1 00:00:00,000 --> 00:00:09,250 2 00:00:09,250 --> 00:00:10,300 >> LUCIANO Arango: ตกลงครับ 3 00:00:10,300 --> 00:00:11,550 ชื่อของฉันคือลูเซียโนเบียร์ปาเรเด 4 00:00:11,550 --> 00:00:13,915 ฉันนักเรียนปีที่สองในบ้านอดัมส์ 5 00:00:13,915 --> 00:00:17,550 และเรากำลังจะพูดคุยเกี่ยวกับ การรักษาความปลอดภัยป้องกันที่ใช้งานเว็บ 6 00:00:17,550 --> 00:00:24,220 ดังนั้นผมทำงานให้กับสำนักงานคณะกรรมการข้อมูล การรักษาความปลอดภัยในทะเล 7 00:00:24,220 --> 00:00:28,670 และในช่วงฤดู​​ร้อนที่ฉันฝึกงานที่ SeguraTec ซึ่งเป็นข้อมูล 8 00:00:28,670 --> 00:00:31,310 บริษัท รักษาความปลอดภัยที่ทำหน้าที่ สำหรับธนาคารแห่งโคลัมเบีย 9 00:00:31,310 --> 00:00:34,740 นั่นคือส่วนใหญ่ที่ผมได้เรียนรู้ สิ่งที่ฉันได้เรียนรู้เพื่อให้ห่างไกล 10 00:00:34,740 --> 00:00:37,990 >> และอื่น ๆ บางส่วนของวัสดุที่เรากำลัง จะไปกว่าวันนี้เรายังไม่ได้ 11 00:00:37,990 --> 00:00:39,670 พูดคุยกันมากเกี่ยวกับในชั้นเรียน 12 00:00:39,670 --> 00:00:40,410 แต่เราจะเร็ว 13 00:00:40,410 --> 00:00:42,360 มันจะเป็นเช่น SQL, JavaScript 14 00:00:42,360 --> 00:00:44,870 และเรายังไม่ได้ไปจริงๆมากกว่านั้น 15 00:00:44,870 --> 00:00:47,730 ดังนั้นผมอาจจะเรียงลำดับของการบินผ่านมันและ คุณอาจไม่ทราบบางสิ่งบางอย่าง 16 00:00:47,730 --> 00:00:48,890 แต่ในไม่ช้าคุณจะเรียนรู้มัน 17 00:00:48,890 --> 00:00:52,080 และมันทั้งหมดจะทำให้ความรู้สึก 18 00:00:52,080 --> 00:00:54,010 นอกจากนี้ยังมีสิ่งอื่น - 19 00:00:54,010 --> 00:00:55,780 อยู่ที่จริยธรรม 20 00:00:55,780 --> 00:01:00,560 บางส่วนของสิ่งที่คุณเรียนรู้คุณ สามารถใช้ในรูปแบบที่ไม่จริยธรรม 21 00:01:00,560 --> 00:01:01,950 >> ถ้ามันเป็นของคุณแน่นอนลอง 22 00:01:01,950 --> 00:01:04,500 แน่นอนผมกระตุ้นให้พวกคุณ การพยายามที่เซิร์ฟเวอร์ของคุณเองลอง 23 00:01:04,500 --> 00:01:05,519 ไปภายในพวกเขา 24 00:01:05,519 --> 00:01:08,500 ดูว่าคุณสามารถเจาะพวกเขา ถ้าคุณจะได้รับในพวกเขา 25 00:01:08,500 --> 00:01:09,560 แต่ไม่ได้คนอื่น 26 00:01:09,560 --> 00:01:12,390 ตำรวจไม่ชอบเรื่องตลกและ ทั้งที่เราใส่ที่นี่ 27 00:01:12,390 --> 00:01:14,040 เรากำลัง messing รอบ 28 00:01:14,040 --> 00:01:15,780 พวกเขาได้รับโกรธจริงๆ 29 00:01:15,780 --> 00:01:18,700 >> เพื่อตรงไปที่เว็บไซต์นี้ 30 00:01:18,700 --> 00:01:23,560 ฉันมีมันเปิดที่นี่ 31 00:01:23,560 --> 00:01:26,780 นี้เป็นเว็บไซต์และมัน มีพวงของตัวอย่าง 32 00:01:26,780 --> 00:01:30,000 สิ่งที่เกิดขึ้นคือตัวอย่างแรก มีการเรียงลำดับของความเป็นไปได้มากขึ้น 33 00:01:30,000 --> 00:01:33,470 กว่าตัวอย่างที่ผ่านมาในความรู้สึก ที่ตัวอย่างแรก 34 00:01:33,470 --> 00:01:34,970 ไม่ปลอดภัยอย่างสมบูรณ์ 35 00:01:34,970 --> 00:01:40,850 และสุดท้ายคือการจัดเรียงของสิ่งที่ ผู้รักษาความปลอดภัยเว็บปกติจะทำ 36 00:01:40,850 --> 00:01:42,760 แต่คุณยังสามารถเรียงลำดับ ของได้รับรอบที่ 37 00:01:42,760 --> 00:01:44,860 และเรากำลังจะมุ่งเน้นไปที่หนึ่ง และทั้งสองตัวอย่างที่หนึ่งและสอง 38 00:01:44,860 --> 00:01:49,880 39 00:01:49,880 --> 00:01:49,920 >> ตกลง 40 00:01:49,920 --> 00:01:52,780 ขอเริ่มต้นด้วยการเขียนสคริปต์ข้ามไซต์ 41 00:01:52,780 --> 00:01:56,100 จาวาสคริปต์ที่ทำงานใน เบราว์เซอร์ของลูกค้า 42 00:01:56,100 --> 00:01:59,980 มันเป็นภาษาโปรแกรมที่คุณใช้ เพื่อให้ทำงานบนเบราว์เซอร์ของลูกค้าเพื่อให้ 43 00:01:59,980 --> 00:02:04,120 คุณไม่ได้มีการปรับปรุงเว็บไซต์ และไปกลับไปยังเซิร์ฟเวอร์ 44 00:02:04,120 --> 00:02:04,940 คุณมีมันทำงาน 45 00:02:04,940 --> 00:02:08,870 ตัวอย่างเช่น Facebook, คุณไม่ได้มี เพื่อโหลดเว็บไซต์สำหรับสถานะใหม่ 46 00:02:08,870 --> 00:02:09,710 การปรับปรุงที่จะเกิดขึ้น 47 00:02:09,710 --> 00:02:12,170 มันใช้งานจาวาสคริปต์ในการสร้าง สิ่งเหล่านี้ 48 00:02:12,170 --> 00:02:16,290 ดังนั้นเราจึงสามารถฉีดที่เป็นอันตราย JavaScript ในเว็บไซต์ 49 00:02:16,290 --> 00:02:20,890 และวิธีการที่เมื่อเราส่งลิงค์ไปยัง ใครสักคนที่เราเรียงลำดับของความสามารถที่จะส่งไปพร้อมกับ 50 00:02:20,890 --> 00:02:23,050 บางส่วนของรหัสที่เราต้องการ 51 00:02:23,050 --> 00:02:26,450 >> มีถาวรและไม่ถาวร JavaScript - 52 00:02:26,450 --> 00:02:30,640 ถาวรและไม่ถาวรข้ามไซต์ การเขียนสคริปต์ที่ผมหมายถึง 53 00:02:30,640 --> 00:02:33,760 และความแตกต่างการที่ถาวร เป็น JavaScript ที่จะ 54 00:02:33,760 --> 00:02:36,060 ที่บันทึกไว้ในเว็บไซต์ 55 00:02:36,060 --> 00:02:39,780 และไม่ถาวรจะเป็น JavaScript ที่จะเกิดขึ้นจริงเพียงครั้งเดียว 56 00:02:39,780 --> 00:02:41,795 ดังนั้นเรามาดูตัวอย่าง จริงอย่างรวดเร็ว 57 00:02:41,795 --> 00:02:45,660 58 00:02:45,660 --> 00:02:46,130 >> ตกลง 59 00:02:46,130 --> 00:02:51,620 ดังนั้นเว็บไซต์นี้ง่าย ไม่มีอะไรเกิดขึ้นที่นี่ 60 00:02:51,620 --> 00:02:53,070 และเราจะพยายามที่จะ แทรกบาง JavaScript 61 00:02:53,070 --> 00:02:58,110 ดังนั้นวิธีที่เราเริ่มเขียน JavaScript คือเราเริ่มต้นด้วยการเริ่มต้นสคริปต์ 62 00:02:58,110 --> 00:03:00,570 และเราปิดมันกับสคริปต์ 63 00:03:00,570 --> 00:03:03,770 เราก็จะใส่ข้อความ - 64 00:03:03,770 --> 00:03:05,410 ฉันจะแสดงให้คุณ - 65 00:03:05,410 --> 00:03:06,500 เตือนภัย 66 00:03:06,500 --> 00:03:11,150 การแจ้งเตือนเป็นฟังก์ชันที่ JavaScript ใช้ในการแสดงบางสิ่งบางอย่าง 67 00:03:11,150 --> 00:03:12,400 ดังนั้นเรามาลองจริงอย่างรวดเร็ว 68 00:03:12,400 --> 00:03:15,600 69 00:03:15,600 --> 00:03:18,944 ฉันจะไปสวัสดีการแจ้งเตือน 70 00:03:18,944 --> 00:03:20,400 ดีฉันลืมที่จะใส่ - 71 00:03:20,400 --> 00:03:24,510 72 00:03:24,510 --> 00:03:25,460 ตกลง 73 00:03:25,460 --> 00:03:26,540 เพื่อให้ง่าย 74 00:03:26,540 --> 00:03:28,730 >> เราใส่ JavaScript บนเว็บไซต์ และมันขึ้นมา 75 00:03:28,730 --> 00:03:31,200 และการจัดเรียงของจะเกิดขึ้น ในเว็บไซต์ของเราใช่ไหม 76 00:03:31,200 --> 00:03:33,040 ดังนั้นดูเหมือนว่ามันไม่ ปัญหาใช่ไหม 77 00:03:33,040 --> 00:03:34,920 ผมหมายถึงวิธีการที่คุณสามารถใช้ นี้ประสงค์ร้าย? 78 00:03:34,920 --> 00:03:39,930 ดังนั้นวิธีการที่แฮกเกอร์ทำ นี้เป็นเรื่องง่ายมาก 79 00:03:39,930 --> 00:03:40,970 พวกเขากำลังจะคว้ามัน 80 00:03:40,970 --> 00:03:43,750 พวกเขาสามารถส่งลิงค์นี้เพื่อคุณ 81 00:03:43,750 --> 00:03:46,780 ถ้าผมจะส่งลิงค์นี้เพื่อคุณในขณะนี้ และคุณเปิดมันขึ้นมามันจะ 82 00:03:46,780 --> 00:03:51,620 พูดว่าสวัสดีบอกว่าเว็บไซต์ของฉัน จะบอกคุณสวัสดี 83 00:03:51,620 --> 00:03:57,280 >> และอื่น ๆ ถ้าผมต้องพูดอะไรบางอย่าง นิด ๆ หน่อย ๆ อย่างชาญฉลาดถ้าผมดึงขึ้น 84 00:03:57,280 --> 00:03:59,880 ฟังก์ชัน JavaScript ผมชนิด ของแล้วเขียน - 85 00:03:59,880 --> 00:04:03,940 แต่ถ้าคุณมองไปที่มันฉันจะไป มากกว่านั้นก่อนที่ผมจะเขียนมัน 86 00:04:03,940 --> 00:04:06,650 ดังนั้นเรากำลังจะหมดเวลาที่กำหนด 87 00:04:06,650 --> 00:04:08,450 เราจะรอให้ สองสามวินาที 88 00:04:08,450 --> 00:04:13,970 ในความเป็นจริงที่เรากำลังจะรอถ้า ฉันไม่ได้เข้าใจผิดห้าวินาที 89 00:04:13,970 --> 00:04:15,870 นี้ไปในมิลลิวินาที 90 00:04:15,870 --> 00:04:18,640 และแล้วสิ่งที่เรากำลังจะทำคือเรา จะแจ้งเตือนว่าการเข้าสู่ระบบ 91 00:04:18,640 --> 00:04:21,459 หมดเวลาที่จะกลับเข้าสู่ระบบ 92 00:04:21,459 --> 00:04:23,990 และเรากำลังจะเปลี่ยนสถานที่ ไปยังสถานที่ที่แตกต่างกัน 93 00:04:23,990 --> 00:04:30,370 94 00:04:30,370 --> 00:04:32,970 >> ดังนั้นถ้าผมส่งเว็บไซต์นี้เพื่อใครสักคน พวกเขากำลังจะเป็น 95 00:04:32,970 --> 00:04:34,380 เรียกดูรอบ ๆ ที่เงียบสงบ 96 00:04:34,380 --> 00:04:35,650 ไม่มีอะไรที่เกิดขึ้น 97 00:04:35,650 --> 00:04:38,550 และในห้าวินาทีก็จะ ที่จะบอกว่าการเข้าสู่ระบบของคุณหมดเวลา 98 00:04:38,550 --> 00:04:40,200 กรุณาเข้าสู่ระบบกลับมา 99 00:04:40,200 --> 00:04:43,400 เมื่อพวกเขาคลิกตกลงฉันจะ พาพวกเขาไปยังเว็บไซต์อื่น 100 00:04:43,400 --> 00:04:45,980 สมมุติเว็บไซต์จะ จะคล้ายกับเว็บไซต์ที่ 101 00:04:45,980 --> 00:04:47,280 พวกเขาอยู่ในก่อน 102 00:04:47,280 --> 00:04:50,770 และพวกเขากำลังจะเข้าสู่ระบบของพวกเขา ข้อมูลประจำตัวที่ลงในเว็บไซต์ของฉันแทน 103 00:04:50,770 --> 00:04:51,850 เว็บไซต์ของพวกเขา 104 00:04:51,850 --> 00:04:54,780 >> และเพื่อให้สามารถส่งคน อีเมลที่มีการเชื่อมโยงนี้ 105 00:04:54,780 --> 00:04:56,240 ผมบอกว่าโอ้นี่คือการเชื่อมโยง 106 00:04:56,240 --> 00:04:57,290 นี้เป็นธนาคารตัวอย่างเช่น 107 00:04:57,290 --> 00:05:01,390 ผมบอกว่าที่นี่ให้ไปที่ลิงค์นี้ 108 00:05:01,390 --> 00:05:03,730 และเมื่อพวกเขาส่งไปที่พวกเขากำลัง จะได้รับการเรียกดูรอบ 109 00:05:03,730 --> 00:05:07,560 ฉันจะรอเป็นเวลา 15 วินาที, 20 วินาที, แล้วปรากฏว่าโปรดกลับเข้าสู่ระบบใน 110 00:05:07,560 --> 00:05:08,840 สมัครกลับมาที่ 111 00:05:08,840 --> 00:05:10,120 พวกคุณสามารถลองกับ สิ่งที่มากขึ้น 112 00:05:10,120 --> 00:05:13,190 มันซับซ้อนเพราะพวกคุณ ยังไม่เคยเห็น JavaScript ดังนั้นคุณอาจจะ 113 00:05:13,190 --> 00:05:14,750 ไม่ทราบการทำงานบางอย่าง 114 00:05:14,750 --> 00:05:18,625 แต่สิ่งที่คุณต้องทำคือการเริ่มต้น กับสคริปต์จบกับสคริปต์ 115 00:05:18,625 --> 00:05:22,105 116 00:05:22,105 --> 00:05:25,510 และคุณอาจจะใส่อะไร อยู่ตรงกลาง 117 00:05:25,510 --> 00:05:27,350 >> การแจ้งเตือนเป็นฟังก์ชันรอ 118 00:05:27,350 --> 00:05:29,365 สถานหน้าต่างจะนำคุณ ไปยังสถานที่ใหม่ 119 00:05:29,365 --> 00:05:31,370 แต่คุณสามารถทำมากขึ้น 120 00:05:31,370 --> 00:05:32,630 และเพื่อให้ความคิดที่ว่า เราใช้เวลาที่ออก 121 00:05:32,630 --> 00:05:39,350 ถ้าฉันไปกับตัวอย่างที่สองและฉัน ใส่ในรหัสเดียวกันนี้ก็ 122 00:05:39,350 --> 00:05:40,210 ไม่ไปทำงาน 123 00:05:40,210 --> 00:05:43,620 จึงพิมพ์ทุกอย่างออกมาเพราะ สิ่งที่เว็บไซต์นี้ แต่เดิม 124 00:05:43,620 --> 00:05:50,350 ไม่เป็นถ้าฉันใส่อะไรที่นี่ มันจะพิมพ์ออกมาที่นี่ 125 00:05:50,350 --> 00:05:52,390 จึงไม่พิมพ์อะไรออก 126 00:05:52,390 --> 00:05:55,560 ตัวอย่างนี้เป็นจริงการตรวจสอบ เพื่อดูว่าจะมีสคริปต์ 127 00:05:55,560 --> 00:05:57,163 เพื่อใช่ไปข้างหน้า 128 00:05:57,163 --> 00:05:57,606 ถามฉัน 129 00:05:57,606 --> 00:05:59,560 >> ผู้ชม: ไม่ส่ง หรือได้รับการโพสต์ขอ? 130 00:05:59,560 --> 00:06:00,670 >> LUCIANO Arango: ใช่ พวกเขากำลัง ส่งคำขอได้รับ 131 00:06:00,670 --> 00:06:01,350 >> ผู้ชม: มันคืออะไร 132 00:06:01,350 --> 00:06:02,490 >> LUCIANO Arango: ใช่ 133 00:06:02,490 --> 00:06:04,030 นอกจากนี้ยังมีเบราว์เซอร์ที่ใช้แสดงการโพสต์ 134 00:06:04,030 --> 00:06:07,470 แต่ฉันพยายามที่จะแสดงการร้องขอที่ได้รับ เพื่อให้เราสามารถมองเห็นสิ่งที่เป็น 135 00:06:07,470 --> 00:06:10,760 จริงที่เกิดขึ้น 136 00:06:10,760 --> 00:06:12,880 และดังนั้นหากเราดูที่รหัสนี้ - จึงไม่ทำงานอีกต่อไป 137 00:06:12,880 --> 00:06:24,870 และถ้าเราจะดูที่รหัสนี้ มันเป็นไปได้ในตัวอย่างที่สอง 138 00:06:24,870 --> 00:06:29,300 สิ่งที่คนนี้จะทำคน ในความดูแลของเบราว์เซอร์นี้ - 139 00:06:29,300 --> 00:06:35,370 เปิด, OK - 140 00:06:35,370 --> 00:06:39,290 คือแทนที่สคริปต์คำ 141 00:06:39,290 --> 00:06:42,850 นี่คือ PHP ซึ่งพวกคุณอาจจะ ได้เห็นนิด ๆ หน่อย ๆ ของยัง 142 00:06:42,850 --> 00:06:46,250 >> เขาเพียงแค่เปลี่ยน สคริปต์คำที่มีชื่อ 143 00:06:46,250 --> 00:06:50,895 ดังนั้น แต่ถ้าฉันไปข้างหน้า และเพียงแค่ใส่ใน - 144 00:06:50,895 --> 00:06:58,520 145 00:06:58,520 --> 00:07:02,360 ถ้าผมคว้ารหัสของฉันอีกครั้งและฉันจะ ในการปรับเปลี่ยนก็แค่นิด ๆ หน่อย ๆ 146 00:07:02,360 --> 00:07:15,010 แทนสคริปต์ที่ฉันจะเปลี่ยน มันเป็นสคริปต์ที่มีทุนอาร์และ 147 00:07:15,010 --> 00:07:16,390 เราจะดูว่ารหัสนี้ทำงาน 148 00:07:16,390 --> 00:07:19,090 ดังนั้นจึงไม่ได้พิมพ์ออกมา ซึ่งเป็นสัญญาณที่ดี 149 00:07:19,090 --> 00:07:21,990 และหวังว่าในสองวินาทีเพิ่มเติม มันจะปรากฏขึ้น 150 00:07:21,990 --> 00:07:22,820 >> การเข้าสู่ระบบของคุณหมดเวลา 151 00:07:22,820 --> 00:07:23,210 ตกลง 152 00:07:23,210 --> 00:07:24,460 ไม่เป็นไร 153 00:07:24,460 --> 00:07:27,670 ดังนั้นการตรวจสอบสคริปต์อาจ ไม่จำเป็นต้องทำงาน 154 00:07:27,670 --> 00:07:28,130 คน - 155 00:07:28,130 --> 00:07:32,290 ก็ยังสามารถตรวจสอบการพิมพ์สคริปต์ พิมพ์เล็กสคริปต์กรณีที 156 00:07:32,290 --> 00:07:34,180 เปรียบเทียบให้แน่ใจว่าพวกเขากำลังเดียวกัน 157 00:07:34,180 --> 00:07:38,480 แต่แฮกเกอร์ยังสามารถทำเรียงลำดับของสิ่งที่ ที่เราทำใน Vigenere เมื่อเราย้าย 158 00:07:38,480 --> 00:07:40,620 ตัวละครกลับคู่ รุกคืบ 159 00:07:40,620 --> 00:07:43,470 และจะสามารถคิดออกว่าจะวางสคริปต์ กลับมาอยู่ในที่มีเพื่อให้สามารถฉีด 160 00:07:43,470 --> 00:07:44,460 สคริปต์ที่ 161 00:07:44,460 --> 00:07:50,370 >> ดังนั้นสิ่งที่คุณต้องการที่จะใช้ เป็น htmlspecialchars ไป 162 00:07:50,370 --> 00:07:51,330 ป้องกันเว็บไซต์ของคุณ 163 00:07:51,330 --> 00:07:56,490 และสิ่งนี้จะทำให้ แน่ใจว่าสิ่งที่คุณใส่ใน - 164 00:07:56,490 --> 00:07:59,610 ตัวอย่างเช่นใบเสนอราคาหรือนี้ มากกว่าหรือน้อยกว่า - 165 00:07:59,610 --> 00:08:04,701 จะถูกแทนที่ด้วยบางสิ่งบางอย่าง ที่จะไม่เป็น - 166 00:08:04,701 --> 00:08:05,951 ให้ฉันขยายที่นี่ - 167 00:08:05,951 --> 00:08:08,730 168 00:08:08,730 --> 00:08:09,685 เครื่องหมายที่เกิดขึ้นจริง 169 00:08:09,685 --> 00:08:13,420 มันจะแทนพิเศษ HTML ตัวอักษรที่เราจะเห็นเมื่อเรา 170 00:08:13,420 --> 00:08:14,670 พูดคุยเกี่ยวกับ - 171 00:08:14,670 --> 00:08:18,635 172 00:08:18,635 --> 00:08:20,740 โอ้นี้จะพาฉันกลับไป - 173 00:08:20,740 --> 00:08:24,220 174 00:08:24,220 --> 00:08:25,380 ตัวละครเหล่านี้ที่นี่ 175 00:08:25,380 --> 00:08:28,180 >> เหล่านี้มีความหมายว่าอะไร จะมา 176 00:08:28,180 --> 00:08:31,570 สำหรับ HTML ที่วงเล็บจุดเริ่มต้น บอกเราว่าสิ่งที่ 177 00:08:31,570 --> 00:08:33,299 HTML ที่เกี่ยวข้องมา 178 00:08:33,299 --> 00:08:33,980 และเราต้องการที่จะกำจัดของที่ 179 00:08:33,980 --> 00:08:36,200 เราไม่ต้องการที่จะใส่ลงไปใน HTML website.k เราไม่ต้องการให้ผู้ที่จะ 180 00:08:36,200 --> 00:08:40,260 สามารถที่จะนำสิ่งที่อยู่ในเว็บไซต์ของพวกเขา ที่สามารถส่งผลกระทบต่อเว็บไซต์ของพวกเขาเช่น 181 00:08:40,260 --> 00:08:43,480 สคริปต์หรือ HTML หรือสิ่งที่ต้องการ 182 00:08:43,480 --> 00:08:53,090 สิ่งที่สำคัญคือการที่คุณ sanitize เข้าของผู้ใช้ 183 00:08:53,090 --> 00:08:54,720 >> เพื่อให้ผู้ใช้สามารถป้อนข้อมูลที่หลายสิ่งหลายอย่าง 184 00:08:54,720 --> 00:08:58,110 เขาสามารถใส่พวงของสิ่งที่จะลอง เพื่อหลอกลวงให้เบราว์เซอร์ของคุณเป็นยัง 185 00:08:58,110 --> 00:08:59,410 ใช้รหัสสคริปต์นี้ 186 00:08:59,410 --> 00:09:02,870 สิ่งที่คุณต้องการจะทำคือไม่เพียงแค่มอง สำหรับสคริปต์ แต่มองสำหรับทุกอย่าง 187 00:09:02,870 --> 00:09:04,250 ที่อาจจะเป็นอันตราย 188 00:09:04,250 --> 00:09:06,800 และ htmlspecialchars จะทำอย่างนั้น สำหรับคุณเพื่อให้คุณไม่ได้ 189 00:09:06,800 --> 00:09:07,340 กังวลกับมัน 190 00:09:07,340 --> 00:09:12,280 แต่ไม่พยายามที่จะทำด้วยตัวเอง การจัดเรียงของที่มีรหัสของคุณเอง 191 00:09:12,280 --> 00:09:14,055 คือทุกคนที่ชัดเจนใน XSS? 192 00:09:14,055 --> 00:09:14,370 >> ตกลง 193 00:09:14,370 --> 00:09:16,355 ขอไปฉีด 194 00:09:16,355 --> 00:09:21,010 ดังนั้นการฉีดน่าจะเป็น หมายเลขหนึ่งของช่องโหว่ 195 00:09:21,010 --> 00:09:22,490 ในเว็บไซต์ที่แตกต่างกัน 196 00:09:22,490 --> 00:09:24,350 ผมหมายถึงเป็นตัวอย่างที่ดี - 197 00:09:24,350 --> 00:09:27,350 ฉันเป็นเพียงการค้นคว้าไกล เพื่อสิ่งนี้ 198 00:09:27,350 --> 00:09:34,430 และผมพบบทความนี้ที่น่ากลัวที่ ผมเห็นว่าฮาร์วาร์ถูกละเมิด 199 00:09:34,430 --> 00:09:35,390 ถูกชำแหละ 200 00:09:35,390 --> 00:09:37,370 และฉันถูกสงสัยดี วิธีการที่พวกเขาจะทำมันได้หรือไม่ 201 00:09:37,370 --> 00:09:41,660 ฮาร์วาร์เป็นที่น่ากลัวมากที่สุดส่วนใหญ่ มหาวิทยาลัยที่มีความปลอดภัยที่เคย 202 00:09:41,660 --> 00:09:43,850 ใช่มั้ย? 203 00:09:43,850 --> 00:09:45,410 ดีที่จะทำลายเซิร์ฟเวอร์ แฮกเกอร์ที่ใช้ 204 00:09:45,410 --> 00:09:47,710 เทคนิคที่เรียกว่าการฉีด 205 00:09:47,710 --> 00:09:50,250 >> ดังนั้นนี้เกิดขึ้นในวันที่ตามวัน 206 00:09:50,250 --> 00:09:53,590 คนลืมที่จะใช้บัญชี สำหรับการฉีด SQL 207 00:09:53,590 --> 00:09:54,930 ฮาร์วาร์ไม่ 208 00:09:54,930 --> 00:10:00,050 ฉันคิดว่ามันพูดว่าที่นี่พรินซ์ตัน Stanford, คอร์เนล 209 00:10:00,050 --> 00:10:03,550 ดังนั้นทำอย่างไรเรา - ดังนั้นสิ่งที่เป็น SQL นี้ การฉีดที่จะนำสิ่งเหล่านี้ 210 00:10:03,550 --> 00:10:05,668 คนลง 211 00:10:05,668 --> 00:10:08,010 ตกลง 212 00:10:08,010 --> 00:10:12,090 ดังนั้น SQL เป็นภาษาการเขียนโปรแกรมที่ เราใช้ในการเข้าถึงฐานข้อมูล 213 00:10:12,090 --> 00:10:14,560 สิ่งที่เราทำคือเราเลือก - 214 00:10:14,560 --> 00:10:18,510 ดังนั้นสิ่งนี้อ่านได้ในขณะนี้คือการเลือก ทุกอย่างจากตาราง 215 00:10:18,510 --> 00:10:22,640 >> SQL, การเปลี่ยนแปลงในฐานข้อมูลเหล่านี้ ที่มีตารางเต็มไปด้วยข้อมูล 216 00:10:22,640 --> 00:10:26,550 เพื่อเลือกทุกอย่างจากผู้ใช้ ที่มีชื่อเป็นชื่อผู้ใช้ 217 00:10:26,550 --> 00:10:28,120 ใช่มั้ย? 218 00:10:28,120 --> 00:10:30,770 ง่ายพอ 219 00:10:30,770 --> 00:10:34,490 ความคิดของการฉีดคือการที่เรา ใส่รหัสที่เป็นอันตรายบางอย่างที่จะ 220 00:10:34,490 --> 00:10:37,270 หลอกลวงเซิร์ฟเวอร์ในการทำงานบางอย่าง แตกต่างจากสิ่งที่มัน 221 00:10:37,270 --> 00:10:38,430 แต่เดิมมีการทำงาน 222 00:10:38,430 --> 00:10:44,970 จึงขอกล่าวว่าสำหรับชื่อผู้ใช้ เราใส่ในหรือ 1 เท่ากับ 1 223 00:10:44,970 --> 00:10:46,700 ดังนั้นเราจึงใส่ในหรือ 1 เท่ากับ 1 224 00:10:46,700 --> 00:10:49,890 วิธีที่มันจะอ่านตอนนี้จะเลือก จากผู้ใช้ทุกอย่างจาก 225 00:10:49,890 --> 00:10:51,360 ผู้ใช้ - นี่คือทุกอย่าง - 226 00:10:51,360 --> 00:10:55,880 ที่มีชื่อเป็นชื่อผู้ใช้ แต่ ชื่อผู้ใช้หรือ 1 เท่ากับ 1 227 00:10:55,880 --> 00:11:01,760 >> ดังนั้นชื่ออะไรหรือ 1 เท่ากับ 1 228 00:11:01,760 --> 00:11:04,060 1 เท่ากับ 1 เป็นจริงเสมอ 229 00:11:04,060 --> 00:11:07,690 ดังนั้นนี้จะส่งกลับข้อมูล จากผู้ใช้ 230 00:11:07,690 --> 00:11:08,100 ตกลง 231 00:11:08,100 --> 00:11:10,030 เราไม่จำเป็นต้องมี ชื่อผู้ใช้ที่ถูกต้อง 232 00:11:10,030 --> 00:11:14,240 เราก็สามารถมีสิ่งที่เราต้องการ และจะส่งกลับข้อมูล 233 00:11:14,240 --> 00:11:15,690 ที่เราต้องการ 234 00:11:15,690 --> 00:11:17,160 ลองดูตัวอย่างอื่น 235 00:11:17,160 --> 00:11:22,720 >> ถ้าเราได้เลือกทุกอย่างจากผู้ใช้ ที่มีชื่อเป็นผู้ใช้ตาราง DROP - 236 00:11:22,720 --> 00:11:26,420 ดังนั้นสิ่งที่คุณคิดนี้จะ ทำอย่างไรถ้าฉันใส่ในชื่อผู้ใช้ 237 00:11:26,420 --> 00:11:29,560 เป็นผู้ใช้ตาราง DROP? 238 00:11:29,560 --> 00:11:30,230 ทุกคนมีความคิด? 239 00:11:30,230 --> 00:11:31,050 ใช่ 240 00:11:31,050 --> 00:11:32,470 >> ผู้ชม: มันจะบอก ให้การถ่ายโอนข้อมูลตารางทั้งหมด 241 00:11:32,470 --> 00:11:35,460 >> LUCIANO Arango: มันจะบอกเรา การถ่ายโอนข้อมูลทุกอย่างในเว็บไซต์ 242 00:11:35,460 --> 00:11:38,290 ทุกสิ่งที่อยู่ในฐานข้อมูล 243 00:11:38,290 --> 00:11:41,910 และสิ่งที่ผู้คนใช้นี้สำหรับ - ดังนั้น ฉันจะแสดงให้พวกคุณ 244 00:11:41,910 --> 00:11:45,462 ฉันปิดการใช้งานลดลงตาราง เพราะผมไม่ได้ต้องการให้คุณ 245 00:11:45,462 --> 00:11:48,240 พวกที่จะลดตารางของฉัน 246 00:11:48,240 --> 00:11:49,850 ลองมาดูที่นี้ 247 00:11:49,850 --> 00:11:54,410 ดังนั้นนี้เป็นเพียงดึงข้อมูล สำหรับคนบาง 248 00:11:54,410 --> 00:11:57,550 ดังนั้นทำอย่างไรเราทราบว่านี้เป็น รับผลกระทบจากการฉีด 249 00:11:57,550 --> 00:12:01,545 เราจะตรวจสอบจริงอย่างรวดเร็ว ถ้าเราสามารถนำสิ่งที่ - 250 00:12:01,545 --> 00:12:04,990 251 00:12:04,990 --> 00:12:06,080 ให้ฉันคัดลอกโค้ดนี้ 252 00:12:06,080 --> 00:12:08,140 ฉันจะไปกว่านั้นในครั้งที่สอง 253 00:12:08,140 --> 00:12:12,210 ฉันจะใส่รากและ 1 เท่ากับ 1 254 00:12:12,210 --> 00:12:15,510 >> นี้ที่นี่นี้ เครื่องหมายเปอร์เซ็นต์ 23 - 255 00:12:15,510 --> 00:12:19,970 สิ่งที่มันจริงๆคือถ้าผม ดูที่นี่ที่ - 256 00:12:19,970 --> 00:12:23,820 HTML วิธีที่จะใช้เวลาในตัวเลขถ้าคุณ ดูที่เมื่อฉันใส่ในพื้นที่ 257 00:12:23,820 --> 00:12:28,380 ที่นี่ - ถ้าผมกับสิ่งที่พื้นที่ ที่นี่มันก็เปลี่ยนแปลงไปร้อยละ 2 258 00:12:28,380 --> 00:12:31,420 ที่พวกคุณเห็นที่นี่ เมื่อฉันใส่ในพื้นที่หรือไม่ 259 00:12:31,420 --> 00:12:36,710 วิธีการทำงานคือการที่คุณสามารถเพียง ส่งค่า ASCII ผ่าน HTML 260 00:12:36,710 --> 00:12:40,330 ดังนั้นแทนที่ตัวอย่างเช่น พื้นที่ที่มี 20 เปอร์เซ็นต์ 261 00:12:40,330 --> 00:12:41,970 ผมไม่ทราบว่าถ้าพวกคุณ ได้เห็นว่าก่อนที่จะ 262 00:12:41,970 --> 00:12:45,100 >> จะแทนที่ hashtag ที่มีร้อยละ 23 263 00:12:45,100 --> 00:12:50,840 เราจำเป็นต้องมี hashtag ปลายหรือ คำสั่งเพื่อที่เราจะสามารถบอกได้ 264 00:12:50,840 --> 00:13:00,885 ฐานข้อมูลที่จะลืมที่จะแสดงความคิดเห็นออก อัฒภาคสุดท้ายนี้ในตอนท้าย 265 00:13:00,885 --> 00:13:03,060 ที่เราต้องการให้ได้คิดเกี่ยวกับที่ 266 00:13:03,060 --> 00:13:05,980 เราเพียงแค่ต้องการให้ทำงานทุกอย่าง ที่เรามีก่อนและ 267 00:13:05,980 --> 00:13:07,450 แสดงความคิดเห็นที่ออกมา 268 00:13:07,450 --> 00:13:08,710 ลองมาดูที่มัน 269 00:13:08,710 --> 00:13:14,670 >> ดังนั้นถ้าผมจะนำสิ่งที่ผิด - สมมติว่าตัวอย่างเช่นผมใส่ 2 เท่ากับ 270 00:13:14,670 --> 00:13:15,690 1 ก็ไม่ให้ฉันอะไร 271 00:13:15,690 --> 00:13:22,930 เมื่อฉันใส่ใน 1 เท่ากับ 1 และมันไม่ กลับสิ่งนี้บอกผมว่า 272 00:13:22,930 --> 00:13:24,660 นี้เป็นความเสี่ยงที่จะ การฉีด 273 00:13:24,660 --> 00:13:29,090 ฉันรู้ว่าตอนนี้สิ่งที่ ฉันใส่หลังจากนี้ - 274 00:13:29,090 --> 00:13:39,110 และตัวอย่างเช่น DROP ตาราง หรือสิ่งที่ต้องการ 275 00:13:39,110 --> 00:13:41,190 แน่นอนจะทำงาน 276 00:13:41,190 --> 00:13:44,350 ฉันรู้ว่ามันเป็นความเสี่ยงที่จะฉีด เพราะฉันรู้ว่า 277 00:13:44,350 --> 00:13:49,850 ภายใต้ฝากระโปรงก็ปล่อยให้ ฉันทำ 1 เท่ากับ 1 สิ่งที่ 278 00:13:49,850 --> 00:13:51,100 OK? 279 00:13:51,100 --> 00:13:53,950 280 00:13:53,950 --> 00:13:56,540 >> และถ้าเรามองไปที่คนอื่น ๆ เหล่านี้ จำนวนสองและสามก็ 281 00:13:56,540 --> 00:13:59,110 จะทำนิด ๆ หน่อย ๆ ภายใต้การตรวจสอบของ 282 00:13:59,110 --> 00:14:03,680 เครื่องดูดควันของมันคืออะไร 283 00:14:03,680 --> 00:14:07,425 เพื่อให้ทุกคนช่วยให้ลดลง อะไรหรือยังพยายาม? 284 00:14:07,425 --> 00:14:08,760 ที่พวกคุณได้รับการจัดเรียงของ SQL หรือยัง 285 00:14:08,760 --> 00:14:10,430 เพราะผมรู้ว่าพวกคุณไม่ได้ เห็นมันยังดังนั้นมันเป็นชนิดของ 286 00:14:10,430 --> 00:14:11,759 สับสนสำหรับคุณผู้ชาย 287 00:14:11,759 --> 00:14:16,160 288 00:14:16,160 --> 00:14:18,480 ลองมาดู 289 00:14:18,480 --> 00:14:21,270 ดังนั้นสิ่งที่เป็นวิธีที่จะป้องกันไม่ให้ SQLI? 290 00:14:21,270 --> 00:14:21,390 ตกลง 291 00:14:21,390 --> 00:14:23,330 ดังนั้นนี่คือสิ่งที่สำคัญมากเพราะคุณ พวกมั่นเหมาะต้องการเพื่อป้องกันไม่ให้ 292 00:14:23,330 --> 00:14:24,090 นี้ในเว็บไซต์ของคุณ 293 00:14:24,090 --> 00:14:28,040 >> ถ้าไม่ได้เพื่อนของคุณกำลังจะ ทำให้ความสนุกของคุณเมื่อพวกเขาวางทั้งหมด 294 00:14:28,040 --> 00:14:29,390 ตารางของคุณ 295 00:14:29,390 --> 00:14:36,150 ดังนั้นความคิดคือการที่คุณซ่อมแซม SQL ในทางหนึ่งในขณะที่คุณตรงกับ 296 00:14:36,150 --> 00:14:41,940 สิ่งที่ปัจจัยการผลิตกับผู้ใช้ สตริงบาง 297 00:14:41,940 --> 00:14:46,120 ดังนั้นวิธีการทำงานนี้ก็คือค​​ุณ เตรียมฐานข้อมูล 298 00:14:46,120 --> 00:14:50,830 คุณเลือกชื่อสีและแคลอรี่ จากผลไม้ที่เรียกว่าฐานข้อมูล 299 00:14:50,830 --> 00:14:53,580 แล้วที่แคลอรี่น้อยกว่า และเราใส่เครื่องหมายคำถามมี 300 00:14:53,580 --> 00:14:56,530 บอกว่าเรากำลังจะเข้า บางสิ่งบางอย่างในที่สอง 301 00:14:56,530 --> 00:14:58,850 >> และสีเท่ากับและเราจะนำคำถาม เครื่องหมายบอกว่าเรากำลังจะ 302 00:14:58,850 --> 00:15:00,913 บางสิ่งบางอย่างที่นำเข้าในครั้งที่สองเช่นกัน 303 00:15:00,913 --> 00:15:02,660 OK? 304 00:15:02,660 --> 00:15:09,920 แล้วเราจะดำเนินการวาง 150 และสีแดง 305 00:15:09,920 --> 00:15:12,820 และจะตรวจสอบเพื่อให้ แน่ใจว่าทั้งสองเหล่านี้ - 306 00:15:12,820 --> 00:15:15,300 อาร์เรย์นี้จะตรวจสอบว่าสิ่งเหล่านี้ สองเป็นจำนวนเต็มและ 307 00:15:15,300 --> 00:15:16,550 ว่าเรื่องนี้เป็นสตริง 308 00:15:16,550 --> 00:15:18,810 309 00:15:18,810 --> 00:15:20,890 แล้วเราไปและเราเรียก ทั้งหมดที่เราวางไว้ในสีแดง 310 00:15:20,890 --> 00:15:21,964 นั่นหมายความว่าเราเรียกทั้งหมด 311 00:15:21,964 --> 00:15:26,790 มันหมายความว่าเราจริงรัน SQL คำชี้แจงและนำกลับเป็นสีแดง 312 00:15:26,790 --> 00:15:30,530 ที่นี่เราทำเช่นเดียวกัน แต่เรา ทำเช่นเดียวกันสำหรับสีเหลือง 313 00:15:30,530 --> 00:15:32,490 และเราเรียกทั้งหมด 314 00:15:32,490 --> 00:15:36,140 >> และด้วยวิธีนี้เราป้องกันไม่ให้ผู้ใช้ จากความสามารถในสิ่งที่ท่าน 315 00:15:36,140 --> 00:15:41,710 ที่ไม่ได้เป็นสิ่งที่เราระบุสตริง หรือจำนวนเต็มเช่น 316 00:15:41,710 --> 00:15:45,100 317 00:15:45,100 --> 00:15:46,610 ผมพูดก่อนหน้านี้เกี่ยวกับ อาศัยอยู่กับผู้อื่น 318 00:15:46,610 --> 00:15:50,010 เมื่อพวกคุณเริ่มต้นโครงการของคุณคุณ แน่นอนที่สุดจะใช้ 319 00:15:50,010 --> 00:15:52,310 บูตหรือสิ่งที่คล้ายกัน 320 00:15:52,310 --> 00:15:53,490 ได้พวกคุณเคยใช้ Wordpress? 321 00:15:53,490 --> 00:15:57,170 พวกคุณอาจจะได้ใช้ Wordpress มีโอกาสมากที่สุด 322 00:15:57,170 --> 00:16:00,050 ดังนั้นปัญหาที่เกิดขึ้นกับการใช้ สิ่งที่คนอื่น ๆ - 323 00:16:00,050 --> 00:16:05,940 ฉันแค่จะไป Google อย่างรวดเร็วจริง ช่องโหว่ Wordpress 324 00:16:05,940 --> 00:16:07,495 >> ถ้าผมดึงนี้ขึ้นตอนนี้ - 325 00:16:07,495 --> 00:16:08,995 แท้จริงฉันได้สองวินาที Google 326 00:16:08,995 --> 00:16:12,300 327 00:16:12,300 --> 00:16:13,800 เราจะเห็นว่า Wordpress - 328 00:16:13,800 --> 00:16:17,450 นี้เป็นวันที่เป็นกันยายน '12 329 00:16:17,450 --> 00:16:19,120 26 ได้รับการปรับปรุง 330 00:16:19,120 --> 00:16:23,620 กำหนดค่าเริ่มต้นของ Wordpress 3.6 ก่อนที่จะไม่ได้ป้องกันการเหล่านี้ 331 00:16:23,620 --> 00:16:27,110 ภาพบางอย่างที่อาจจะ ทำให้มันง่ายสำหรับ 332 00:16:27,110 --> 00:16:29,790 ข้ามไซต์โจมตีการเขียนสคริปต์ 333 00:16:29,790 --> 00:16:34,530 ดังนั้นเป็นเรื่องที่รวดเร็วเมื่อเรากำลังทำงาน ด้วย - ดังนั้นฉันได้ในช่วงฤดู​​ร้อนที่ทำงาน 334 00:16:34,530 --> 00:16:34,970 การฝึกงาน 335 00:16:34,970 --> 00:16:40,400 และเรากำลังทำงานอยู่กับประเภทของ เช่น บริษัท บัตรเครดิตใหญ่ 336 00:16:40,400 --> 00:16:42,020 >> และพวกเขาต้องพึ่งพาสิ่งที่เรียกว่า - 337 00:16:42,020 --> 00:16:45,740 ผมไม่ทราบว่าถ้าพวกคุณเคยเล่น ด้วยผลิตภัณฑ์ที่เรียกว่า Joomla 338 00:16:45,740 --> 00:16:51,750 Joomla เป็นผลิตภัณฑ์ที่ใช้ในการ ควบคุม - การจัดเรียงของที่คล้ายกับ 339 00:16:51,750 --> 00:16:54,340 Wordpress, ใช้ในการสร้างเว็บไซต์ 340 00:16:54,340 --> 00:16:56,060 ดังนั้นพวกเขาจึงมีเว็บไซต์ของพวกเขา ทำงานใน Joomla 341 00:16:56,060 --> 00:16:59,290 นี้เป็นจริงบัตรเครดิต บริษัท ในโคลัมเบีย 342 00:16:59,290 --> 00:17:01,000 ผมจะพาคุณไปของพวกเขา เว็บไซต์จริงอย่างรวดเร็ว 343 00:17:01,000 --> 00:17:04,550 344 00:17:04,550 --> 00:17:05,400 >> ดังนั้นพวกเขาจึงใช้ Joomla 345 00:17:05,400 --> 00:17:08,630 และพวกเขาก็ไม่ได้ปรับปรุง Joomla ไปนอกจากนี้ล่าสุด 346 00:17:08,630 --> 00:17:12,160 และดังนั้นเมื่อเราได้รับการดูที่ รหัสของพวกเขาเราก็สามารถที่จะเป็นจริง 347 00:17:12,160 --> 00:17:18,430 ไปภายในรหัสของพวกเขาและขโมยทั้งหมด ข้อมูลบัตรเครดิตที่พวกเขาได้ 348 00:17:18,430 --> 00:17:21,670 ทั้งหมดหมายเลขบัตรเครดิต ชื่อที่อยู่ 349 00:17:21,670 --> 00:17:22,740 และนี่ก็เป็นเพียง - 350 00:17:22,740 --> 00:17:23,569 และรหัสของพวกเขาได้ดีอย่างสมบูรณ์แบบ 351 00:17:23,569 --> 00:17:24,710 พวกเขามีรหัสที่ดี 352 00:17:24,710 --> 00:17:25,389 มันเป็นความปลอดภัยทั้งหมด 353 00:17:25,389 --> 00:17:26,520 พวกเขามีการตรวจสอบฐานข้อมูลทั้งหมด 354 00:17:26,520 --> 00:17:29,020 พวกเขาทำให้แน่ใจว่าข้ามไซต์ สคริปต์ได้ดี 355 00:17:29,020 --> 00:17:34,390 >> แต่พวกเขาจะใช้สิ่งที่ไม่ การปรับปรุงที่ไม่ปลอดภัย 356 00:17:34,390 --> 00:17:36,940 และอื่น ๆ ที่นำพวกเขาไป - เพื่อให้พวกคุณ แน่นอนจะใช้อื่น ๆ 357 00:17:36,940 --> 00:17:40,650 รหัสกรอบของคนอื่นของผู้คน ในการสร้างเว็บไซต์ของคุณ 358 00:17:40,650 --> 00:17:43,860 ตรวจสอบให้แน่ใจว่าพวกเขากำลังมีความปลอดภัยเพราะ บางครั้งก็ไม่ได้เป็นคุณหนึ่งที่ 359 00:17:43,860 --> 00:17:44,480 ทำผิดพลาด 360 00:17:44,480 --> 00:17:47,440 แต่คนอื่นทำผิดพลาดและ แล้วคุณล้มลงเนื่องจากการที่ 361 00:17:47,440 --> 00:17:51,190 362 00:17:51,190 --> 00:17:53,885 >> รหัสผ่านและ PII 363 00:17:53,885 --> 00:17:56,820 รหัสผ่านเพื่อ 364 00:17:56,820 --> 00:17:58,070 ตกลง 365 00:17:58,070 --> 00:17:59,980 366 00:17:59,980 --> 00:18:04,230 ลองมาดูที่รหัสผ่าน จริงอย่างรวดเร็ว 367 00:18:04,230 --> 00:18:04,590 ตกลง 368 00:18:04,590 --> 00:18:06,520 กรุณาช่วยบอกฉันว่าทุกคน ใช้ที่มีความปลอดภัย - 369 00:18:06,520 --> 00:18:09,030 ฉันหวังว่าทุกคนที่นี่ ใช้รหัสผ่านที่ปลอดภัย 370 00:18:09,030 --> 00:18:12,890 ฉันแค่ให้ที่ ในขณะที่สมมติฐาน 371 00:18:12,890 --> 00:18:14,850 ดังนั้นพวกคุณแน่นอนจะ รหัสผ่านที่จัดเก็บสำหรับเว็บไซต์ของคุณ 372 00:18:14,850 --> 00:18:17,440 คุณกำลังจะทำสิ่งที่ต้องการ เข้าสู่ระบบหรือสิ่งที่ต้องการ 373 00:18:17,440 --> 00:18:19,610 สิ่งที่สำคัญคือการไม่เก็บ รหัสผ่านในข้อความธรรมดา 374 00:18:19,610 --> 00:18:20,860 นี้เป็นสิ่งสำคัญมาก 375 00:18:20,860 --> 00:18:23,960 คุณไม่ต้องการที่จะเก็บ รหัสผ่านในข้อความธรรมดา 376 00:18:23,960 --> 00:18:27,370 >> และแน่นอนคุณไม่ต้องการจริงๆ ที่จะเก็บไว้ในความยุ่งเหยิงวิธีหนึ่ง 377 00:18:27,370 --> 00:18:32,440 ดังนั้นสิ่งที่กัญชาวิธีหนึ่งก็คือเมื่อคุณ สร้างคำที่เมื่อคุณใส่นี้ 378 00:18:32,440 --> 00:18:36,200 คำในการทำงานกัญชาก็จะ กลับสร้างการเรียงลำดับของความลับบางอย่าง 379 00:18:36,200 --> 00:18:39,390 ข้อความหรือชุดความลับของคีย์ 380 00:18:39,390 --> 00:18:40,640 ผมจะแสดงตัวอย่าง 381 00:18:40,640 --> 00:18:44,620 382 00:18:44,620 --> 00:18:50,250 ฉันจะสับ password1 คำที่พวกเขา 383 00:18:50,250 --> 00:18:55,280 แฮดังนั้น md5 จะกลับฉัน การจัดเรียงของข้อมูลบางลาง 384 00:18:55,280 --> 00:18:59,140 >> ปัญหาคือว่าคนที่ออกมี ที่อยากจะไปลงในเว็บไซต์ได้ 385 00:18:59,140 --> 00:19:02,750 คิดแล้วออกเรียงลำดับ ของทุก hashes md5 386 00:19:02,750 --> 00:19:06,030 สิ่งที่พวกเขาเป็นพวกเขานั่งลงบนพวกเขา คอมพิวเตอร์และพวกเขาทุก hashed 387 00:19:06,030 --> 00:19:09,660 คำที่เป็นไปได้ออกซิงเกิ้ลที่นั่นจนกระทั่ง พวกเขาได้รับการจัดเรียงของสิ่งนี้เป็น 388 00:19:09,660 --> 00:19:11,420 ถ้าฉันจะมีลักษณะนี้ขึ้น - 389 00:19:11,420 --> 00:19:12,420 ฉันเพิ่งคว้ากัญชานี้ 390 00:19:12,420 --> 00:19:14,120 ถ้าฉันได้รับกัญชาจากนี้ - 391 00:19:14,120 --> 00:19:17,470 ถ้าฉันไปลงในเว็บไซต์และฉันพบ กัญชานี้เพราะผมจะได้รับการ 392 00:19:17,470 --> 00:19:24,100 ฐานข้อมูลและฉันมองมันได้คนที่ แล้วคิดว่ามันออกมาให้ฉัน 393 00:19:24,100 --> 00:19:28,600 394 00:19:28,600 --> 00:19:29,100 >> ใช่ 395 00:19:29,100 --> 00:19:35,030 ดังนั้นคนนั่งลงและสิ่ง md5 กัญชาที่คุณใส่ในพวกเขากำลังจะไป 396 00:19:35,030 --> 00:19:37,760 กลับไปที่สิ่งที่คุณ ที่เป็นคำ 397 00:19:37,760 --> 00:19:39,800 ถ้าผมสับคำอื่นเช่น - 398 00:19:39,800 --> 00:19:42,410 ผมไม่ทราบว่า - 399 00:19:42,410 --> 00:19:43,490 trees2 400 00:19:43,490 --> 00:19:46,050 ฉันไม่ต้องการที่จะผิดหวัง โดยการค้นหา Google ของฉัน 401 00:19:46,050 --> 00:19:49,820 402 00:19:49,820 --> 00:19:52,780 มีมันเป็น trees2 403 00:19:52,780 --> 00:19:55,930 ดังนั้นจำนวนมากของเว็บไซต์ ยังคงใช้ md5 กัญชา 404 00:19:55,930 --> 00:19:57,730 พวกเขากล่าวว่าโอ้มันปลอดภัย 405 00:19:57,730 --> 00:19:58,570 เราไม่ได้จัดเก็บในข้อความธรรมดา 406 00:19:58,570 --> 00:19:59,740 เรามีกัญชา md5 นี้ 407 00:19:59,740 --> 00:20:01,880 และทั้งหมดที่ฉันต้องทำคือเพียงแค่ google จำนวน 408 00:20:01,880 --> 00:20:03,940 >> ฉันไม่ได้มีการคำนวณตัวเอง 409 00:20:03,940 --> 00:20:06,790 ผมก็สามารถ Google มันและใครบางคน แล้วมันสำหรับฉัน 410 00:20:06,790 --> 00:20:08,010 ที่นี่พวงของพวกเขาเป็น 411 00:20:08,010 --> 00:20:09,260 ที่นี่พวงของรหัสผ่านที่เป็น 412 00:20:09,260 --> 00:20:13,890 413 00:20:13,890 --> 00:20:18,680 ดังนั้นแน่นอนไม่ได้ใช้ md5 กัญชา เพราะสิ่งที่คุณต้อง 414 00:20:18,680 --> 00:20:19,140 ทำคือ Google มัน 415 00:20:19,140 --> 00:20:20,390 ดังนั้นสิ่งที่คุณต้องการที่จะใช้แทน 416 00:20:20,390 --> 00:20:29,340 417 00:20:29,340 --> 00:20:30,170 ตกลง 418 00:20:30,170 --> 00:20:31,260 สิ่งที่เรียกว่าเกลือ 419 00:20:31,260 --> 00:20:32,460 ดังนั้นสิ่งที่เป็นเกลือ - 420 00:20:32,460 --> 00:20:36,280 ที่พวกคุณจำตอนที่เราอยู่ พูดคุยเกี่ยวกับการสุ่มใน - 421 00:20:36,280 --> 00:20:37,920 ผมไม่แน่ใจว่าสิ่งที่มันเป็น pset - 422 00:20:37,920 --> 00:20:41,140 มันก็มี pset หรือสี่? 423 00:20:41,140 --> 00:20:45,150 >> เราได้พูดคุยเกี่ยวกับการหา เข็มในกองหญ้า 424 00:20:45,150 --> 00:20:48,480 และใน pset ก็กล่าวว่าที่คุณสามารถทำได้ จริงคิดออกว่าสุ่ม 425 00:20:48,480 --> 00:20:51,840 สร้างเพราะใครบางคนวิ่งไปแล้ว สุ่มล้านครั้งและเพียงแค่ 426 00:20:51,840 --> 00:20:53,230 การเรียงลำดับของสิ่งที่เกิดขึ้นพวกเขาสร้าง 427 00:20:53,230 --> 00:20:55,840 สิ่งที่คุณต้องการจะทำคือ ใส่ในการป้อนข้อมูล 428 00:20:55,840 --> 00:20:57,130 ดังนั้นนั่นคือสิ่งที่จัดเรียงของเกลือเป็น 429 00:20:57,130 --> 00:21:00,900 พวกเขาอยู่แล้วคิดออกว่าเกลือ ผลตอบแทนสำหรับการทำงานแต่ละ 430 00:21:00,900 --> 00:21:04,750 >> ดังนั้นสิ่งที่จะเป็นเกลือ ที่คุณใส่ในเกลือ 431 00:21:04,750 --> 00:21:06,160 ที่คุณใส่ในบางคำ 432 00:21:06,160 --> 00:21:09,720 และก็จะสับคำที่ขึ้นอยู่ กับสิ่งที่คุณใส่ในที่นี่ 433 00:21:09,720 --> 00:21:13,570 ดังนั้นถ้าผมสับรหัสผ่านอย่างใดอย่างหนึ่งกับเรื่องนี้ ประโยคก็จะสับ 434 00:21:13,570 --> 00:21:17,180 ที่แตกต่างกันถ้าผมสับ password1 ด้วยประโยคที่แตกต่างกัน 435 00:21:17,180 --> 00:21:21,670 มันเรียงลำดับของให้มันอยู่ที่ไหนสักแห่งที่จะ เริ่มต้น hashing ที่จะเริ่มต้น 436 00:21:21,670 --> 00:21:25,970 ดังนั้นจึงเป็นเรื่องยากมากที่จะคำนวณ แต่คุณ ยังคงสามารถคำนวณได้โดยเฉพาะอย่างยิ่ง 437 00:21:25,970 --> 00:21:26,830 ถ้าคุณใช้เก​​ลือไม่ดี 438 00:21:26,830 --> 00:21:29,650 >> คนมีอยู่แล้วยังคิดออก เกลือที่พบบ่อยและคิดออก 439 00:21:29,650 --> 00:21:31,500 สิ่งที่ว่ามันเป็น 440 00:21:31,500 --> 00:21:34,980 เกลือสุ่มจะดีกว่ามาก แต่วิธีที่ดีที่สุดคือการใช้ 441 00:21:34,980 --> 00:21:38,160 สิ่งที่เรียกว่าห้องใต้ดิน 442 00:21:38,160 --> 00:21:40,480 และสิ่งที่ฝังศพใต้ถุนโบสถ์ช่วยให้คุณสามารถ ไม่ - เพื่อให้ฟังก์ชั่นเหล่านี้ 443 00:21:40,480 --> 00:21:41,820 สร้างขึ้นแล้วสำหรับคุณ 444 00:21:41,820 --> 00:21:44,910 หลายคนลืมว่าหรือ พวกเขาลืมที่จะใช้มัน 445 00:21:44,910 --> 00:21:54,520 แต่ถ้าผมมองขึ้นไปฝังศพใต้ถุนโบสถ์ PHP ฝังศพใต้ถุนโบสถ์ แล้วส่งกลับสตริงกัญชาสำหรับฉัน 446 00:21:54,520 --> 00:21:58,790 และเป็นจริงเกลือมาหลายครั้ง และ hashes ได้หลายครั้ง 447 00:21:58,790 --> 00:22:00,070 >> ดังนั้นเราจึงไม่จำเป็นต้องทำเช่นนี้ 448 00:22:00,070 --> 00:22:04,790 ดังนั้นสิ่งที่คุณต้องทำคือ ส่งมันลงไปในห้องใต้ดิน 449 00:22:04,790 --> 00:22:08,170 และมันจะสร้างความยุ่งเหยิงที่ดีโดยไม่ต้อง คุณไม่ต้องกังวลเกี่ยวกับเกลือ 450 00:22:08,170 --> 00:22:08,990 หรืออะไร 451 00:22:08,990 --> 00:22:12,000 เพราะถ้าคุณจะเกลือมันคุณมี จะจำสิ่งที่คุณใช้เก​​ลือ 452 00:22:12,000 --> 00:22:13,800 เพราะถ้าไม่ได้คุณไม่สามารถได้รับของคุณ รหัสผ่านโดยไม่ต้องกลับ 453 00:22:13,800 --> 00:22:15,760 เกลือที่คุณใช้ 454 00:22:15,760 --> 00:22:17,010 ตกลง 455 00:22:17,010 --> 00:22:21,120 456 00:22:21,120 --> 00:22:23,150 >> และยังสามารถระบุตัวบุคคล ข้อมูล 457 00:22:23,150 --> 00:22:26,730 การรักษาความปลอดภัยทางสังคมเพื่อให้บัตรเครดิต - ที่เห็นได้ชัดสวย 458 00:22:26,730 --> 00:22:31,880 แต่บางครั้งคนลืมวิธีการที่จะ งานคือวิธีข้อมูลมากคุณ 459 00:22:31,880 --> 00:22:35,690 จริงต้องพบบางคน? 460 00:22:35,690 --> 00:22:37,740 คนที่ได้ศึกษาเกี่ยวกับ นี้ทางกลับ 461 00:22:37,740 --> 00:22:40,870 และมันก็เป็นเช่นถ้าคุณมี ชื่อเต็มของคุณจะไม่สามารถหา 462 00:22:40,870 --> 00:22:41,610 ใครบางคนที่ได้อย่างง่ายดาย 463 00:22:41,610 --> 00:22:43,900 แต่สิ่งที่ถ้าคุณมีชื่อเต็ม และวันเดือนปีเกิดของพวกเขา? 464 00:22:43,900 --> 00:22:47,770 คือพอที่จะระบุ ใครบางคนโดยเฉพาะ? 465 00:22:47,770 --> 00:22:52,760 >> สิ่งที่ถ้าคุณมีชื่อของพวกเขาและ ที่อยู่ถนนที่พวกเขาอาศัยอยู่หรือไม่ 466 00:22:52,760 --> 00:22:55,110 คือพอที่จะหาใครสักคน 467 00:22:55,110 --> 00:23:02,490 และที่ว่าเมื่อพวกเขาตั้งคำถามกับสิ่งที่เป็น ข้อมูลส่วนบุคคลและ 468 00:23:02,490 --> 00:23:05,360 สิ่งที่คุณควรกังวลเกี่ยวกับ ไม่ให้ไปหรือไม่ 469 00:23:05,360 --> 00:23:08,770 หากคุณให้ไปที่สามารถระบุตัวบุคคล ข้อมูลที่มีคนให้คุณ 470 00:23:08,770 --> 00:23:11,420 คุณอาจได้รับฟ้อง 471 00:23:11,420 --> 00:23:12,610 และแน่นอนเราไม่ต้องการที่ 472 00:23:12,610 --> 00:23:14,955 >> ดังนั้นเมื่อคุณใส่ในเว็บไซต์ของคุณ ออกและคุณได้เย็นจริงๆ 473 00:23:14,955 --> 00:23:17,230 ออกแบบหวังว่าคุณทำ โครงการสุดท้ายที่น่ากลัว 474 00:23:17,230 --> 00:23:18,370 ใด ๆ ที่คุณเรียงลำดับของความต้องการที่จะ ใส่มันออกมี 475 00:23:18,370 --> 00:23:21,420 คุณต้องการที่จะทำให้แน่ใจว่าสิ่งที่ คุณกำลังการจากผู้ใช้ว่าเป็น 476 00:23:21,420 --> 00:23:25,310 ข้อมูลส่วนบุคคลของคุณ ต้องการที่จะให้แน่ใจว่าคุณเป็นจริง 477 00:23:25,310 --> 00:23:26,560 ระมัดระวังกับมัน 478 00:23:26,560 --> 00:23:29,670 479 00:23:29,670 --> 00:23:31,080 >> ฉีดเชลล์ 480 00:23:31,080 --> 00:23:31,350 ตกลง 481 00:23:31,350 --> 00:23:37,590 ฉีดเปลือกช่วยให้ผู้บุกรุกที่ ได้รับการเข้าถึงบรรทัดคำสั่งที่แท้จริงของคุณ 482 00:23:37,590 --> 00:23:39,660 ในเซิร์ฟเวอร์ของคุณ 483 00:23:39,660 --> 00:23:44,060 และเพื่อให้เขาสามารถที่จะเรียกใช้รหัส ที่คุณไม่สามารถควบคุม 484 00:23:44,060 --> 00:23:49,560 ลองมาตัวอย่างนี้ สตริงที่สวยงามที่นี่ 485 00:23:49,560 --> 00:23:55,570 ถ้าเราไปลงในเว็บไซต์อีกครั้งฉัน จะไปลงในการฉีดรหัส 486 00:23:55,570 --> 00:23:58,910 ดังนั้นสิ่งนี้จะเป็น - 487 00:23:58,910 --> 00:24:00,420 ก็ยังเป็นสิ่งที่เราเป็น ก่อนที่จะมองไปที่ 488 00:24:00,420 --> 00:24:11,200 เรากำลังให้ผู้ใช้ใส่ในสิ่งที่ ที่เขาต้องการและจะพิมพ์ออกมา 489 00:24:11,200 --> 00:24:12,220 สิ่งที่คุณต้องการ 490 00:24:12,220 --> 00:24:13,890 >> ดังนั้นฉันจะวางสาย 491 00:24:13,890 --> 00:24:15,540 สิ่งนี้จะเป็น - 492 00:24:15,540 --> 00:24:16,940 มันจะเริ่มต้นด้วยการเชื่อมโยง 493 00:24:16,940 --> 00:24:19,520 ดังนั้นมันจะช่วยให้ผมทำงานอะไรก็ตาม คำสั่งในการทำงานของบุคคล 494 00:24:19,520 --> 00:24:21,500 ก่อนและคำสั่งของฉัน 495 00:24:21,500 --> 00:24:23,980 และฉันใช้คำสั่งระบบ 496 00:24:23,980 --> 00:24:27,310 และสตริงล่าสุดเหล่านี้ - จำ สิ่งที่ฉันพูดคุยกับพวกคุณเกี่ยวกับ 497 00:24:27,310 --> 00:24:31,725 ในขณะที่คุณมีการเข้ารหัส ในวิธี URL 498 00:24:31,725 --> 00:24:35,010 499 00:24:35,010 --> 00:24:36,992 หากฉันใช้ตอนนี้ - 500 00:24:36,992 --> 00:24:39,150 ฉันจะแสดงให้คุณเห็นที่นี่ - 501 00:24:39,150 --> 00:24:41,100 คุณจะเห็นว่าฉันสิ้นสุด ขึ้นใช้คำสั่ง 502 00:24:41,100 --> 00:24:45,700 503 00:24:45,700 --> 00:24:49,320 >> นี้เป็นจริงที่เกิดขึ้นจริงของเซิร์ฟเวอร์ ว่าเว็บไซต์ของฉันทำงานอยู่ใน 504 00:24:49,320 --> 00:24:55,840 505 00:24:55,840 --> 00:24:58,510 ดังนั้นเราจึงไม่ต้องการที่ เพราะผมสามารถทำงาน - 506 00:24:58,510 --> 00:25:00,320 เซิร์ฟเวอร์นี้ไม่ได้เป็นเหมือง 507 00:25:00,320 --> 00:25:04,030 ดังนั้นผมจึงไม่ต้องการที่จะเลอะของเขา น้องสาวของเซิร์ฟเวอร์มาร์คัส 508 00:25:04,030 --> 00:25:07,470 แต่คุณสามารถเรียกใช้คำสั่งเพิ่มเติม ที่เป็นอันตราย 509 00:25:07,470 --> 00:25:11,885 และอาจคุณสามารถลบ ไฟล์, ลบไดเรกทอรี 510 00:25:11,885 --> 00:25:14,390 511 00:25:14,390 --> 00:25:17,970 ฉันจะลบไดเรกทอรีถ้า ผมอยากจะ แต่ฉันไม่ต้องการ 512 00:25:17,970 --> 00:25:19,530 จะทำอย่างไรที่จะมาร์คัส 513 00:25:19,530 --> 00:25:20,420 เขาเป็นคนดี 514 00:25:20,420 --> 00:25:21,470 เขาให้ฉันยืมเซิร์ฟเวอร์ของเขา 515 00:25:21,470 --> 00:25:24,620 ดังนั้นฉันจะปล่อยให้เขา ปิดในวันหนึ่งที่ดี 516 00:25:24,620 --> 00:25:32,280 >> ดังนั้นสิ่งที่เราไม่ต้องการที่จะใช้ - ที่เราทำไม่ได้ ต้องการที่จะใช้ประเมินผลหรือระบบ 517 00:25:32,280 --> 00:25:34,755 Eval หรือระบบช่วยให้เราสามารถ เหล่านี้ทำให้สายระบบ 518 00:25:34,755 --> 00:25:37,410 519 00:25:37,410 --> 00:25:38,410 วิธี Eval ประเมิน 520 00:25:38,410 --> 00:25:40,790 ระบบหมายถึงสิ่งที่ฉันวิ่ง 521 00:25:40,790 --> 00:25:42,490 มันทำงานบางอย่างในระบบ 522 00:25:42,490 --> 00:25:46,730 แต่เราสามารถประกาศสิ่งเหล่านี้ใน PHP เพื่อที่เราจะไม่ใช้พวกเขา 523 00:25:46,730 --> 00:25:47,400 และอัพโหลดไฟล์ 524 00:25:47,400 --> 00:25:49,180 ฉันกำลังจะทำอะไรที่น่ากลัว สิ่งที่มีการอัปโหลดไฟล์ 525 00:25:49,180 --> 00:25:52,740 แต่เหมือนที่ผมบอกพวกคุณไฟล์ของฉัน สิ่งที่อัปโหลดไม่ได้ทำงาน 526 00:25:52,740 --> 00:25:54,590 ถ้าฉันจะอัปโหลดไฟล์ตอนนี้ - 527 00:25:54,590 --> 00:25:57,120 528 00:25:57,120 --> 00:26:00,830 ถ้าผมจะอัปโหลดไฟล์ และเป็นภาพ - 529 00:26:00,830 --> 00:26:03,180 คุณมีสิ่งที่อัปโหลด ที่ภาพ 530 00:26:03,180 --> 00:26:03,660 ที่ปรับได้ 531 00:26:03,660 --> 00:26:04,280 ไม่มีอะไรเกิดขึ้น 532 00:26:04,280 --> 00:26:10,840 >> แต่ถ้าคุณมีการอัปโหลดไฟล์สำหรับ ตัวอย่างเช่นผู้ใช้และภาพที่ส่งจริง 533 00:26:10,840 --> 00:26:19,220 ไฟล์ PHP หรือไฟล์ exe หรือสิ่งที่ เช่นนั้นแล้วคุณอาจจะทำได้ 534 00:26:19,220 --> 00:26:19,740 มีปัญหา 535 00:26:19,740 --> 00:26:21,390 นี้เป็นคนที่ทำงานก่อน 536 00:26:21,390 --> 00:26:25,202 แต่โชคร้ายสำหรับผมมัน ไม่ได้ทำงานอีกต่อไป 537 00:26:25,202 --> 00:26:30,230 ถ้าผมยกตัวอย่างเช่นการอัปโหลดไฟล์นี้ผม ไม่ได้รับสิทธิ์ในการอัปโหลด 538 00:26:30,230 --> 00:26:33,400 ไฟล์เนื่องจากเซิร์ฟเวอร์ ไม่ได้เป็นเหมือง 539 00:26:33,400 --> 00:26:38,670 ดังนั้นคนที่เป็นสมาร์ทจริงๆ 540 00:26:38,670 --> 00:26:39,610 >> ดังนั้นเราจึงไม่ต้องการที่จะ - 541 00:26:39,610 --> 00:26:40,130 ฉันจะแสดงให้พวกคุณ - 542 00:26:40,130 --> 00:26:41,840 ตกลงเหล่านี้เป็นเครื่องมือที่เย็นจริงๆ 543 00:26:41,840 --> 00:26:45,100 ดังนั้นเหล่านี้ - 544 00:26:45,100 --> 00:26:47,715 ไป - ถ้าพวกคุณมี Firefox - หวังว่าคุณจะทำอย่างไร 545 00:26:47,715 --> 00:26:54,260 มีสองส่วนเพิ่มที่เรียกว่า SQL ฉีดเป็น ฉันและข้ามเว็บไซต์สคริปต์ฉัน 546 00:26:54,260 --> 00:26:56,870 พวกเขาเปิดขึ้นด้านข้างน้อย แถบด้านข้าง 547 00:26:56,870 --> 00:27:01,480 และถ้าผมจะไป CS60 เช่น - 548 00:27:01,480 --> 00:27:04,210 ดังนั้นสิ่งที่มันไม่เป็นมันก็ดู ในรูปแบบทั้งหมดที่ - 549 00:27:04,210 --> 00:27:07,220 550 00:27:07,220 --> 00:27:08,760 หวังว่าผมจะไม่ได้รับ ในปัญหานี้ 551 00:27:08,760 --> 00:27:09,190 >> แต่ตกลง 552 00:27:09,190 --> 00:27:12,600 ที่นี่ระบบพินเป็น 553 00:27:12,600 --> 00:27:18,946 ดังนั้นเมื่อผมเริ่มมองหาหลุมใน ระบบสิ่งแรกที่ผมทำคือ 554 00:27:18,946 --> 00:27:21,820 เปิดขึ้นเล็กน้อยที่สวยงามนี้ เครื่องมือด้านข้าง 555 00:27:21,820 --> 00:27:24,160 และฉันจะทดสอบรูปแบบ กับการโจมตีอัตโนมัติ 556 00:27:24,160 --> 00:27:28,510 และเพื่อให้สิ่งนี้ไม่ได้เป็นจะค่อยๆ เปิดพวงของเบราว์เซอร์ 557 00:27:28,510 --> 00:27:29,930 ที่นี่พวงของเบราว์เซอร์เป็น 558 00:27:29,930 --> 00:27:33,320 และจะพยายามทุกชุดเดียว ของสคริปต์ข้ามไซต์ 559 00:27:33,320 --> 00:27:37,380 ที่มีอาจคือถ้า ที่คุณเห็นอยู่ด้านข้าง 560 00:27:37,380 --> 00:27:42,080 >> และมันจะให้ฉันผล การเรียงลำดับของสิ่งที่คำตอบคือ 561 00:27:42,080 --> 00:27:42,860 ผ่านทั้งหมด 562 00:27:42,860 --> 00:27:43,910 เห็นได้ชัดว่าพวกเขาทั้งหมดผ่าน 563 00:27:43,910 --> 00:27:46,190 ผมหมายถึงพวกเขากำลังสมาร์ทจริงๆ คนขึ้นไปมี 564 00:27:46,190 --> 00:27:48,010 แต่ถ้าผมรัน - 565 00:27:48,010 --> 00:27:52,050 ฉันเคยครั้งก่อนเมื่อฉันใช้นี้ ในโครงการสุดท้ายของนักเรียน 566 00:27:52,050 --> 00:27:56,080 ผมก็ทำงาน SQL ฉีดฉันด้วย การโจมตีที่แตกต่างกันทั้งหมด 567 00:27:56,080 --> 00:28:00,080 และก็พยายามที่จะฉีด SQL เซิร์ฟเวอร์ขานี้ 568 00:28:00,080 --> 00:28:03,590 ดังนั้นหากเราเลื่อนลงสำหรับ ตัวอย่างเช่นมันบอกว่า - 569 00:28:03,590 --> 00:28:04,960 นี้เป็นสิ่งที่ดีถ้ามันกลับ 570 00:28:04,960 --> 00:28:08,250 >> ดังนั้นจึงมีการทดสอบค่าบางอย่างบาง 571 00:28:08,250 --> 00:28:11,170 และเซิร์ฟเวอร์ส่งคืน รหัสที่เป็นลบ 572 00:28:11,170 --> 00:28:11,780 ลบชั่วคราว 573 00:28:11,780 --> 00:28:13,030 นี้เป็นสิ่งที่ดี 574 00:28:13,030 --> 00:28:17,050 575 00:28:17,050 --> 00:28:20,750 มันพยายามทดสอบเหล่านี้ทั้งหมด 576 00:28:20,750 --> 00:28:21,790 ดังนั้นคุณก็สามารถเรียกใช้ - 577 00:28:21,790 --> 00:28:27,860 ฉันหวังว่าฉันสามารถหาเว็บไซต์จริง รวดเร็วที่จะให้ฉัน - 578 00:28:27,860 --> 00:28:29,110 อาจจะเก็บ CS50 579 00:28:29,110 --> 00:28:43,890 580 00:28:43,890 --> 00:28:45,711 >> ว้าวนี้เป็นไป ใช้วิธีการนานเกินไป 581 00:28:45,711 --> 00:28:53,090 582 00:28:53,090 --> 00:28:55,130 ฉันจะให้การทดสอบครั้งแรก ไม่จบที่เหมาะสม 583 00:28:55,130 --> 00:28:57,330 จึงบ่น 584 00:28:57,330 --> 00:28:58,470 ดังนั้นเหล่านี้เป็นสามสิ่ง 585 00:28:58,470 --> 00:29:00,430 เครื่องมือเหล่านี้จะฟรี 586 00:29:00,430 --> 00:29:03,960 คุณสามารถดาวน์โหลดได้และใช้พวกเขาใน เว็บไซต์ของคุณและมันจะบอกคุณว่า 587 00:29:03,960 --> 00:29:06,650 คุณมีสคริปต์ข้ามไซต์ ถ้าคุณมี SQL ถ้าคุณมี 588 00:29:06,650 --> 00:29:07,900 บางสิ่งบางอย่างเช่น 589 00:29:07,900 --> 00:29:12,230 590 00:29:12,230 --> 00:29:14,500 ผมเรียงลำดับของความวุ่นวาย 591 00:29:14,500 --> 00:29:15,550 >> สิ่งที่สำคัญ - 592 00:29:15,550 --> 00:29:17,900 OK เพื่อให้ผู้ใช้ไม่เคยไว้วางใจ 593 00:29:17,900 --> 00:29:21,920 สิ่งที่ปัจจัยการผลิตของผู้ใช้ให้คุณทำ แน่ใจว่าคุณ sanitize มันคุณทำความสะอาดมัน 594 00:29:21,920 --> 00:29:25,300 คุณตรวจสอบสิ่งที่ถูกต้อง ที่จะให้สิ่งที่คุณ 595 00:29:25,300 --> 00:29:28,240 ต้องการให้เขาเพื่อให้คุณ 596 00:29:28,240 --> 00:29:32,460 มักจะมีการปรับปรุงในสิ่งที่กรอบ ว่าคุณกำลังใช้จริง 597 00:29:32,460 --> 00:29:34,630 ถ้าคุณใช้สิ่งที่ต้องการบูต - 598 00:29:34,630 --> 00:29:36,340 ฉันรู้ว่าพวกคุณจะใช้ บูตเพราะเขาจะไป 599 00:29:36,340 --> 00:29:38,140 ในช่วงนี้เร็ว ๆ นี้ในชั้นเรียน - 600 00:29:38,140 --> 00:29:43,120 และ Wordpress หรือสิ่งที่ต้องการที่ ปกตินี้อาจจะ hacked 601 00:29:43,120 --> 00:29:44,770 >> แล้วคุณไม่ได้รู้ว่า 602 00:29:44,770 --> 00:29:45,800 คุณเพียงแค่ใช้เว็บไซต์ของคุณ 603 00:29:45,800 --> 00:29:47,360 และมันเป็นเรื่องที่มีความปลอดภัยโดยสิ้นเชิง 604 00:29:47,360 --> 00:29:51,730 และคุณจะไปลง 605 00:29:51,730 --> 00:29:54,000 ดังนั้นฉันประมงจริงๆต้น 606 00:29:54,000 --> 00:29:55,770 แต่ฉันต้องการที่จะขอบคุณ Pentest Labs 607 00:29:55,770 --> 00:29:58,140 ฉันจะแสดงให้พวกคุณบางสิ่งบางอย่าง เรียกว่า Pentest Labs 608 00:29:58,140 --> 00:30:05,000 ถ้าพวกคุณมีความสนใจจริงๆใน สิ่งที่การรักษาความปลอดภัยจริงๆคือมี 609 00:30:05,000 --> 00:30:07,300 เว็บไซต์ที่เรียกว่า Pentest Labs ถ้า พวกคุณไปได้ในขณะนี้ 610 00:30:07,300 --> 00:30:10,730 โอ้ดีที่ไม่มัน 611 00:30:10,730 --> 00:30:12,030 ฉันแค่จะทำงานเช่นนี้ 612 00:30:12,030 --> 00:30:14,400 Google บอกฉันคำตอบ 613 00:30:14,400 --> 00:30:16,590 >> ตกลง 614 00:30:16,590 --> 00:30:19,030 และมันสอนให้คุณใช้ - ดังนั้นจึง กล่าวว่าการเรียนรู้การเจาะเว็บ 615 00:30:19,030 --> 00:30:21,060 การทดสอบวิธีการที่เหมาะสม 616 00:30:21,060 --> 00:30:23,650 มันสอนให้คุณ - 617 00:30:23,650 --> 00:30:25,150 หวังว่าคุณจะเป็นคนที่มีจริยธรรม 618 00:30:25,150 --> 00:30:29,200 แต่มันสอนวิธีที่คุณสามารถมองไปที่ วิธีที่คุณสามารถได้รับภายในเว็บไซต์ 619 00:30:29,200 --> 00:30:31,130 และถ้าคุณเรียนรู้วิธีที่คุณสามารถได้รับภายใน เว็บไซต์ที่คุณสามารถเรียนรู้วิธีการ 620 00:30:31,130 --> 00:30:34,960 ป้องกันตัวเองจากการได้รับ เว็บไซต์ภายใน 621 00:30:34,960 --> 00:30:39,100 ผมขอขยายเพราะบางทีพวกคุณ ไม่ได้มองที่ด้านขวานี้ 622 00:30:39,100 --> 00:30:46,350 >> จากการฉีดเปลือกดังนั้น การเรียงลำดับของวิธีการที่ฉันจะได้รับจาก SQL 623 00:30:46,350 --> 00:30:48,530 ฉีดเปลือก 624 00:30:48,530 --> 00:30:53,890 และคุณดาวน์โหลดเครื่องเสมือนนี้ 625 00:30:53,890 --> 00:30:55,690 และเครื่องเสมือนที่มีอยู่แล้วมา กับเว็บไซต์ที่คุณ 626 00:30:55,690 --> 00:30:56,780 ไปลองใน 627 00:30:56,780 --> 00:30:58,030 ที่คุณดาวน์โหลดไฟล์ PDF นี้ 628 00:30:58,030 --> 00:31:03,610 629 00:31:03,610 --> 00:31:08,370 และมันจะแสดงให้คุณทีละบรรทัดสิ่งที่ คุณต้องทำสิ่งที่คุณตรวจสอบ 630 00:31:08,370 --> 00:31:14,560 นี่คือสิ่งที่โจมตีจริง ไม่ให้ได้รับภายในเว็บไซต์ 631 00:31:14,560 --> 00:31:15,750 >> และบางส่วนของสิ่งนี้มีความซับซ้อน 632 00:31:15,750 --> 00:31:17,520 ฉันหวังว่าฉันจะไปเกิน สิ่งที่มีพวกคุณ 633 00:31:17,520 --> 00:31:21,090 แต่ผมกังวลว่าพวกคุณ ไม่ได้จริงๆ - 634 00:31:21,090 --> 00:31:23,090 นี้คือสิ่งที่ผมเดินไปด้วย พวกคุณทดสอบเว็บ 635 00:31:23,090 --> 00:31:26,830 สำหรับการทดสอบการเจาะ 636 00:31:26,830 --> 00:31:33,540 ไม่ทราบจริงๆสิ่งที่ SQL เป็นและสิ่งที่ - 637 00:31:33,540 --> 00:31:35,960 สัมมนาคาร์ลแจ็คสัน เป็นที่น่ากลัวเช่นกัน 638 00:31:35,960 --> 00:31:37,360 พวกคุณไม่ทราบว่าการจัดเรียง ของสิ่งนี้เป็น 639 00:31:37,360 --> 00:31:39,450 แต่ถ้าคุณไปที่เว็บไซต์นี้และคุณ ดาวน์โหลดบทเรียนเหล่านี้และสิ่งเหล่านี้ 640 00:31:39,450 --> 00:31:43,290 ไฟล์ PDF, คุณสามารถดูที่การเรียงลำดับของ สิ่งที่พื้นที่ของการรักษาความปลอดภัยจริงๆ 641 00:31:43,290 --> 00:31:46,940 ในการทดสอบการเจาะให้ดูวิธีที่คุณสามารถ ได้รับเว็บไซต์ภายในและป้องกัน 642 00:31:46,940 --> 00:31:48,020 ตัวเองจากมัน 643 00:31:48,020 --> 00:31:56,360 >> ดังนั้นถ้าผมทำให้ภาพรวมซุปเปอร์รวดเร็ว มันจะป้องกันสคริปต์ข้ามไซต์ 644 00:31:56,360 --> 00:32:00,160 คุณต้องการที่จะใช้ htmlspecialchars ทุก ครั้งที่ผู้ใช้ปัจจัยการผลิตบางสิ่งบางอย่าง 645 00:32:00,160 --> 00:32:01,580 ป้องกันการฉีด 646 00:32:01,580 --> 00:32:04,510 ถ้าคุณทำอย่างนั้นอยู่แล้ว ดีกว่าฮาร์วาร์เป็น 647 00:32:04,510 --> 00:32:06,530 เมื่อพวกเขาได้ละเมิด 648 00:32:06,530 --> 00:32:10,510 และให้แน่ใจว่ารหัสผ่านของคุณ ไม่ได้อยู่ในข้อความธรรมดา 649 00:32:10,510 --> 00:32:16,220 ตรวจสอบให้แน่ใจว่าคุณทำไม่ได้ทางเดียวเท่านั้นกัญชา พวกเขา แต่ที่คุณใช้ฝังศพใต้ถุนโบสถ์, PHP 650 00:32:16,220 --> 00:32:18,670 ฟังก์ชั่นที่ผมแสดงให้เห็นว่าพวกคุณ 651 00:32:18,670 --> 00:32:20,060 วิธีการที่คุณควรจะดี 652 00:32:20,060 --> 00:32:25,830 >> นอกจากนี้ถ้าเพื่อนของคุณช่วยให้คุณสามารถเรียกใช้ SQL ฉีดฉันบนเว็บไซต์ของตน 653 00:32:25,830 --> 00:32:28,140 เรียกใช้สคริปต์ข้ามไซต์ บนเว็บไซต์ของตน 654 00:32:28,140 --> 00:32:33,720 และคุณจะเห็นจำนวนมากของเว็บไซต์เหล่านี้ มีตันของช่องโหว่ 655 00:32:33,720 --> 00:32:40,400 มันไม่น่าเชื่อว่าคนมากลืม เพื่อ sanitize ฐานข้อมูลของตนหรือเพื่อให้ 656 00:32:40,400 --> 00:32:46,340 แน่ใจว่าสิ่งที่ป้อนของบุคคลนั้น ไม่ได้เป็นรหัสสคริปต์ 657 00:32:46,340 --> 00:32:47,200 ตกลง 658 00:32:47,200 --> 00:32:49,182 จัดเรียงของฉันสิ้นสุดลงในช่วงต้นจริงๆ 659 00:32:49,182 --> 00:32:56,510 แต่ถ้าใครมีข้อสงสัยเกี่ยวกับ อะไรที่คุณสามารถยิงคำถาม 660 00:32:56,510 --> 00:32:56,630 ใช่ 661 00:32:56,630 --> 00:32:56,970 ไปไป 662 00:32:56,970 --> 00:32:59,846 >> ผู้ชม: ผมแค่อยากจะถามว่า คุณสามารถอธิบายวิธีการแฟ้ม 663 00:32:59,846 --> 00:33:03,160 อัปโหลดผลงานว่า 664 00:33:03,160 --> 00:33:03,480 >> LUCIANO Arango: ใช่ 665 00:33:03,480 --> 00:33:06,350 ดังนั้นให้ฉันแสดงไฟล์ อัปโหลดจริงอย่างรวดเร็ว 666 00:33:06,350 --> 00:33:11,300 ดังนั้นการอัปโหลดไฟล์ - 667 00:33:11,300 --> 00:33:14,500 ปัญหาปัญญาอัปโหลดไฟล์ ตอนนี้คือ - 668 00:33:14,500 --> 00:33:18,541 ฉันจะเปิดรหัสเพื่อพวกคุณ เห็นรหัสเบื้องหลัง 669 00:33:18,541 --> 00:33:22,390 670 00:33:22,390 --> 00:33:24,305 และก็จะมีการอัปโหลด 671 00:33:24,305 --> 00:33:28,030 672 00:33:28,030 --> 00:33:31,560 นี่คือรหัสในการอัปโหลดไฟล์ 673 00:33:31,560 --> 00:33:33,980 >> เรากำลังพยายามที่จะเข้าไปนี้ ไดเรกทอรีกว่าที่นี่ 674 00:33:33,980 --> 00:33:37,380 675 00:33:37,380 --> 00:33:44,880 และเรากำลังพยายามที่จะเมื่อเราใส่ ไฟล์ไฟล์ isset - ดังนั้นเมื่อมีการ 676 00:33:44,880 --> 00:33:50,900 ยื่นในไฟล์ภาพที่แล้ว เราพยายามที่จะย้ายไปที่นี่ 677 00:33:50,900 --> 00:33:51,910 เราคว้าแฟ้มที่นี่ 678 00:33:51,910 --> 00:33:58,350 วิธีการโพสต์ประเภทภาพไฟล์ 679 00:33:58,350 --> 00:33:59,630 และเราจะส่งไฟล์นี้ 680 00:33:59,630 --> 00:34:03,910 และจากนั้นเมื่อเราได้รับมันดังนั้นเมื่อไฟล์ มีภาพที่เรากำลังพยายามที่จะส่งไป 681 00:34:03,910 --> 00:34:05,060 ไปยังไดเรกทอรีนี้ 682 00:34:05,060 --> 00:34:09,814 >> ปัญหาคือว่าเว็บไซต์ที่ไม่ได้เป็น ขอให้ฉันไปที่ไดเรกทอรีนี้ 683 00:34:09,814 --> 00:34:12,239 เพราะไม่ต้องการให้ฉันกลับไป 684 00:34:12,239 --> 00:34:13,489 มันไม่ได้ต้องการให้ฉันไป - 685 00:34:13,489 --> 00:34:15,620 686 00:34:15,620 --> 00:34:17,070 ฉันต้องไป - ดังนั้นนี่คือการอัปโหลด 687 00:34:17,070 --> 00:34:17,639 นี่คือภาพ 688 00:34:17,639 --> 00:34:21,780 ฉันต้องไปตลอดทางกลับไปที่ จุดเริ่มต้นและวางไว้ในที่นั่นและจากนั้น 689 00:34:21,780 --> 00:34:23,820 ไปและใส่ลงในไดเรกทอรี 690 00:34:23,820 --> 00:34:30,000 ดังนั้นถ้าผมทำงานหน้าต่าง terminal, และฉันต้องการที่จะย้ายไฟล์ - 691 00:34:30,000 --> 00:34:30,409 [ไม่ได้ยิน] 692 00:34:30,409 --> 00:34:32,159 สามารถมองเห็นได้ 693 00:34:32,159 --> 00:34:37,940 ถ้าผมอยากจะย้ายไฟล์ที่ผมมี ที่จะใส่ชื่อไฟล์แล้ว 694 00:34:37,940 --> 00:34:40,860 เส้นทางที่สมบูรณ์ฉันต้องการจะส่งไปยัง 695 00:34:40,860 --> 00:34:45,110 >> แล้วเซิร์ฟเวอร์ไม่ ขอให้ฉันกลับไป 696 00:34:45,110 --> 00:34:46,929 และดังนั้นจึงไม่ได้ให้ ฉันได้รับไปยังไฟล์ที่ 697 00:34:46,929 --> 00:34:47,670 แต่ตามปกติ - 698 00:34:47,670 --> 00:34:49,360 จึงมีสำหรับ การอัปโหลดไฟล์ 699 00:34:49,360 --> 00:34:52,260 ดังนั้นโดยปกติแล้วสิ่งที่จะเกิดขึ้นคือ ผู้ที่ไม่ได้ตรวจสอบว่าไฟล์ของฉัน 700 00:34:52,260 --> 00:34:57,920 จบลงด้วย. jpeg, ดังนั้นฉัน ต้องการที่จะตรวจสอบ 701 00:34:57,920 --> 00:35:00,054 ผมขอเปิดตัวอย่างเกินไปจริงอย่างรวดเร็ว 702 00:35:00,054 --> 00:35:07,766 703 00:35:07,766 --> 00:35:08,260 >> ตกลง 704 00:35:08,260 --> 00:35:09,230 บุคคลนี้ขวา - 705 00:35:09,230 --> 00:35:11,980 ดังนั้นตัวอย่างที่สองคือการตรวจสอบ ถ้า preg_match - 706 00:35:11,980 --> 00:35:14,180 ที่นี่มันเป็นมากกว่าที่นี่ - 707 00:35:14,180 --> 00:35:19,660 เพื่อให้แน่ใจว่าจบลงด้วยการ PHP ซึ่งเป็นสิ่งที่ดี 708 00:35:19,660 --> 00:35:20,580 นี้เป็นสิ่งที่ดี 709 00:35:20,580 --> 00:35:22,820 แต่มีขนาดใหญ่จริง ปัญหานี้ 710 00:35:22,820 --> 00:35:24,600 นี้เป็นสิ่งที่ดี 711 00:35:24,600 --> 00:35:44,190 แต่ถ้าผมจะใส่ไฟล์ที่เรียกว่า myfavoritepicture.php.jpeg, ที่ฉันสามารถ 712 00:35:44,190 --> 00:35:50,060 ยังอาจได้รับการกำจัด jpeg และเรียกใช้ it.k ของ PHP ที่เป็นอันตราย 713 00:35:50,060 --> 00:35:53,850 คุณไม่ต้องการคนที่จะสามารถ เรียกใช้รหัสบนเว็บไซต์ของคุณ 714 00:35:53,850 --> 00:35:55,750 >> แต่แล้ว. jpeg ปล่อยให้มันผ่านไป 715 00:35:55,750 --> 00:36:00,720 ความคิดคือสิ่งที่คุณต้องการจริงๆที่จะทำ ไม่ได้ใช้ไฟล์, A. แต่ตกลงสิ่งที่ 716 00:36:00,720 --> 00:36:07,500 คุณต้องการที่จะทำคือการให้แน่ใจว่า คุณอ่านทั่วโลกทั้ง 717 00:36:07,500 --> 00:36:08,720 และไม่มีอะไร. php ในนั้น 718 00:36:08,720 --> 00:36:10,500 ไม่มี php การใน. เป็น ชื่อไฟล์ทั้งหมด 719 00:36:10,500 --> 00:36:12,780 >> ผู้ชม: แต่คุณสามารถทำได้ ใส่. jpeg ที่สิ้นสุด 720 00:36:12,780 --> 00:36:15,830 เซิร์ฟเวอร์ยังคงเรียกใช้รหัส 721 00:36:15,830 --> 00:36:16,870 >> LUCIANO Arango: ไม่มีก็จะไม่ได้ ทำงานที่จุดเริ่มต้น 722 00:36:16,870 --> 00:36:22,310 คุณต้องกลับไปและพยายาม เพื่อดูว่าคุณสามารถ - 723 00:36:22,310 --> 00:36:24,210 >> ผู้ชม: ดังนั้นเราจะต้อง - 724 00:36:24,210 --> 00:36:26,020 OK เพียงแค่ชุดที่เกี่ยวข้องกับการอื่น - 725 00:36:26,020 --> 00:36:26,936 >> LUCIANO Arango: ใช่ 726 00:36:26,936 --> 00:36:29,230 >> ผู้ชม: ตกลง 727 00:36:29,230 --> 00:36:31,486 >> LUCIANO Arango: ใช่ 728 00:36:31,486 --> 00:36:31,900 ตกลง 729 00:36:31,900 --> 00:36:32,865 คำถามใด ๆ อื่น ๆ 730 00:36:32,865 --> 00:36:33,180 ตกลง 731 00:36:33,180 --> 00:36:37,350 ฉันจะออกจากนี้ขึ้นและเรียงลำดับ ของพยายามที่จะดูว่าพวกคุณสามารถ - 732 00:36:37,350 --> 00:36:40,490 คนอื่น ๆ ที่มีนิด ๆ หน่อย ๆ ซับซ้อนเพราะพวกเขาต้องการมาก 733 00:36:40,490 --> 00:36:44,050 ความรู้เพิ่มเติมของ SQL มากกว่าเพียงแค่ ความรู้เกี่ยวกับจุดเริ่มต้นของเว็บ SQL และ 734 00:36:44,050 --> 00:36:47,010 JavaScript เป็นสิ่งที่ 735 00:36:47,010 --> 00:36:49,730 แต่ฉันจะพยายามที่จะเก็บเรื่องนี้ขึ้น และหวังว่าพวกคุณจะได้เรียนรู้ 736 00:36:49,730 --> 00:36:53,230 เกี่ยวกับเรื่องนี้และพยายามที่จะใช้เวลามองที่ สิ่งที่คุณสามารถทำและวิธีการหลายตัวอย่าง 737 00:36:53,230 --> 00:36:54,420 คุณจะได้รับผ่าน 738 00:36:54,420 --> 00:36:56,020 >> ใครมีที่อื่น ๆ คำถามเกี่ยวกับมันได้หรือไม่ 739 00:36:56,020 --> 00:36:59,387 740 00:36:59,387 --> 00:37:00,350 เอาเลย 741 00:37:00,350 --> 00:37:01,170 ใช่ยิงยิง 742 00:37:01,170 --> 00:37:01,580 ใช่ไปข้างหน้า 743 00:37:01,580 --> 00:37:01,850 เอาเลย 744 00:37:01,850 --> 00:37:02,310 >> ผู้ชม: ตกลง 745 00:37:02,310 --> 00:37:08,870 ดังนั้นผมได้ยินเกี่ยวกับวิธีการคำคมเวทมนตร์ จะไม่ปลอดภัยพอ 746 00:37:08,870 --> 00:37:09,280 >> LUCIANO Arango: อะไร - 747 00:37:09,280 --> 00:37:10,110 คำคม Magic? 748 00:37:10,110 --> 00:37:10,595 >> ผู้ชม: ใช่ 749 00:37:10,595 --> 00:37:15,445 ดังนั้นจึงเพิ่ม - ดังนั้นเมื่อใดก็ตามที่คุณป้อน บางสิ่งบางอย่างมันก็จะเพิ่มราคา 750 00:37:15,445 --> 00:37:15,930 >> LUCIANO Arango: ใช่ 751 00:37:15,930 --> 00:37:16,000 ใช่ 752 00:37:16,000 --> 00:37:16,496 ตกลง 753 00:37:16,496 --> 00:37:19,113 >> ผู้ชม: แล้วฉันว่าที่ทำงาน แต่แล้วผมค้นหามันได้ 754 00:37:19,113 --> 00:37:21,648 และก็กล่าวว่ามันไม่ดี 755 00:37:21,648 --> 00:37:23,050 แต่ฉันไม่แน่ใจว่าทำไม 756 00:37:23,050 --> 00:37:23,360 >> LUCIANO Arango: ใช่ 757 00:37:23,360 --> 00:37:26,240 >> ผู้ชม: อย่าใช้คำพูดเวทมนตร์ เพราะไม่ปลอดภัย 758 00:37:26,240 --> 00:37:26,360 >> LUCIANO Arango: OK 759 00:37:26,360 --> 00:37:31,735 คำคมเวทมนตร์ดังนั้นเมื่อคุณใส่ SQL และมันอยู่แล้วเพิ่มราคาสำหรับคุณ 760 00:37:31,735 --> 00:37:33,520 >> ผู้ชม: มันก็จะเพิ่มราคา รอบสิ่งที่คุณใส่เข้ามา 761 00:37:33,520 --> 00:37:34,210 >> LUCIANO Arango: ใช่ 762 00:37:34,210 --> 00:37:37,190 ดังนั้นปัญหากับที่เป็นที่ - 763 00:37:37,190 --> 00:37:38,445 ฉันจะใช้เวลาดูที่ - 764 00:37:38,445 --> 00:37:41,390 >> ผู้ชม: มันจะได้รับวิธี คำสั่ง SQL หรือไม่ 765 00:37:41,390 --> 00:37:44,690 หรือผมคิดว่ามันอาจจะเป็น เช่นคำพูดที่เลือก 766 00:37:44,690 --> 00:37:49,030 >> LUCIANO Arango: ใช่คุณต้อง คำพูดที่ดีสำหรับ SQL 767 00:37:49,030 --> 00:37:52,900 >> ผู้ชม: ไม่มี แต่เซิร์ฟเวอร์ ไม่ได้สำหรับคุณ 768 00:37:52,900 --> 00:37:54,460 >> LUCIANO Arango: คำพูดเล็ก ๆ เหล่านี้ ที่นี่คำพูดเล็ก ๆ น้อย ๆ เหล่านี้หรือไม่ 769 00:37:54,460 --> 00:37:55,670 >> ผู้ชม: ใช่ 770 00:37:55,670 --> 00:37:56,450 >> LUCIANO Arango: ใช่ 771 00:37:56,450 --> 00:37:59,860 ปัญหาคือว่าคุณสามารถ แสดงความคิดเห็นออกล่าสุด - 772 00:37:59,860 --> 00:38:05,770 ตกลงดังนั้นสิ่งที่ฉันสามารถทำได้คือฉันสามารถแสดงความคิดเห็น ออก - ดังนั้นลองมาดูที่ - ให้ฉัน 773 00:38:05,770 --> 00:38:07,920 เปิดไฟล์แก้ไขข้อความ 774 00:38:07,920 --> 00:38:09,610 ผมขอเพียงแค่แก้ไขนี้ ที่นี่โดยตรง 775 00:38:09,610 --> 00:38:19,510 776 00:38:19,510 --> 00:38:20,400 ตกลง 777 00:38:20,400 --> 00:38:23,710 พวกคุณจะเห็นว่าอย่างชัดเจน 778 00:38:23,710 --> 00:38:29,730 สิ่งที่ฉันสามารถทำได้คือฉันสามารถแสดงความคิดเห็น ออกคนสุดท้าย 779 00:38:29,730 --> 00:38:32,190 นี้จะแสดงความคิดเห็นออกมาอย่างใดอย่างหนึ่งที่ผ่านมา 780 00:38:32,190 --> 00:38:36,760 แล้วฉันจะใส่ที่นี่ใส่ สิ่งที่เป็นอันตรายทั้งหมดที่นี่ 781 00:38:36,760 --> 00:38:39,840 782 00:38:39,840 --> 00:38:42,630 >> เพื่อให้ผู้ใช้จริง ป้อนใช่ไหม 783 00:38:42,630 --> 00:38:45,230 ผู้ใช้ไม่ได้ป้อน สิ่งที่ใช่มั้ย 784 00:38:45,230 --> 00:38:47,430 นี่คือสิ่งที่ผมจะใส่เป็น ผู้ที่พยายามที่จะได้รับภายใน 785 00:38:47,430 --> 00:38:49,430 ฉันจะใส่ใน - 786 00:38:49,430 --> 00:38:59,290 787 00:38:59,290 --> 00:39:00,180 ที่เครื่องหมายคำพูดหนึ่ง 788 00:39:00,180 --> 00:39:01,760 มันเป็นเพียงไก่เขี่ยโดยไม่ได้ตั้งใจ 789 00:39:01,760 --> 00:39:15,080 790 00:39:15,080 --> 00:39:19,400 และแล้วสิ่งที่รหัส คือจะทำ - 791 00:39:19,400 --> 00:39:20,190 ขอโทษที่ฉันจะใช้เวลานี้ออก 792 00:39:20,190 --> 00:39:22,170 รหัสอะไรที่เป็นไปที่จะทำคือ มันจะเพิ่มเป็นครั้งแรก 793 00:39:22,170 --> 00:39:24,030 เครื่องหมายคำพูดที่นี่ 794 00:39:24,030 --> 00:39:26,040 และมันจะเพิ่มที่ผ่านมา เครื่องหมายคำพูดเช่นกัน 795 00:39:26,040 --> 00:39:29,350 796 00:39:29,350 --> 00:39:33,270 >> และก็ยังจะเพิ่ม ที่ผ่านมาเครื่องหมายคำพูดสุดท้าย 797 00:39:33,270 --> 00:39:37,380 แต่ฉันแสดงความคิดเห็นคำพูดเหล่านี้ เครื่องหมายออกเพื่อให้พวกเขาไม่ได้ทำงาน 798 00:39:37,380 --> 00:39:41,440 และฉันจบคำพูดนี้ ทำเครื่องหมายที่นี่ 799 00:39:41,440 --> 00:39:42,290 คุณเข้าใจไหม 800 00:39:42,290 --> 00:39:43,750 คุณหายไป 801 00:39:43,750 --> 00:39:45,880 ฉันสามารถแสดงความคิดเห็นคำพูดสุดท้าย เครื่องหมายและดูแล 802 00:39:45,880 --> 00:39:46,680 เครื่องหมายใบเสนอราคาครั้งแรก 803 00:39:46,680 --> 00:39:47,350 >> ผู้ชม: และจบเพียงแค่ คนแรก 804 00:39:47,350 --> 00:39:47,480 >> LUCIANO Arango: ใช่ 805 00:39:47,480 --> 00:39:48,400 และเพิ่งเสร็จสิ้นเป็นคนแรก 806 00:39:48,400 --> 00:39:48,790 ใช่ที่เหมาะสม 807 00:39:48,790 --> 00:39:50,800 นั่นคือสิ่งที่ฉันจะทำ 808 00:39:50,800 --> 00:39:51,890 ใช่ 809 00:39:51,890 --> 00:39:52,980 คำถามอื่น ๆ ที่ต้องการที่ 810 00:39:52,980 --> 00:39:54,230 นั่นเป็นคำถามที่ดี 811 00:39:54,230 --> 00:39:56,960 812 00:39:56,960 --> 00:39:59,790 ไม่ใช่อาจจะ 813 00:39:59,790 --> 00:40:06,150 หวังว่าพวกคุณจะเรียงลำดับของการให้ ความรู้สึกมากขึ้นเมื่อคุณศึกษา SQL และ 814 00:40:06,150 --> 00:40:06,650 สิ่งที่ต้องการที่ 815 00:40:06,650 --> 00:40:07,980 แต่ให้แน่ใจว่าคุณ - 816 00:40:07,980 --> 00:40:10,340 ให้เครื่องมือเหล่านี้ในนาฬิกา 817 00:40:10,340 --> 00:40:12,760 ขออภัยเครื่องมือเหล่านี้ที่นี่ 818 00:40:12,760 --> 00:40:14,200 เครื่องมือเหล่านี้จะดี 819 00:40:14,200 --> 00:40:17,190 ถ้าใครมีข้อสงสัยใด ๆ คุณยังสามารถส่งอีเมลฉัน 820 00:40:17,190 --> 00:40:19,020 นี่คืออีเมล์ปกติของฉัน 821 00:40:19,020 --> 00:40:25,015 และนี่คืออีเมลที่ทำงานของฉันที่ คือเมื่อผมทำงานที่ SEAS 822 00:40:25,015 --> 00:40:26,040 >> ตกลงขอบคุณ 823 00:40:26,040 --> 00:40:26,740 ขอบคุณครับ 824 00:40:26,740 --> 00:40:27,860 คุณจะดีไป 825 00:40:27,860 --> 00:40:28,830 คุณไม่จำเป็นต้องอยู่ที่นี่ 826 00:40:28,830 --> 00:40:29,570 อย่าตบมือ 827 00:40:29,570 --> 00:40:30,170 ที่แปลก 828 00:40:30,170 --> 00:40:31,420 ตกลงขอบคุณครับ 829 00:40:31,420 --> 00:40:32,320