie, ale najlepší spôsob, ako ich použiť 441 00:21:34,980 --> 00:21:38,160 niečo ako krypta. 442 00:21:38,160 --> 00:21:40,480 A čo krypta umožňuje to - takže tieto funkcie sú 443 00:21:40,480 --> 00:21:41,820 už postavený pre vás. 444 00:21:41,820 --> 00:21:44,910 Mnoho ľudí zabúda, že, alebo Zabúdajú na to použiť. 445 00:21:44,910 --> 00:21:54,520 Ale keď sa pozriem do crypt PHP, krypta už vracia hash reťazec pre mňa. 446 00:21:54,520 --> 00:21:58,790 A to vlastne soli to mnohokrát a hash to mnohokrát. 447 00:21:58,790 --> 00:22:00,070 >> Takže nemusíme to robiť. 448 00:22:00,070 --> 00:22:04,790 Takže všetko, čo musíte urobiť, je Poslať ho do krypty. 449 00:22:04,790 --> 00:22:08,170 A to bude vytvoriť skvelý hash bez ste sa museli starať o soli 450 00:22:08,170 --> 00:22:08,990 alebo tak niečo. 451 00:22:08,990 --> 00:22:12,000 Pretože ak ste boli na soľ je máte mať na pamäti to, čo soľ, ktorú ste použili 452 00:22:12,000 --> 00:22:13,800 pretože ak nie, môžete sa dostať vaše heslo späť, bez toho, aby 453 00:22:13,800 --> 00:22:15,760 soľ, ktoré ste použili. 454 00:22:15,760 --> 00:22:17,010 OK. 455 00:22:17,010 --> 00:22:21,120 456 00:22:21,120 --> 00:22:23,150 >> A tiež osobné identifikovateľné informácie. 457 00:22:23,150 --> 00:22:26,730 Takže sociálneho zabezpečenia, kreditná karta - to je celkom zrejmé. 458 00:22:26,730 --> 00:22:31,880 Ale niekedy ľudia zabúdajú, ako to práca je, koľko informácií sa vám 459 00:22:31,880 --> 00:22:35,690 skutočne potrebujú nájsť nejakú jednu osobu? 460 00:22:35,690 --> 00:22:37,740 Niekto urobil štúdiu o táto cesta späť. 461 00:22:37,740 --> 00:22:40,870 A bolo to ako, keď máte meno, priezvisko, nemôžete nájsť 462 00:22:40,870 --> 00:22:41,610 niekto, že ľahko. 463 00:22:41,610 --> 00:22:43,900 Ale čo keď máte plné meno a ich dátum narodenia? 464 00:22:43,900 --> 00:22:47,770 Je to dosť na identifikáciu niekto konkrétne? 465 00:22:47,770 --> 00:22:52,760 >> Čo keď máte svoje meno a ulice, ktoré žijú na? 466 00:22:52,760 --> 00:22:55,110 Je to dosť nájsť niekoho? 467 00:22:55,110 --> 00:23:02,490 A to je, keď sa pýtajú, čo je osobné identifikovateľné informácie, a 468 00:23:02,490 --> 00:23:05,360 čo by ste mali robiť starosti nie dať preč? 469 00:23:05,360 --> 00:23:08,770 Ak máte dať preč osobné identifikovateľných informácie, ktoré vám niekto dáva, 470 00:23:08,770 --> 00:23:11,420 by ste mohli dostať žalovaný. 471 00:23:11,420 --> 00:23:12,610 A my rozhodne nechceme. 472 00:23:12,610 --> 00:23:14,955 >> Takže, keď ste uvedenie svoje webové stránky von, a ste naozaj v pohode 473 00:23:14,955 --> 00:23:17,230 dizajn, dúfajme, že ste sa úžasné konečný projekt. 474 00:23:17,230 --> 00:23:18,370 Každý si tak nejako chcete dať to tam. 475 00:23:18,370 --> 00:23:21,420 Chcete, aby sa ubezpečil, že všetko, čo Užívate od užívateľa, ak je to 476 00:23:21,420 --> 00:23:25,310 osobné identifikovateľné údaje, môžete chcete, aby sa uistili, že ste bol naozaj 477 00:23:25,310 --> 00:23:26,560 opatrne s ním. 478 00:23:26,560 --> 00:23:29,670 479 00:23:29,670 --> 00:23:31,080 >> Shell vstrekovanie. 480 00:23:31,080 --> 00:23:31,350 OK. 481 00:23:31,350 --> 00:23:37,590 Vstrekovanie Shell umožňuje votrelec získať prístup k vašej aktuálnej príkazového riadku 482 00:23:37,590 --> 00:23:39,660 na vašom serveri. 483 00:23:39,660 --> 00:23:44,060 A tak je schopný spustiť kód že nemôžete ovládať. 484 00:23:44,060 --> 00:23:49,560 Zoberme si príklad tohto krásna string tu. 485 00:23:49,560 --> 00:23:55,570 Ak by sme ísť na webové stránky znova, ja som ísť do kódu injekciu. 486 00:23:55,570 --> 00:23:58,910 Takže, čo to robí, je - 487 00:23:58,910 --> 00:24:00,420 to je tiež to, čo sme boli pri pohľade na pred. 488 00:24:00,420 --> 00:24:11,200 Necháme užívateľovi dať v čo chce, a bude tlačiť 489 00:24:11,200 --> 00:24:12,220 čo chcete. 490 00:24:12,220 --> 00:24:13,890 >> Tak idem dať hovor. 491 00:24:13,890 --> 00:24:15,540 Čo to však je - 492 00:24:15,540 --> 00:24:16,940 začne zřetězením. 493 00:24:16,940 --> 00:24:19,520 Tak to bude, dajte mi spustiť bez ohľadu na Príkaz spustený osoby 494 00:24:19,520 --> 00:24:21,500 pred a môj príkaz. 495 00:24:21,500 --> 00:24:23,980 A ja spustením príkazu systému. 496 00:24:23,980 --> 00:24:27,310 A tieto posledné reťazce sú - nezabudnite čo Hovoril som s vami o, 497 00:24:27,310 --> 00:24:31,725 vzhľadom k tomu, budete musieť kódovať že v metóde URL. 498 00:24:31,725 --> 00:24:35,010 499 00:24:35,010 --> 00:24:36,992 Mám-li spustiť to teraz - 500 00:24:36,992 --> 00:24:39,150 Ukážem ti tu - 501 00:24:39,150 --> 00:24:41,100 uvidíte, že som skončil up spustením príkazu. 502 00:24:41,100 --> 00:24:45,700 503 00:24:45,700 --> 00:24:49,320 >> Jedná sa vlastne o skutočnej servera že môj web beží na. 504 00:24:49,320 --> 00:24:55,840 505 00:24:55,840 --> 00:24:58,510 Takže nechceme, aby pretože môžem bežať - 506 00:24:58,510 --> 00:25:00,320 Tento server nie je moja. 507 00:25:00,320 --> 00:25:04,030 Takže nechcem pokaziť jeho sestra, server, Marcus. 508 00:25:04,030 --> 00:25:07,470 Ale môžete spustiť viac príkazov že sú nebezpečné. 509 00:25:07,470 --> 00:25:11,885 A prípadne, môžete odstrániť súbory, odstrániť adresáre. 510 00:25:11,885 --> 00:25:14,390 511 00:25:14,390 --> 00:25:17,970 Môžem odstrániť určitý adresár, ak Chcel som, ale nechcem 512 00:25:17,970 --> 00:25:19,530 k tomu, že s Marcusom. 513 00:25:19,530 --> 00:25:20,420 Je to milý chlapík. 514 00:25:20,420 --> 00:25:21,470 Nechal mi požičať svoj server. 515 00:25:21,470 --> 00:25:24,620 Takže budem ho nechať off na dobrý. 516 00:25:24,620 --> 00:25:32,280 >> Takže to, čo nechceme používať - ​​my nie chcete použiť eval alebo systému. 517 00:25:32,280 --> 00:25:34,755 Eval alebo systém nám umožňuje aby táto systémové volania. 518 00:25:34,755 --> 00:25:37,410 519 00:25:37,410 --> 00:25:38,410 Eval prostriedky zhodnotiť. 520 00:25:38,410 --> 00:25:40,790 Systém znamená, že to, čo som bežal. 521 00:25:40,790 --> 00:25:42,490 Je to beh niečo v systéme. 522 00:25:42,490 --> 00:25:46,730 Ale môžeme postaviť mimo zákon tieto veci PHP tak, že nebudeme používať. 523 00:25:46,730 --> 00:25:47,400 A nahranie súboru. 524 00:25:47,400 --> 00:25:49,180 Chcel som robiť úžasné vec s upload. 525 00:25:49,180 --> 00:25:52,740 Ale ako hovoril som ti chalani, môj súbor Nahrávanie vec nefunguje. 526 00:25:52,740 --> 00:25:54,590 Ak by som mal nahrať súbor práve teraz - 527 00:25:54,590 --> 00:25:57,120 528 00:25:57,120 --> 00:26:00,830 ak by som mal nahrať súbor, a je to obraz - 529 00:26:00,830 --> 00:26:03,180 Máte nahrať vec to je obraz. 530 00:26:03,180 --> 00:26:03,660 To je v poriadku. 531 00:26:03,660 --> 00:26:04,280 Nič sa nedeje. 532 00:26:04,280 --> 00:26:10,840 >> Ale ak máte súbor nahrať, pre príklad, a užívateľ skutočne obrázky 533 00:26:10,840 --> 00:26:19,220 súbor PHP alebo súbor exe alebo niečo takto, potom by ste mohli potenciálne 534 00:26:19,220 --> 00:26:19,740 majú problém. 535 00:26:19,740 --> 00:26:21,390 Táto pracoval predtým. 536 00:26:21,390 --> 00:26:25,202 Bohužiaľ pre mňa, je to nefunguje. 537 00:26:25,202 --> 00:26:30,230 Keby som napríklad nahrať tento súbor, ja som nedostanú povolenie k nahrať 538 00:26:30,230 --> 00:26:33,400 súboru vzhľadom k serveru že nie je moja. 539 00:26:33,400 --> 00:26:38,670 Takže ten chlap je naozaj šikovný. 540 00:26:38,670 --> 00:26:39,610 >> Takže nechceme, aby - 541 00:26:39,610 --> 00:26:40,130 Chystám sa ukázať vám chlapci - 542 00:26:40,130 --> 00:26:41,840 OK, to sú niektoré naozaj cool nástroje. 543 00:26:41,840 --> 00:26:45,100 Tak to - 544 00:26:45,100 --> 00:26:47,715 ísť do - keď vy máte Firefox - dúfajme, že áno. 545 00:26:47,715 --> 00:26:54,260 K dispozícii sú dva doplnky tzv SQL Inject Ja a Cross-Site Script Me. 546 00:26:54,260 --> 00:26:56,870 Otvárajú sa tak trochu bokom pruhy na boku. 547 00:26:56,870 --> 00:27:01,480 A ak by som mal ísť na CS60 napríklad - 548 00:27:01,480 --> 00:27:04,210 takže to, čo robí, je, že vyzerá pre všetky formy, ktoré - 549 00:27:04,210 --> 00:27:07,220 550 00:27:07,220 --> 00:27:08,760 dúfajme, že nebudem mať v průšvih za to. 551 00:27:08,760 --> 00:27:09,190 >> Ale OK. 552 00:27:09,190 --> 00:27:12,600 Tu je systémový kód PIN. 553 00:27:12,600 --> 00:27:18,946 Takže keď som sa začať hľadať diery v systém, prvá vec, ktorú robím, je 554 00:27:18,946 --> 00:27:21,820 otvoriť tento krásny malý Nástroj na boku. 555 00:27:21,820 --> 00:27:24,160 A budem testovať formulára s auto útoky. 556 00:27:24,160 --> 00:27:28,510 A tak to, čo to robí, je, že sa pomaly otvoriť veľa prehliadačov. 557 00:27:28,510 --> 00:27:29,930 Tu je banda prehliadačov. 558 00:27:29,930 --> 00:27:33,320 A to sa snažia každú kombináciu z cross-site scripting 559 00:27:33,320 --> 00:27:37,380 , Že možno je, ak vidíte na boku. 560 00:27:37,380 --> 00:27:42,080 >> A to mi dá výsledok trochu o tom, čo je odpoveď. 561 00:27:42,080 --> 00:27:42,860 Všetky prejsť. 562 00:27:42,860 --> 00:27:43,910 Je zrejmé, že všetci prejsť. 563 00:27:43,910 --> 00:27:46,190 Myslím, že sú naozaj šikovný ľudia tam hore. 564 00:27:46,190 --> 00:27:48,010 Ale ak by som mal bežať - 565 00:27:48,010 --> 00:27:52,050 Mal som mnohokrát predtým, keď som spustení tohto Na záverečných prác študentov. 566 00:27:52,050 --> 00:27:56,080 Proste som spustiť SQL Aplikujte Mňa všetky rôzne útoky. 567 00:27:56,080 --> 00:28:00,080 A to sa snažia SQL inject Tento pin servera. 568 00:28:00,080 --> 00:28:03,590 Takže keď sme sa posunúť dole, pre Napríklad hovorí, že - 569 00:28:03,590 --> 00:28:04,960 to je dobré, keď sa vráti. 570 00:28:04,960 --> 00:28:08,250 >> Tak to skúša nejaké určité hodnoty. 571 00:28:08,250 --> 00:28:11,170 A server vrátil kód, ktorý je negatívny. 572 00:28:11,170 --> 00:28:11,780 Dočasne odstrániť. 573 00:28:11,780 --> 00:28:13,030 To je dobré. 574 00:28:13,030 --> 00:28:17,050 575 00:28:17,050 --> 00:28:20,750 To sa snaží všetky tieto testy. 576 00:28:20,750 --> 00:28:21,790 Takže môžete jednoducho spustiť - 577 00:28:21,790 --> 00:28:27,860 Prial by som si nájsť webové stránky skutočný rýchlo, že by ma nechal - 578 00:28:27,860 --> 00:28:29,110 Možno obchod CS50. 579 00:28:29,110 --> 00:28:43,890 580 00:28:43,890 --> 00:28:45,711 >> Wow, to bude trvať príliš dlho. 581 00:28:45,711 --> 00:28:53,090 582 00:28:53,090 --> 00:28:55,130 Nechám prvý test nedokončil pravdu. 583 00:28:55,130 --> 00:28:57,330 Takže je to sťažovať. 584 00:28:57,330 --> 00:28:58,470 Tak to sú tri veci. 585 00:28:58,470 --> 00:29:00,430 Tieto nástroje sú zadarmo. 586 00:29:00,430 --> 00:29:03,960 Môžete si ich stiahnuť a spustiť na vaše webové stránky, a to vám povedia, či 587 00:29:03,960 --> 00:29:06,650 Máte cross-site scripting, Ak máte SQL, ak máte 588 00:29:06,650 --> 00:29:07,900 niečo ako. 589 00:29:07,900 --> 00:29:12,230 590 00:29:12,230 --> 00:29:14,500 Ja som trochu poplietol. 591 00:29:14,500 --> 00:29:15,550 >> Čo je dôležité - 592 00:29:15,550 --> 00:29:17,900 OK, takže nikdy dôverovať užívateľa. 593 00:29:17,900 --> 00:29:21,920 Bez ohľadu na užívateľské vstupy na vás, aby sa Naozaj to dezinfikuje, to vyčistiť, 594 00:29:21,920 --> 00:29:25,300 môžete skontrolovať správne veci, že to dáva vám to, čo 595 00:29:25,300 --> 00:29:28,240 Chcem ho dať. 596 00:29:28,240 --> 00:29:32,460 Vždy bude aktualizovaný o tom, čo rámca že ste vlastne používate. 597 00:29:32,460 --> 00:29:34,630 Ak používate niečo ako bootstrap - 598 00:29:34,630 --> 00:29:36,340 Viem, že vy sa chystáte použiť zavedený preto, že to pôjde 599 00:29:36,340 --> 00:29:38,140 cez to čoskoro v triede - 600 00:29:38,140 --> 00:29:43,120 a Wordpress, alebo niečo také, za normálnych okolností by to mohlo byť hacknut. 601 00:29:43,120 --> 00:29:44,770 >> A potom nemusíte ani vedieť. 602 00:29:44,770 --> 00:29:45,800 Ste práve beží vaše webové stránky. 603 00:29:45,800 --> 00:29:47,360 A to je úplne bezpečný. 604 00:29:47,360 --> 00:29:51,730 A idete dole. 605 00:29:51,730 --> 00:29:54,000 Takže som lovia veľmi skoro. 606 00:29:54,000 --> 00:29:55,770 Ale chcem poďakovať Pentest Labs. 607 00:29:55,770 --> 00:29:58,140 Chystám sa ukázať, vy niečo tzv Pentest Labs. 608 00:29:58,140 --> 00:30:05,000 Ak vy ste naozaj záujem čo bezpečnostné naozaj je, tam je 609 00:30:05,000 --> 00:30:07,300 webové stránky s názvom Pentest Labs, ak vy choďte do toho hneď. 610 00:30:07,300 --> 00:30:10,730 Oh, dobre, že to nie je ono. 611 00:30:10,730 --> 00:30:12,030 Idem na to bežať takto. 612 00:30:12,030 --> 00:30:14,400 Google mi hovorí, že odpoveď. 613 00:30:14,400 --> 00:30:16,590 >> OK. 614 00:30:16,590 --> 00:30:19,030 A to učí využívať vás - tak to hovorí, učiť sa webové prenikaniu 615 00:30:19,030 --> 00:30:21,060 testovanie na správnu cestu. 616 00:30:21,060 --> 00:30:23,650 Učí vás - 617 00:30:23,650 --> 00:30:25,150 dúfajme, že ste etický človek. 618 00:30:25,150 --> 00:30:29,200 Ale to vás naučí, ako sa môžete pozrieť na ako sa môžete dostať dovnútra webových stránkach. 619 00:30:29,200 --> 00:30:31,130 A ak sa naučíte, ako sa môžete dostať dovnútra webové stránky, sa môžete dozvedieť, ako sa 620 00:30:31,130 --> 00:30:34,960 chrániť pred stále vnútri webovej stránky. 621 00:30:34,960 --> 00:30:39,100 Dovoľte mi priblížiť, pretože možno vy nie sú pri pohľade na tohto práva. 622 00:30:39,100 --> 00:30:46,350 >> Od SQL injection shell, takže trochu, ako by som mohol dostať z SQL 623 00:30:46,350 --> 00:30:48,530 injekcie na shell. 624 00:30:48,530 --> 00:30:53,890 A môžete stiahnuť tento virtuálny stroj. 625 00:30:53,890 --> 00:30:55,690 A virtuálny stroj už prichádza sa na webových stránkach, že ste 626 00:30:55,690 --> 00:30:56,780 Pokúsim sa to. 627 00:30:56,780 --> 00:30:58,030 Môžete stiahnuť vo formáte PDF. 628 00:30:58,030 --> 00:31:03,610 629 00:31:03,610 --> 00:31:08,370 A to vám ukáže riadok po riadku, čo čo musíte urobiť, čo skontrolovať. 630 00:31:08,370 --> 00:31:14,560 To je to, čo útočník v skutočnosti robí sa dostať do webovej stránky. 631 00:31:14,560 --> 00:31:15,750 >> A niektoré z týchto vecí je zložité. 632 00:31:15,750 --> 00:31:17,520 Želám si, aby som mohol ísť na viac čo s vami. 633 00:31:17,520 --> 00:31:21,090 Ale obávam sa, že vy nie naozaj - 634 00:31:21,090 --> 00:31:23,090 To je to, čo som prešiel s vy, webové testy 635 00:31:23,090 --> 00:31:26,830 pre penetračné testy. 636 00:31:26,830 --> 00:31:33,540 Naozaj neviem, čo SQL je a čo - 637 00:31:33,540 --> 00:31:35,960 Carl Jackson seminár Je úžasné, ako dobre. 638 00:31:35,960 --> 00:31:37,360 Vy neviete, triedenie o tom, čo to je. 639 00:31:37,360 --> 00:31:39,450 Ale keď idete na týchto stránkach, a vy stiahnuť tieto výučbové programy a tie 640 00:31:39,450 --> 00:31:43,290 PDF, môžete sa pozrieť na druhu čo oblasť bezpečnosti naozaj 641 00:31:43,290 --> 00:31:46,940 v penetračných testov, ako môžete sa vnútri webovej stránky a ochrana 642 00:31:46,940 --> 00:31:48,020 si z neho. 643 00:31:48,020 --> 00:31:56,360 >> Takže keď urobím super rýchly prehľad, to bude zabrániť cross-site scripting. 644 00:31:56,360 --> 00:32:00,160 Ak chcete špeciálne znaky používať každý keď používateľ vstupy niečo. 645 00:32:00,160 --> 00:32:01,580 Zabrániť SQL injection. 646 00:32:01,580 --> 00:32:04,510 Ak to urobíte, ste už lepšie ako Harvard bol 647 00:32:04,510 --> 00:32:06,530 Keď sa dostali k porušeniu. 648 00:32:06,530 --> 00:32:10,510 A uistite sa, že vaše heslá nie sú vo formáte obyčajného textu. 649 00:32:10,510 --> 00:32:16,220 Uistite sa, že nemáte len jeden spôsob, ako hash je ale použiť kryptu, PHP 650 00:32:16,220 --> 00:32:18,670 funkcie, ktoré som vám ukázal chalani. 651 00:32:18,670 --> 00:32:20,060 Tak, mali by ste byť dobre. 652 00:32:20,060 --> 00:32:25,830 >> Tiež, ak vaši priatelia vám, spustite SQL Aplikujte ma na svojich internetových stránkach. 653 00:32:25,830 --> 00:32:28,140 Spustite cross-site scripting na svojich internetových stránkach. 654 00:32:28,140 --> 00:32:33,720 A uvidíte mnoho z týchto internetových stránok majú veľa slabých miest. 655 00:32:33,720 --> 00:32:40,400 Je to neuveriteľné, ako veľa ľudí zabudnúť dezinfikovať svoje databázy alebo aby 656 00:32:40,400 --> 00:32:46,340 istý, čo zadaním osoby nie je kód skriptu. 657 00:32:46,340 --> 00:32:47,200 OK. 658 00:32:47,200 --> 00:32:49,182 Tak nejako som skončil veľmi skoro. 659 00:32:49,182 --> 00:32:56,510 Ale ak má niekto nejaké otázky týkajúce sa niečo, môžete mi strieľať otázku. 660 00:32:56,510 --> 00:32:56,630 Jo. 661 00:32:56,630 --> 00:32:56,970 Choď, choď. 662 00:32:56,970 --> 00:32:59,846 >> DIVÁKOV: Chcem sa len opýtať, Môžete vysvetliť, ako sa súbor 663 00:32:59,846 --> 00:33:03,160 nahrať presne funguje. 664 00:33:03,160 --> 00:33:03,480 >> LUCIANO Arango: Jo. 665 00:33:03,480 --> 00:33:06,350 Takže dovoľte mi ukázať vám súbor nahrať naozaj rýchlo. 666 00:33:06,350 --> 00:33:11,300 Takže upload - 667 00:33:11,300 --> 00:33:14,500 Problém vtip o nahranie súboru práve teraz je, že - 668 00:33:14,500 --> 00:33:18,541 Idem otvoriť kód, takže si chlapci pozri kód v zákulisí. 669 00:33:18,541 --> 00:33:22,390 670 00:33:22,390 --> 00:33:24,305 A to je nahrať. 671 00:33:24,305 --> 00:33:28,030 672 00:33:28,030 --> 00:33:31,560 Tu je kód pre súbor nahral. 673 00:33:31,560 --> 00:33:33,980 >> Snažíme sa ísť do toho adresár sem. 674 00:33:33,980 --> 00:33:37,380 675 00:33:37,380 --> 00:33:44,880 A snažíme sa, akonáhle sa vstup súbor, isset súbor - takže keď je 676 00:33:44,880 --> 00:33:50,900 súbor v spise, že obraz, potom snažíme sa tu pohybovať. 677 00:33:50,900 --> 00:33:51,910 Sme chytiť súbor sem. 678 00:33:51,910 --> 00:33:58,350 Táto metóda je POST, typ, obrázok, súbor. 679 00:33:58,350 --> 00:33:59,630 A my odoslaním tohto súboru. 680 00:33:59,630 --> 00:34:03,910 A potom, akonáhle dostaneme, takže akonáhle súbor má obraz, sa snažíme odoslať 681 00:34:03,910 --> 00:34:05,060 do tohto adresára. 682 00:34:05,060 --> 00:34:09,814 >> Problém je v tom, že webová stránka nie je nechal ma ísť do tohto adresára, 683 00:34:09,814 --> 00:34:12,239 preto, že nechce, aby som sa vrátila. 684 00:34:12,239 --> 00:34:13,489 Nechce, aby som išiel - 685 00:34:13,489 --> 00:34:15,620 686 00:34:15,620 --> 00:34:17,070 Musím ísť - tak tu je nahrať. 687 00:34:17,070 --> 00:34:17,639 Tu je fotografia. 688 00:34:17,639 --> 00:34:21,780 Musím ísť celú cestu späť do začiatok a dať to tam a potom 689 00:34:21,780 --> 00:34:23,820 ísť a dať ho do adresára. 690 00:34:23,820 --> 00:34:30,000 Takže keď som bežal okno terminálu, a chcel som sa presunúť súbor - 691 00:34:30,000 --> 00:34:30,409 [Nepočuteľný] 692 00:34:30,409 --> 00:34:32,159 Môžete ho vidieť. 693 00:34:32,159 --> 00:34:37,940 Keby som chcel presunúť súbor, mám vložiť názov súboru a potom 694 00:34:37,940 --> 00:34:40,860 kompletné cesta a chcem ju poslať. 695 00:34:40,860 --> 00:34:45,110 >> A potom server nie je Nechať ma ísť späť. 696 00:34:45,110 --> 00:34:46,929 A tak to nenechám mi dostať do tohto súboru. 697 00:34:46,929 --> 00:34:47,670 Ale za normálnych okolností - 698 00:34:47,670 --> 00:34:49,360 takže je tu kód nahranie súboru. 699 00:34:49,360 --> 00:34:52,260 Tak normálne, čo sa stane je, že osoba nie je kontrolovať, či má súbor 700 00:34:52,260 --> 00:34:57,920 končí. jpeg, takže som bude chcieť skontrolovať. 701 00:34:57,920 --> 00:35:00,054 Dovoľte mi otvoriť príklad taky naozaj rýchlo. 702 00:35:00,054 --> 00:35:07,766 703 00:35:07,766 --> 00:35:08,260 >> OK. 704 00:35:08,260 --> 00:35:09,230 Táto osoba právo - 705 00:35:09,230 --> 00:35:11,980 takže príklad dvoch kontroluje ak preg_match - 706 00:35:11,980 --> 00:35:14,180 tu je to tu - 707 00:35:14,180 --> 00:35:19,660 Uistite sa, že končí PHP, čo je dobré. 708 00:35:19,660 --> 00:35:20,580 To je dobré. 709 00:35:20,580 --> 00:35:22,820 Ale je tu naozaj veľký Problém s týmto. 710 00:35:22,820 --> 00:35:24,600 To je dobré. 711 00:35:24,600 --> 00:35:44,190 Ale keby som si mal dať súbor s názvom myfavoritepicture.php.jpeg, mohol by som 712 00:35:44,190 --> 00:35:50,060 stále potenciálne zbaviť jpeg a spustiť it.k to PHP je nebezpečná. 713 00:35:50,060 --> 00:35:53,850 Nechcete, aby osoba, ktorá má byť schopná spustiť kód na vaše webové stránky. 714 00:35:53,850 --> 00:35:55,750 >> Ale potom. Jpeg nechá ho prejsť. 715 00:35:55,750 --> 00:36:00,720 Myšlienka je to, čo naozaj chcete robiť Nie je sa súbory, A., ale OK, čo 716 00:36:00,720 --> 00:36:07,500 naozaj chcete urobiť, je zabezpečiť, aby čítate po celom svete. 717 00:36:07,500 --> 00:36:08,720 A nie je nič. Php v ňom. 718 00:36:08,720 --> 00:36:10,500 Nie je. Php vo Celý názov súboru. 719 00:36:10,500 --> 00:36:12,780 >> DIVÁKOV: Ale vy ste mohli dať. jpeg na konci. 720 00:36:12,780 --> 00:36:15,830 Servery stále spustiť kód. 721 00:36:15,830 --> 00:36:16,870 >> LUCIANO Arango: Nie, to nebude beží na začiatku. 722 00:36:16,870 --> 00:36:22,310 Musíte sa vrátiť a skúsiť zistiť, či môžete - 723 00:36:22,310 --> 00:36:24,210 >> DIVÁKOV: Takže musíme - 724 00:36:24,210 --> 00:36:26,020 OK, len ďalší set, ktorý zahŕňa - 725 00:36:26,020 --> 00:36:26,936 >> LUCIANO Arango: Jo. 726 00:36:26,936 --> 00:36:29,230 >> DIVÁKOV: OK. 727 00:36:29,230 --> 00:36:31,486 >> LUCIANO Arango: Jo. 728 00:36:31,486 --> 00:36:31,900 OK. 729 00:36:31,900 --> 00:36:32,865 Nejaké ďalšie otázky? 730 00:36:32,865 --> 00:36:33,180 OK. 731 00:36:33,180 --> 00:36:37,350 Chystám sa opustiť to a triedenie zo sa snažia zistiť, či vy môžete - 732 00:36:37,350 --> 00:36:40,490 tie ostatné sú trochu viac zložité, pretože vyžadujú veľa 733 00:36:40,490 --> 00:36:44,050 viac znalosť SQL, než len začiatok znalosť webových SQL je a 734 00:36:44,050 --> 00:36:47,010 čo JavaScript je. 735 00:36:47,010 --> 00:36:49,730 Ale budem sa snažiť, aby to hore, a dúfajme, že vy sa dozviete, 736 00:36:49,730 --> 00:36:53,230 o tom a snaží sa nahliadnuť na čo môžete urobiť a koľko príkladov 737 00:36:53,230 --> 00:36:54,420 môžete dostať cez. 738 00:36:54,420 --> 00:36:56,020 >> Každý, kto má akýkoľvek iný otázky o tom? 739 00:36:56,020 --> 00:36:59,387 740 00:36:59,387 --> 00:37:00,350 Len do toho. 741 00:37:00,350 --> 00:37:01,170 Jo, strieľať, strieľať. 742 00:37:01,170 --> 00:37:01,580 Jo, choďte do toho. 743 00:37:01,580 --> 00:37:01,850 Len do toho. 744 00:37:01,850 --> 00:37:02,310 >> DIVÁKOV: OK. 745 00:37:02,310 --> 00:37:08,870 Počul som o tom, ako magic quotes nie sú dostatočne bezpečné. 746 00:37:08,870 --> 00:37:09,280 >> LUCIANO Arango: Co - 747 00:37:09,280 --> 00:37:10,110 Magic quotes? 748 00:37:10,110 --> 00:37:10,595 >> DIVÁKOV: Jo. 749 00:37:10,595 --> 00:37:15,445 Tak to pridáva - takže zakaždým, keď vstup niečo, je to vždy pridá úvodzovky. 750 00:37:15,445 --> 00:37:15,930 >> LUCIANO Arango: Jo. 751 00:37:15,930 --> 00:37:16,000 Jo. 752 00:37:16,000 --> 00:37:16,496 OK. 753 00:37:16,496 --> 00:37:19,113 >> DIVÁKOV: A potom som si myslel, že pracoval, ale potom som hľadal ju. 754 00:37:19,113 --> 00:37:21,648 A povedal, že to nie je dobré. 755 00:37:21,648 --> 00:37:23,050 Ale nie som si istý prečo. 756 00:37:23,050 --> 00:37:23,360 >> LUCIANO Arango: Jo. 757 00:37:23,360 --> 00:37:26,240 >> DIVÁKOV: Nepoužívajte magic quotes, pretože to nie je bezpečné. 758 00:37:26,240 --> 00:37:26,360 >> LUCIANO Arango: OK. 759 00:37:26,360 --> 00:37:31,735 Takže magic quotes je, keď vložíte SQL a to už dodáva citát pre vás. 760 00:37:31,735 --> 00:37:33,520 >> DIVÁKOV: Je vždy pridá úvodzovky okolo, čo ste vložili dovnútra 761 00:37:33,520 --> 00:37:34,210 >> LUCIANO Arango: Jo. 762 00:37:34,210 --> 00:37:37,190 Preto je problém s tým, že - 763 00:37:37,190 --> 00:37:38,445 Budem sa pozrieť na - 764 00:37:38,445 --> 00:37:41,390 >> DIVÁKOV: Ako to získať SQL? 765 00:37:41,390 --> 00:37:44,690 Alebo Myslím, že by to mohlo byť ako citácie vybrať. 766 00:37:44,690 --> 00:37:49,030 >> LUCIANO Arango: Jo, čo potrebujete dobré citácie pre SQL. 767 00:37:49,030 --> 00:37:52,900 >> DIVÁKOV: Nie, ale server to urobí za vás. 768 00:37:52,900 --> 00:37:54,460 >> LUCIANO Arango: Tieto malé citácie tu, tieto malé úvodzovky? 769 00:37:54,460 --> 00:37:55,670 >> DIVÁKOV: Jo. 770 00:37:55,670 --> 00:37:56,450 >> LUCIANO Arango: Jo. 771 00:37:56,450 --> 00:37:59,860 Problém je v tom, že môžete komentár z poslednej - 772 00:37:59,860 --> 00:38:05,770 OK, takže to, čo môžem urobiť, je, že som si komentár out - takže sa poďme pozrieť na - dovoľte mi, aby som 773 00:38:05,770 --> 00:38:07,920 otvoriť pre úpravy textu súboru. 774 00:38:07,920 --> 00:38:09,610 Dovoľte mi stačí upraviť tento priamo priamo tu. 775 00:38:09,610 --> 00:38:19,510 776 00:38:19,510 --> 00:38:20,400 OK. 777 00:38:20,400 --> 00:38:23,710 Môžete vy vidieť, že jasne? 778 00:38:23,710 --> 00:38:29,730 Čo môžem urobiť, je, že som si komentár z posledného. 779 00:38:29,730 --> 00:38:32,190 To bude komentár mimo ten posledný. 780 00:38:32,190 --> 00:38:36,760 A potom som si dal jeden sem, dať všetky škodlivé veci tu. 781 00:38:36,760 --> 00:38:39,840 782 00:38:39,840 --> 00:38:42,630 >> Takže používateľ je skutočne zadávanie, že jo? 783 00:38:42,630 --> 00:38:45,230 Užívateľ nie je zadanie veci, že jo? 784 00:38:45,230 --> 00:38:47,430 To je to, čo budem vstup ako človek sa snaží dostať dovnútra. 785 00:38:47,430 --> 00:38:49,430 Chystám sa dať do - 786 00:38:49,430 --> 00:38:59,290 787 00:38:59,290 --> 00:39:00,180 to je jedna úvodzovky. 788 00:39:00,180 --> 00:39:01,760 Je to len zakrútený omylom. 789 00:39:01,760 --> 00:39:15,080 790 00:39:15,080 --> 00:39:19,400 A potom to, čo kód je robiť - 791 00:39:19,400 --> 00:39:20,190 Ospravedlňujem sa, idem sa na to. 792 00:39:20,190 --> 00:39:22,170 Aký kód je robiť, je to bude pridávať prvý 793 00:39:22,170 --> 00:39:24,030 úvodzovky tu. 794 00:39:24,030 --> 00:39:26,040 A bude to pridať posledná úvodzovky rovnako. 795 00:39:26,040 --> 00:39:29,350 796 00:39:29,350 --> 00:39:33,270 >> A je to tiež bude pridávať posledný posledný úvodzovky. 797 00:39:33,270 --> 00:39:37,380 Ale ja som komentoval tieto cenovú ponuku označí sa tak, že nie sú v rozpore. 798 00:39:37,380 --> 00:39:41,440 A ja končím túto ponuku označiť sem. 799 00:39:41,440 --> 00:39:42,290 Chápete? 800 00:39:42,290 --> 00:39:43,750 Stratil ste sa? 801 00:39:43,750 --> 00:39:45,880 Nemôžem komentovať poslednú ponuku značka, a postarať sa o 802 00:39:45,880 --> 00:39:46,680 Prvý úvodzovky. 803 00:39:46,680 --> 00:39:47,350 >> DIVÁKOV: A práve úprava prvý z nich. 804 00:39:47,350 --> 00:39:47,480 >> LUCIANO Arango: Jo. 805 00:39:47,480 --> 00:39:48,400 A práve dokončil prvý. 806 00:39:48,400 --> 00:39:48,790 Jo, to je pravda. 807 00:39:48,790 --> 00:39:50,800 To je to, čo sa dá robiť. 808 00:39:50,800 --> 00:39:51,890 Jo. 809 00:39:51,890 --> 00:39:52,980 Akékoľvek ďalšie otázky, ako je to? 810 00:39:52,980 --> 00:39:54,230 To je veľká otázka. 811 00:39:54,230 --> 00:39:56,960 812 00:39:56,960 --> 00:39:59,790 No, áno, možno. 813 00:39:59,790 --> 00:40:06,150 Dúfajme, že vy sa trochu, aby väčší zmysel, keď budete študovať SQL a 814 00:40:06,150 --> 00:40:06,650 podobné veci. 815 00:40:06,650 --> 00:40:07,980 Ale uistite sa, že - 816 00:40:07,980 --> 00:40:10,340 držať týchto nástrojov v hodinkách. 817 00:40:10,340 --> 00:40:12,760 Ospravedlňujeme sa, ale tieto nástroje viac ako tu. 818 00:40:12,760 --> 00:40:14,200 Tieto nástroje sú skvelé. 819 00:40:14,200 --> 00:40:17,190 Ak má niekto nejaké otázky, môžete mi tiež e-mailom. 820 00:40:17,190 --> 00:40:19,020 To je môj normálny e-mail. 821 00:40:19,020 --> 00:40:25,015 A toto je môj pracovný e-mail, ktorý je, keď pracujem na mori. 822 00:40:25,015 --> 00:40:26,040 >> OK, vďaka. 823 00:40:26,040 --> 00:40:26,740 Vďaka, chlapci. 824 00:40:26,740 --> 00:40:27,860 Si dobré ísť. 825 00:40:27,860 --> 00:40:28,830 Nemusíte zostať tu. 826 00:40:28,830 --> 00:40:29,570 Nepoužívajte tlieskať. 827 00:40:29,570 --> 00:40:30,170 To je divné. 828 00:40:30,170 --> 00:40:31,420 OK, vďaka, chlapi. 829 00:40:31,420 --> 00:40:32,320