Luciano ARANGO: OK, guys. Ang pangalan ko ay Luciano Arango. Ako ay isang sopomor sa Adams House. At kami ay pagpunta sa ay pakikipag-usap tungkol sa seguridad web aktibong pagtatanggol. Kaya gumana ba ako para sa Opisina ng Impormasyon Seguridad sa mga dagat. At sa ibabaw ng tag-init, interned ako sa SeguraTec, na noon ay isang impormasyon seguridad kumpanya na hinahain para sa Bank of Columbia. Iyan ay halos kung saan ko natutunan kung ano ang aming natutunan ko sa ngayon. 

At kaya ang ilan sa mga materyales na hindi namin pagpunta sa pumunta sa paglipas ng ngayon, mayroon kaming hindi talaga usapan tungkol sa klase. Ngunit kami ay sa lalong madaling panahon. Ito ay magiging tulad ng SQL, JavaScript. At hindi na namin hindi talaga nawala na sa paglipas ng ito. Kaya maaari kong uri-uriin ng flight sa pamamagitan nito, at hindi mo maaaring kilala ilang mga bagay. Ngunit sa lalong madaling panahon, matutunan mo ito. At magkakaroon ito gawin ang lahat ng kahulugan. Gayundin isa pang bagay - manatili etikal. Ang ilan sa mga bagay na malaman mo, mo maaaring gamitin sa di-etikal na paraan. 

Kung sa iyo ito, subukan ang tiyak. Talagang mag-udyok ko sa inyo guys upang subukan ang iyong sariling mga server, subukan pagpunta sa loob ng mga ito. Tingnan kung maaari mong tumagos ang mga ito, kung maaari kang makakuha sa loob ng mga ito. Ngunit hindi ang sinuman ay. Cops ay hindi talagang gusto ang joke at ang buong, inilalagay namin ito dito. Kami ay ang panggugulo sa paligid. Makakuha ng mga ito ay talagang galit. 

Kaya magtungo sa ibabaw sa website na ito. Mayroon akong ito binuksan dito mismo. Ito ay isang website, at ito May grupo ng mga halimbawa. Ano ang mangyayari ay na ang unang halimbawa ay isang uri ng pagpunta sa maging mas madaling kaysa sa huling halimbawa sa isang katuturan na ang unang halimbawa ay lubos na hindi secure. At ang huli ay isang uri ng kung ano ang isang normal na tao seguridad web gagawin. Ngunit maaari ka pa ring pag-uuri ng makakuha ng paligid na iyon. At kami ay pagpunta sa tumututok sa isa at dalawang, halimbawa isa at dalawa. 

OK. Magsimula tayo sa scripting cross-site Hayaan. Ang JavaScript ay tumakbo sa browser ng kliyente. Ito ay isang programming language na ginagamit mo upang tumakbo sa mga browser ng kliyente kaya hindi mo na kailangang i-update ang website at bumalik sa server. Mayroon itong tumatakbo ka. Halimbawa, Facebook, wala kang upang i-reload ang website para sa mga bagong katayuan update upang makabuo. Ito ay gumagamit ng JavaScript upang makabuo ng lahat ng mga bagay na ito. Kaya maaari naming mag-iniksyon ng nakahahamak na JavaScript papunta sa mga website. At na paraan, kapag nagpapadala kami ng isang link sa isang tao, maaari naming uri ng ipadala ito sa ang ilan sa mga code na nais naming. 

Mayroong paulit-ulit at mabuway JavaScript - paulit-ulit at mabuway cross-site scripting, ibig sabihin ko. At ang pagkakaiba sa pagiging na paulit-ulit ay JavaScript na magiging naka-save na sa website. At mabuway ay magiging JavaScript na ang talagang mangyari lamang nang isang beses. Kaya tingnan natin ang isang halimbawa ipaalam tunay mabilis. 

OK. Kaya website na ito, simple, walang mangyayari dito. At kami ay pagpunta sa subukan upang magpasok ng ilang JavaScript. Kaya ang paraan ng aming magsimulang pagsusulat ng JavaScript ay magsisimula kami sa simula script. At isara namin ito na may script. Lamang kami ng pagpunta sa ilagay ang isang mensahe - Kukunin ko ipakita sa iyo - alerto. Alert ay isang pagpapaandar na JavaScript Ginagamit upang ipakita ang isang bagay. Kaya ipaalam subukan ni ito real mabilis. Pupunta ako sa pumunta, kumusta alerto. Well, nakalimutan ko ang ilalagay - OK. Kaya na simple. 

Naglaan na kami ng JavaScript sa isang website, at ito ay dumating up. At ito uri ng nangyayari lamang sa aming website, i-right? Kaya tila tulad ng ito ay hindi isang problema, tama? Ibig kong sabihin, paano maaaring gamitin sa iyo ito maliciously? Kaya ang paraan na gawin mga hacker talaga ito simple. Ang mga ito ay pagpunta sa grab ito. Maaari silang magpadala ang link na ito sa iyo. Kung magpapadala ako sa ang link na ito sa iyo sa ngayon, at buksan up mo ito, ito ay pagpunta sa sabihin, kumusta, na sinasabi na ang aking website ay nagsasabi sa iyo kumusta. 

At kaya kung ako ay upang sabihin ng isang bagay ng isang Medyo mas matalino, kung hilahin ko up ng isang JavaScript function na ako uri ng na sinulat ni - ngunit kung pagtingin mo dito, magpapadala ako pumunta Sa paglipas ng ito bago ko na sinulat ito. Kaya kami ay pagpunta sa set ng pag-timeout. Kami ay pagpunta sa maghintay para sa ng ilang segundo. Sa katunayan, kami ay pagpunta sa maghintay para sa, kung Hindi ako nagkakamali, limang segundo. Ito napupunta sa millisecond. At pagkatapos ay kung ano kami ay pagpunta sa gawin ay hindi namin pagpunta upang alertuhan na ang pag-login Nag-time out na mag-log pabalik in At kami ay pagpunta upang baguhin ang lokasyon sa ibang lokasyon. 

Kaya kung magpapadala ako ng website na ito sa isang tao, ang mga ito ay pagpunta sa maging nagba-browse sa paligid, kalmado. Walang bagay ang nangyayari. At sa limang segundo, ay ito pagpunta sasabihin, nag-time out ang iyong login. Mangyaring mag-log pabalik in Sa sandaling nilang i-click ang OK, ako ng pagpunta sa magdadala sa kanila sa isa pang website. Siguro, ang website pupuntahan maging katulad sa website na sila ay in bago. At ang mga ito ay pagpunta sa mag-log kanilang mga kredensyal sa aking website sa halip ng kanilang website. 

At sa gayon ay maaari ba akong magpadala ng mga tao sa isang mag-email na may link na ito. Sinasabi ko, oh, narito ang isang link. Ito ay isang bangko, halimbawa. Sinasabi ko, narito, pumunta sa link na ito. At sa sandaling ipadala nila ito, ang mga ito ay pagpunta sa ay nagba-browse sa paligid. Maaari kong maghintay para sa 15 segundo, 20 segundo, at pagkatapos ay i-pop na mangyaring mag-log in muli muling mag-sign on. Ikaw guys maaari itong subukan gamit ang Marami pang mga bagay. Ito ay kumplikado dahil ikaw guys Hindi nakita ang JavaScript, kaya maaari mong Hindi kilala ang ilan function. Ngunit ang kailangan mo lang gawin ay pagsisimula may script, nagtatapos sa script. At maaari mong ilagay kahit ano sa gitna. 

Alert ay isang pagpapaandar, maghintay para sa. Lokasyon Window dadalhin ka sa isang bagong lokasyon. Ngunit maaari mong gawin ito sa marami pang iba. At gayon ang ideya ay na lubos naming na-off. Kung pumunta ako sa halimbawa ng dalawa, at ako ilagay sa ang parehong code, ito ay hindi pagpunta sa gumana. Kaya sa pag-print ito lahat out dahil kung ano ang website na ito ay orihinal ginagawa ay kung ko bang ilagay ang anuman dito, Makikita ito i-print ito dito mismo. Kaya ito ay hindi nagpi-print ng anumang bagay out. Halimbawa ito ay aktwal na pagsusuri upang makita kung ang script ay doon. Kaya oo, sige. Tanungin ako. 

Madla: Ay hindi pagpapadala isang makakuha o mag-post kahilingan? 

Luciano ARANGO: Oo. sila pagpapadala ng isang kahilingan get. 

Madla: Ito ay? 

Luciano ARANGO: Oo. Gayundin browser gamitin ang mga kahilingan sa post na ito. Ngunit sinusubukan ko upang ipakita ang mga kahilingan get upang maaari naming makita kung ano ang talaga nangyayari. At kaya kung tinitingnan namin ang code na ito - kaya hindi ito ay gumagana na ngayon. At kung tinitingnan namin ang sa ang code na ito, ito ay pagpunta sa maging sa halimbawa dalawa. Ano ang ginagawa ng taong ito, ang tao sa singil ng browser na ito - buksan up, OK - ay pinapalitan ang salitang script. Ito ay PHP, kung saan ka guys maaari nakakita ka ng kaunting pa. 

Lamang Siya'y pinapalitan ang salita script na may pangalan. Kaya gayunpaman, kung pumunta ako nang mas maaga at lamang ilagay sa - kung grab ko ang aking code muli, at ako pupunta upang baguhin ito lamang ilang sandali. Sa halip ng script, pupuntahan ko baguhin ito para sa script na may malaking titik R. At kami ay pagpunta upang makita kung gumagana ang code na ito. Kaya hindi ito i-print ito, na kung saan ay isang magandang sign. At sana sa dalawang higit pang mga segundo, ito ay pagpunta sa pop up. 

Nag-time out ang iyong login. OK. Ayos lang iyan. Kaya naghahanap ng mga script ng lakas hindi palaging gumagana. Ang taong - maaari itong ring tingnan para sa script na uppercase, script lowercase, STR kaso ihambing, siguraduhin na ang mga ito ay ang parehong. Ngunit maaari pa ring gawin ang mga Hacker uri ng kung ano ginawa namin sa Vigenere kapag kami inilipat likod ng ilang mga character, sumulong. At ito maaaring malaman kung paano ilagay ang script bumalik sa doon kaya maaari itong mag-iniksyon na script. 

Kaya kung ano ang nais mong gamitin ay htmlspecialchars sa protektahan ang iyong website. At ano ang ginagawa ay ito ay ginagawang Siguraduhin na kung ano ilagay mo sa - halimbawa, mga panipi o ito mas malaki kaysa sa o mas mababa sa - ay pinalitan ng isang bagay na hindi magiging - hayaan mo akong mag-zoom in dito - ang aktwal na ampersand. Ito ay palitan ang mga espesyal na HTML mga character na aming makita kapag kami ay pakikipag-usap tungkol sa - oh, ito ay pagpunta sa tumagal bumalik sa akin sa - mga character dito mismo. 

Maging tanda ng mga na may isang bagay ay paparating. Para sa mga HTML, na nagsisimula bracket Sinasabi sa amin na may isang bagay Kaugnay na HTML ay paparating na. At gusto naming mapupuksa na. Hindi namin nais na ilagay ang HTML sa isang website.k Hindi namin gusto ang user upang maging magagawang upang ilagay ang isang bagay sa kanilang website na maaaring makaapekto sa kanilang mga website, tulad ng script o HTML o isang bagay tulad na. Ano ang mahalaga ay na kayo sanitize ang pag-input ng user. 

Kaya ang mga gumagamit ay maaari input maraming bagay. Maaari niya input ng grupo ng mga bagay-bagay na subukan upang linlangin ang iyong browser sa pa rin tumatakbo ang code na ito sa script. Ano ang gusto mong gawin ay hindi lamang tumingin para sa script, ngunit tumingin para sa lahat ng bagay na maaaring maging nakakahamak na. At htmlspecialchars ay gawin iyon para sa iyo, kaya hindi mo na kailangang upang mag-alala tungkol dito. Ngunit huwag subukan na gawin sa pamamagitan ng iyong sarili uri ng gamit ang iyong sariling code. Malinaw sa XSS ba lahat? 

OK. Sabihin pumunta sa SQL iniksyon. Kaya SQL iniksyon ay marahil ang bilang isa kahinaan sa iba't-ibang mga website. Ibig kong sabihin, isang magandang halimbawa - Lamang ako ay nagsasaliksik pinakamalayo para sa bagay na ito. At nakita ko na ito kahanga-hangang artikulo, kung saan Nakita ko na Harvard ay nilabag, ay na-hack. At ako ay nagtataka, mahusay, paano gagawin nila ito? Harvard ang pinaka-kahanga-hangang, karamihan secure ang unibersidad kailanman. Mag-right? Well, upang labagin ang mga server, ang mga hacker na ginamit ng diskarteng tinatawag na SQL iniksyon. 

Kaya nangyari ito sa isang araw-araw na batayan. Mga Tao kalimutang gumawa ng account para sa SQL iniksyon. Harvard gumagana. Sa tingin ko ang sinasabi nito dito, Princeton, Stanford, Cornell. Kaya kung paano ginagawa namin - kaya kung ano ito SQL pang-iniksyon na nagdadala sa lahat ng mga down na mga tao? OK. Kaya SQL ay isang programming language na ginagamit namin upang ma-access ang database. Ano ang ginagawa namin ay piliin namin - kaya kung ano ang bumabasa sa ngayon ay piliin ang ang lahat ng bagay mula sa talahanayan. 

SQL, ito ang mga pagbabago sa mga database na may mga table na puno ng impormasyon. Kaya piliin ang lahat ng bagay mula sa mga gumagamit kung saan ang pangalan ay username. Mag-right? Sapat Simpleng. Ang ideya ng SQL iniksyon ay na namin isingit ang ilang mga malisyosong code na gagawin linlangin ang server sa pagpapatakbo ng isang bagay iba't ibang kaysa sa kung ano ito Orihinal na ay tumatakbo. Kaya sabihin nating para sa username, naming ilagay sa o katumbas ng 1 1. Kaya ilalagay sa kami o 1 ay katumbas ng 1. Ang paraan ay ito basahin ngayon ay piliin ang mula sa mga gumagamit, ang lahat mula sa mga user - ito ay ang lahat ng bagay - kung saan pangalan ay username, ngunit username ay o 1 ay katumbas ng 1. 

Kaya pangalan ay wala o 1 ay katumbas ng 1. 1 ay katumbas ng 1 ay palaging totoo. Kaya ito ay palaging bumalik impormasyon mula sa mga gumagamit. OK. Hindi namin kailangang magkaroon ng tamang username. Maaari naming magkaroon ng anumang bagay na gusto namin, at ito ay bumalik impormasyon na kailangan namin. Tingnan natin ang isa pang halimbawa. 

Kung piliin namin ang lahat mula sa gumagamit, kung saan pangalan ay drop mga gumagamit talahanayan - kaya kung ano sa tingin mo ang kaloobang ito'y gawin kung ilalagay ko sa username bilang mga user drop talahanayan? Kahit sino ay may isang ideya? Oo. 

Madla: Ito ay pagpunta upang sabihin sa ito upang dump ang lahat ng mga talahanayan. 

Luciano ARANGO: Ito ay pagpunta sa sabihin sa amin sa dump lahat ng bagay sa website, ang lahat ng bagay sa database. At kung ano ang ginagamit ng mga tao na ito para sa - kaya Pupunta ako upang ipakita sa iyo guys. Hindi pinagana ko pag-drop ang mga talahanayan dahil ako ay hindi mo gusto guys i-drop ang aking mga talahanayan. Hayaan ang kumuha ng isang pagtingin sa ito. Kaya pulls lamang ito up ang impormasyon para sa isang tiyak na tao. Kaya paano ko malalaman namin kung ito apektado ng SQL iniksyon. Kami ay pagpunta sa suriin ang tunay mabilis kung maaari naming ilagay ang isang bagay - hayaan mo akong kopyahin ang code na ito. Pupunta ako sa pumunta sa paglipas ng ito sa isang segundo. Pupunta ako upang ilagay ang ugat at ang 1 ay katumbas ng 1. 

Ito dito mismo, ito pag-sign porsiyento 23 - ano ito ay tunay na, kung ako tumingin dito mismo sa - ang paraan ng HTML tumatagal sa mga numero, kung ikaw bistahan kapag ko bang ilagay sa isang puwang dito - kung ako ay upang espasyo ng isang bagay dito, ito ay nagbabago dito sa isang porsiyento 2. Huwag makita mo guys ito dito mismo kapag ko bang ilagay sa isang espasyo? Ang paraan ito gumagana ay na maaari mo lamang magpadala ng mga halaga ng ASCII sa pamamagitan ng HTML. Kaya ito ay pumapalit sa, halimbawa, isang space na may porsiyento 20. Hindi ko alam kung ikaw guys nakita na bago. 

Ito ay pumapalit sa isang hashtag may porsiyento 23. Kailangan namin ng isang hashtag sa dulo ng o pahayag upang maaari naming sabihin ang database upang kalimutan si out ito huling tuldok-kuwit sa dulo. Gusto naming ito upang hindi isipin ang tungkol na. Gusto lang namin ito para tumakbo ang lahat ng bagay na mayroon kami sa simula pa at magkomento na out. Hayaan ang kumuha ng isang pagtingin sa ito. 

Kaya kung ako ay upang ilagay ang isang bagay na mali - sabihin nating halimbawa, ko bang ilagay ang 2 Kapantay 1, hindi ito magbigay sa akin ng kahit ano. Kapag ko bang ilagay sa 1 ay katumbas ng 1, at ginagawa nito magbalik ng bagay, ito ay nagsasabi sa akin na ito ay mahina laban sa isang SQL iniksyon. Alam ko na ngayon na kung ano ang Naglagay ako pagkatapos na ito - at halimbawa, drop Tables o ang isang bagay tulad na ay talagang gumagana. Alam ko ito mahina laban sa SQL iniksyon dahil alam ko na sa ilalim ng hood, ito ay pagpapaalam sa akin gawin ang 1 ay katumbas ng 1 bagay. OK? 

At kung tinitingnan namin ang mga iba pang mga bago, numero ng dalawa at tatlong numero, ito ay pagpunta sa gawin ang isang maliit na bit higit pa ng pagsuri sa ilalim ng hood ng kung ano ito ay. Kaya sinuman paganahin ang drop kahit ano pa o sinubukan? Huwag mo guys uri ng pang makakuha ng SQL? Dahil alam ko ka guys ay may hindi Nakita ito pa, kaya uri ng nakalilito para sa iyo guys. Hayaan ang kumuha ng isang hitsura. Kaya kung ano ang mga paraan upang maiwasan ang SQLI? OK. Kaya ito ay talagang mahalaga dahil ikaw gusto talagang guys upang maiwasan ang ito sa iyong mga website. 

Kung hindi, ang lahat ng iyong mga kaibigan ay pumunta sa biruin mo kapag i-drop sila lahat ang iyong mga talahanayan. Kaya ang ideya ay na ba ninyo itong mga SQL sa isang tiyak na paraan, samantalang ang tumugma sa iyo kung ano ang input ng user sa isang tiyak na string. Kaya ang paraan ito gumagana sa iyo ihanda ang database. Piliin mong pangalan, kulay, at calories mula sa isang database na tinatawag na prutas. At pagkatapos ay kung saan calories ay mas mababa kaysa, at inilalagay namin ang isang tandang pananong doon sinasabi namin sa pagpunta sa input isang bagay sa isang segundo. 

At kulay katumbas, at inilalagay namin ang isang tanong mark sinasabi namin sa pagpunta sa input ng isang bagay sa isang segundo pati na rin. OK? At pagkatapos ay isakatuparan namin ito, paglalagay ng sa 150 at pula. At ito ay suriin upang sigurado na ang dalawang - ito array ay suriin na ang mga dalawa ay isang integer at na ito ay isang string. Pagkatapos ay pumunta kami, at makuha ang mga namin lahat, inilalagay namin ito ng pula. Iyon ay nangangahulugang ang fetch namin ang lahat. Ang ibig sabihin nito ang aktwal na namin execute ang SQL statement at ilagay ito pabalik sa pula. Narito gawin namin ang parehong, ngunit namin gawin ang pareho sa dilaw. At fetch namin ang lahat. 

At sa paraang ito, pigilan namin ang user mula sa pagiging magagawang i-input ng isang bagay na ay hindi kung ano ang aming tinukoy, ang isang string o isang integer, halimbawa. Ako ay pakikipag-usap ng mas maaga ang tungkol sa pag-asa sa iba. Kapag nag-guys simulan ang iyong proyekto, ikaw ay pinaka-tiyak pagpunta sa gamitin bootstrap o isang bagay na katulad. Nakarating na guys kailanman ginamit Wordpress? Marahil mo guys nagamit Wordpress pinaka-malamang. Kaya ang problema sa paggamit bagay ng ibang mga tao - Lamang ako ng pagpunta sa Google tunay mabilis Wordpress kahinaan. 

Kung hilahin ko ito hanggang ngayon - Literal na ako ginawa ng dalawang segundo Google. Maaari naming makita na Wordpress - ito ay may petsang bilang Septiyembre '12. 26 ay na-update. Ang default na configuration ng Wordpress bago 3.6 ay hindi maiwasan ang mga ilang mga pag-upload, na maaring gawing mas madali para sa pag-atake scripting cross-site. Kaya isang mabilis na kuwento, sa sandaling kami ay nagtatrabaho may - sa gayon ako ay, sa tag-araw, nagtatrabaho sa isang internship. At kami ay nagtatrabaho sa isang uri ng tulad ng isang kumpanya malaki credit card. 

At umaasa sila sa isang bagay na tinatawag na - Hindi ko alam kung ikaw guys kailanman na-play may isang produkto na tinatawag na Joomla. Joomla ay isang produkto na ay ginagamit upang control - isang uri ng katulad sa Wordpress, na ginagamit upang bumuo ng mga website. Kaya nagkaroon sila ng kanilang website nagtatrabaho sa Joomla. Ito ay talagang isang credit card kumpanya sa Colombia. Kukunin ko sa iyo sa kanilang website real mabilis. 

Kaya ginamit nilang Joomla. At hindi sila ay na-update Joomla sa pinakabagong karagdagan. At kaya kapag tayo ay ng pagtingin sa kanilang code, nagawa naming upang aktwal na pumunta sa loob ng kanilang code at magnakaw ng lahat ng mga impormasyon ng credit card na sila ay nagkaroon, ang lahat ng mga numero ng credit card, ang mga pangalan, mga address. At ito ay isa lamang - at ang kanilang mga code ay perpektong fine. Nagkaroon Sila ay mahusay na code. Iyon ay ang lahat ng seguridad. Naka-check ang mga ito ang lahat ng mga database. Ginawa bang cross-site na Sila scripting ay pinong. 

Ngunit ginagamit ang mga ito isang bagay na hindi na-update, na noon ay hindi secure. At nang sa gayon ay humantong ang mga ito sa - kaya guys ay talagang pagpunta sa gumamit ng iba pang code, Framework ng ibang tao ng mga tao upang bumuo ng up ng iyong website. Tiyakin na ang mga ito ay ligtas dahil kung minsan ito ay hindi sa iyo, ang isa na gumagawa ng isang pagkakamali. Ngunit may ibang tao gumagawa ng isang pagkakamali, at pagkatapos mong matumba dahil sa iyon. 

Mga Password at PII. Kaya mga password. OK. Hayaan ang kumuha ng isang pagtingin sa mga password tunay mabilis. OK. Mangyaring sabihin sa akin na ang lahat ay gumagamit ng secure na - Ako umaasa sa lahat ng tao dito ay gumagamit ng secure na password. Lang ako sa pagpapaalam na in bilang isang pagkukunwari. Kaya mo guys ay talagang pagpunta sa mag-imbak ng mga password para sa iyong website. Ikaw ay pagpunta sa gawin ang isang bagay tulad ng isang pag-login o ang isang bagay tulad na. Ano ang mahalaga ay ang hindi nag-iimbak mga password sa plain text. Ito ay lubos na mahalaga. Hindi mo nais na mag-imbak ng password sa plain text. 

At talagang hindi talaga gusto mag-imbak ito sa isang one way hash. Kaya kung ano ang isang one way hash ay na kapag nag- makabuo ng isang salita, kapag mong ilagay ito salita sa isang hash, habilin ito bumuo ng pabalik ilang mga uri ng misteriyoso mensahe o misteriyoso hanay ng mga key. Kukunin ko ipakita sa iyo ang isang halimbawa. Pupunta ako sa hash sila salita password1. Kaya MD5 Hash ay pagpunta upang bumalik sa akin isang uri ng kakaiba impormasyon. 

Ang problema ay na ang mga tao out doon na bang pumunta sa mga website ay may na may korte out-uri ng lahat ng mga MD5 hashes. Ano ang nila nakaupo sila pababa sa kanilang mga computer, at sila na-hash ang bawat solong posibleng salita out doon hanggang Nakakuha sila uri ng kung ano ito ay. Kung ako ay upang tumingin ito up - Lamang grabbed ko ito hash. Kung nakukuha ko ito hash mula sa - kung pumunta ako sa isang website, at hanapin ko ito hash dahil kumuha ako sa mga database, at tumingin up ko ito, may isang taong na may korte ito out para sa akin. 

Oo. Kaya mga tao nakaupo pababa, at kahit anong MD5 hash na inilagay mo sa, sila ay pagpunta sa bumalik sa iyo ng isang bagay na isang salita. Kung hash ako ng isa pang salita, tulad ng - Hindi ko alam kung - trees2. Hindi ko nais na maging nabigo sa pamamagitan ng aking mga paghahanap sa Google. May ito ay, trees2. Kaya ng maraming mga website gumamit pa rin MD5 hash. Sabi nila, oh, ito ay ligtas. Hindi kami nag-iimbak ng sa plain text. Mayroon kaming na ito MD5 hash. At ang lahat ng kailangan kong gawin ay lamang Google ang numero. 

Hindi ko kahit na magkaroon upang makalkula ang sarili ko. Maaari ko pa lang sa Google ito, at may isang taong na ginawa ito para sa akin. Narito ang isang bungkos ng mga ito. Narito ang isang bungkos ng mga password. Kaya Talagang huwag gamitin ang MD5 hash, dahil ang kailangan mo lang gawin ay ang Google ito. Kaya kung ano ang gusto mong gamitin sa halip? OK. Isang bagay na tinatawag na pagbuburo. Kaya kung ano ang pagbuburo ay - huwag mo guys tandaan kapag kami ay pakikipag-usap tungkol sa random sa - Hindi ako sigurado kung ano pset ito ay - ay ito pset doon o apat? 

Kami ay pakikipag-usap tungkol sa paghahanap ang karayom ​​sa mandala ng dayami. At sa pset, sinabi nito na maaari mong talagang malaman kung anong random bumubuo dahil may na-na nagpatakbo random na isang milyong beses at lamang uri ng nabuo kung ano ang kanilang makabuo. Ano ang gusto mong gawin ay ilagay sa isang input. Kaya iyon ang pagbuburo uri ng ay. Na may korte nila kung ano ang pagbuburo nagbabalik para sa bawat trabaho. 

Kaya kung ano ang ginagawa pagbuburo ay maglagay sa iyo sa isang asin. Ilagay mo sa isang tiyak na salita. At ito ay hash na salita depende sa kung ano ang inilagay mo sa dito. Kaya kung hash ko ang isa password na may ito pangungusap, ito ay pagpunta sa hash naiiba kung hash ko password1 na may ibang pangungusap. Ito uri ng mga nagbibigay ito sa isang lugar sa simulan para sa hashing upang magsimula. Kaya ito ay mas mahirap upang makalkula, ngunit ikaw Maaari pa rin compute ito, lalo na kung gumamit ka ng isang masamang asin. 

Mga tao pa rin may korte out karaniwang asing-gamot at may korte out ano na ito ay. Random asing-gamot ay magkano ang mas mahusay, ngunit ang pinakamahusay na paraan ay ang gamitin isang bagay na tinatawag na silid sa ilalim ng lupa. At kung ano silid sa ilalim ng lupa ay nagbibigay-daan sa iyo upang huwag - kaya ang mga function ay na binuo para sa iyo. Maraming mga tao ang kalimutan na, o sila kalimutan na gamitin ito. Ngunit kung tumingin up ko silid sa ilalim ng lupa PHP, silid sa ilalim ng lupa na nagbabalik ng hash string para sa akin. At talagang asing-gamot ito maraming beses at hashes ito maraming beses. 

Kaya namin Hindi mo na kailangang gawin ito. Kaya ang kailangan mo lang gawin ay ipadala ito sa silid sa ilalim ng lupa. At ito ay lumikha ng isang mahusay na hash na walang mo na kinakailangang mag-alala tungkol sa asin o kahit ano. Dahil kung ikaw ay upang asin ito, mayroon kang matandaan kung ano ang asin na ginamit mo dahil kung hindi, hindi ka maaaring makakuha ng iyong password bumalik nang walang asin na iyong ginamit. OK. 

At din ang personal na makikilalang impormasyon. Kaya social security, credit card - na medyo halata. Ngunit minsan ang mga tao kalimutan ang paraan nito mga gawa ay, kung gaano karaming impormasyon ang gagawin mo talagang kailangan upang mahanap ang ilang mga isang tao? May isang tao na ginawa ng isang pag-aaral tungkol sa ito isang paraan pabalik. At iyon ay tulad ng, kung mayroon kang isang buong pangalan, hindi mo mahanap isang tao na madali. Ngunit ano kung mayroon kang isang buong pangalan at ang kanilang mga petsa ng kapanganakan? Iyan ba ang sapat na upang kilalanin isang tao na partikular na? 

Paano kung mayroon kang kanilang mga pangalan at ang address ng kalye na nakatira sila sa? Sapat na upang mahanap ang isang tao ba iyon? At iyon kapag tanong nila, ano ang personal na makikilalang impormasyon, at ano ang dapat mag-alala ka tungkol sa hindi pinaaalam ang? Kung magbibigay sa iyo ang layo ng personal na makikilalang impormasyon na ang isang tao ay nagbibigay sa iyo, posible mong mademanda. At kami talagang ayaw na. 

Kaya kapag naglalagay ka ng iyong website out, at ikaw ay isang talagang cool na disenyo, sana ay iyong ginawa isang kahanga-hangang huling proyekto. Ang anumang ka uri ng mga nais na ilagay ito out doon. Gusto mong siguraduhin na kung ano ang ka pagkuha mula sa gumagamit, kung ito ay personal na makikilalang impormasyon, mo nais upang makatiyak na iyong pagiging talaga ingatan ito. 

Shell iniksyon. OK. Shell iniksyon ay nagbibigay-daan sa nanghihimasok sa makakuha ng access sa iyong aktwal na command line sa iyong server. At kaya siya ay magagawang mapatakbo ang code na hindi mo makokontrol. Hayaan ang tumagal ng isang halimbawa ng ito magandang string dito mismo. Kung namin pumunta sa website muli, ako pagpunta sa pumunta sa code iniksyon. Kaya kung ano ang ginagawa ay - ito ay din kung ano ang kami ay tumitingin sa bago. Kami ay pagpapaalam ang gumagamit ilalagay sa kahit anong Nais ni siya, at ito ay i-print out kahit anong gusto mo. 

Kaya Pupunta ako upang ilagay ang isang tawag. Ano ang ginagawa ay - ito ay magsimula sa pamamagitan ng concatenating. Kaya ito ay hayaan mo akong tumakbo kahit anong Command running ng tao bago at ang aking utos. At ako nagpapatakbo ng isang command system. At ang mga huling string ay - tandaan ano usapan ko sa iyo guys tungkol sa, samantalang mayroon kang upang i-encode ito sa isang pamamaraan sa URL. Kung nagpapatakbo ko ito ngayon - Kukunin ko ipakita sa iyo sa paglipas dito - makikita mo na natapos ko up pagpapatakbo ng isang command. 

Ito ay talagang ang aktwal na server na ang aking website ay tumatakbo sa. Kaya hindi namin nais na, dahil maari ba akong magpatakbo - server na ito ay hindi mina. Kaya hindi ko nais upang sirain ang kanyang kapatid na babae, server Marcus ni. Ngunit maaari kang magpatakbo ng higit pang mga utos na mapanganib. At potensyal na, maaari mong tanggalin ang mga file, alisin ang mga direktoryo. Maaari ko bang tanggalin ang isang tiyak na direktoryo kung Nais kong, ngunit hindi ko nais na upang gawin iyon sa Marcus. Siya ay isang magaling na tao. Hayaan niya ako humiram kanyang server. Kaya Pupunta ako upang ipaalam sa kanya off sa isang magandang. 

Kaya kung ano ang hindi namin nais na gumamit ng - hindi namin nais na gumamit ng eval o system. Eval o system ay nagbibigay-daan sa amin upang gumawa ng mga tawag na ito system. Eval paraan suriin. Ang ibig sabihin ng System kung ano ang aking nagpatakbo. Ito ay magpatakbo ng isang bagay sa sistema. Ngunit maaari naming ipagbawal mga bagay na ito sa PHP nang sa gayon ay hindi namin ginagamit ang mga ito. At upload ng file. Ako ay pagpunta sa gawin ang isang kahanga-hangang bagay sa pag-upload ng file. Ngunit tulad sinabi ko sa inyo guys, ang aking file pag-upload ng bagay ay hindi gumagana. Kung ako ay upang mag-upload ng isang file sa ngayon - kung ako ay upang mag-upload ng isang file, at ito ay isang larawan - mayroon kang isang upload bagay na ang isang larawan na. Iyon ay pinong. Walang bagay ang mangyayari. 

Ngunit kung mayroon kang isang-upload ng file, para sa Halimbawa, at talagang pag-upload ng user isang file ng PHP o isang exe file o isang bagay tulad na, pagkatapos ay maaari mong potensyal na magkaroon ng problema. Ito ay gumagana bago. Sa kasamaang-palad para sa akin, ito ay Hindi gumagana na ngayon. Kung ako, halimbawa, i-upload ang file na ito, ako hindi nakakakuha ng pahintulot na i-upload ang file dahil sa server hindi pagiging mina. Kaya ang tao talaga ang smart. 

Kaya hindi namin nais na - Pupunta ako upang ipakita sa iyo guys - OK, ito ang ilang mga talagang cool na mga tool. Kaya ang mga - pumunta sa - kung ikaw guys mayroon Firefox - sana ay gagawin mo. Mayroong dalawang mga add-on na tinatawag na SQL mag-iniksyon Ako at Cross-Site Script Akin. Buksan up ang mga ito bilang maliit na bahagi mga bar sa gilid. At kung ako ay upang pumunta sa CS60 halimbawa - kaya kung ano ang ginagawa nito ay mukha itong para sa lahat ng mga form na - sana, hindi ako makakakuha ng sa pag para sa ito. 

Ngunit ang OK. Narito ang pin ng system. Kaya kapag ako ay magsisimulang naghahanap ng butas sa ang system, ang unang bagay na gagawin ko ay Bubuksan ang magandang maliit tool sa gilid. At ako pagpunta sa subukan ang mga form may auto-atake. At kaya kung ano ang ginagawa ay ito ay dahan-dahan buksan up ng isang bungkos ng mga browser. Narito ang isang bungkos ng mga browser. At ito ay sinusubukan bawat solong kumbinasyon ng scripting cross-site na mayroong posibleng sabihin, kung nakikita mo sa gilid. 

At ito ay ninyo ako ng resulta uri ng kung ano ang sagot ay. Ang lahat ng mga pumasa. Malinaw, ang lahat ng mga ito pumasa. Ibig kong sabihin, ang mga ito ay talagang matalino mga tao up doon. Ngunit kung ako ay upang tumakbo - Nagkaroon na ako ng beses bago kapag tumakbo ko ito sa huling proyekto ng mga mag-aaral '. Ba akong magpatakbo ng simpleng SQL mag-iniksyon sa Akin sa lahat ng iba't ibang mga pag-atake. At ito ay sinusubukan upang mag-iniksyon SQL pin server na ito. Kaya kung mag-scroll pababa kami, para sa Halimbawa, sinasabi nito - ito ay mabuti kung ito ay nagbabalik. 

Kaya sinubukan ito ng ilang mga tiyak na halaga. At nagbalik ang server ng isang ang code na iyon ay negatibo. Alisin ang pansamantalang. Na ito ay mabuti. Sinusubukan nitong lahat ng mga test. Kaya maaari mo lamang tumakbo - Gusto ko makita ko ang isang website real mabilis na ipaalam sa akin - siguro ang CS50 store. 

Wow, ito ay pagpunta sa tumagal paraan masyadong mahaba. Ipapaalam ko ang unang pagsubok Hindi matapos kanan. Kaya ito ay nagrereklamo. Kaya ito ay mga tatlong bagay. Mga tool na ito ay libre. Maaari mong i-download ang mga ito at patakbuhin ang mga ito sa ng iyong website, at ito ay magsasabi sa iyo kung mayroon kang scripting cross-site, kung mayroon kang SQL, kung mayroon kang isang bagay ng katulad. Uri ng ako ang panggugulo up. 

Ano ang mahalaga - OK, kaya hindi pinagkakatiwalaan ng user. Anuman ang input ng user sa iyo, gumawa sigurado sanitize mo ito, linisin mo ito, nag-check para sa mga tamang bagay, na ito ay nagbibigay sa iyo kung ano ang iyong gusto sa kanya upang ibigay sa iyo. Palaging ma-update sa kung ano Framework na aktwal na gumagamit ka. Kung gumagamit ka ng isang bagay tulad bootstrap - Alam ko ka guys ay pumunta upang magamit bootstrap dahil pupuntahan niya upang pumunta sa paglipas ng ito sa lalong madaling panahon sa klase - at Wordpress o isang bagay tulad na, normal na ito ma-hack. 

At pagkatapos ay hindi mo kahit na alam. Lamang Nagpapatakbo ka ng iyong website. At ito ay lubos na ligtas. At ka bumaba. Kaya ako fishing talaga maaga. Pero gusto kong pasalamatan Pentest Labs. Pupunta ako upang ipakita sa iyo guys isang bagay tinatawag Pentest Labs. Kung ikaw guys ay talagang interesado sa ano seguridad talagang sabihin, mayroong isang website na tinatawag na Pentest Labs kung ka guys pumunta dito ngayon. Oh, well, hindi iyon ito. Lamang ako ng pagpunta sa patakbuhin ito tulad nito. Sinasabi sa Google sa akin ang sagot. 

OK. At ito ay nagtuturo gamitin mo - kaya ito sabi, dagdagan ang web pagtagos pagsubok ng karapatan paraan. Itinuturo mo ito - sana, ikaw ay isang etikal tao. Ngunit ito ay nagtuturo sa iyo kung paano ka maaaring tumingin sa kung paano mo maaaring makuha sa loob ng mga website. At kung malaman mo kung paano maaari kang makakuha sa loob mga website, maaari mong malaman kung paano protektahan ang iyong sarili mula sa pagkuha ng sa loob ng mga website. Hayaan akong mag-zoom in dahil marahil ka guys hindi naghahanap sa karapatang ito. 

Mula sa SQL iniksyon sa shell, kaya uri ng kung paano ko makukuha mula sa SQL iniksyon sa shell. At i-download mo ang virtual machine. At ang mga virtual machine na pagdating sa website na ikaw ay pagpunta sa subukan ito sa. I-download mo ang PDF. At ito ay magpapakita sa iyo ng linya sa pamamagitan ng linya ano kailangan mo lang gawin, ano suriin mo. Ito ay kung ano ang isang pag-atake talaga gumagana upang makakuha sa loob ng isang website. 

At ang ilan sa mga bagay na ito ay kumplikado. Gusto ko kaya kong pumunta sa paglipas ng higit pa bagay sa iyo guys. Ngunit mag-alala ko na guys may hindi talaga - ito ay kung ano ako nagpunta sa paglipas ng may ka guys, pagsusuri ng web para sa pagsubok pagtagos. Huwag talaga alam kung ano ang SQL ay at kung ano - Pantas-aral Carl Jackson ni ay kahanga-hangang pati na rin. Ikaw guys hindi alam-uri ng kung ano ito ay. Ngunit kung kang pumunta sa website na ito, at i-download ang mga tutorial at mga Mga PDF, maaari mong tingnan ang uri ng kung ano talaga ang ginagawa ng lugar ng seguridad sa pagsubok pagtagos, tingnan kung paano maaari mong makakuha sa loob ng mga website at protektahan ang ang iyong sarili mula dito. 

Kaya kapag gumawa ako ng isang sobrang mabilis na pangkalahatang-ideya, Makikita ito ma-pigilan ang scripting cross-site. Gusto mong gamitin htmlspecialchars bawat minsan, ang input ng user ang isang bagay. Pigilan ang SQL iniksyon. Kung gagawin mo iyon, ikaw ay isa nang mas mahusay na off kaysa sa Harvard noon ay kapag sila Nakakuha nilabag. At siguraduhin na ang iyong mga password wala sa plain text. Tiyakin na ikaw ay hindi lamang isang paraan ng hash ang mga ito ngunit na gamitin mo ang silid sa ilalim ng lupa, ang PHP function na ito ay nagpakita ko sa inyo guys. Sa ganoong paraan, dapat mong maging mahusay. 

Gayundin, kung hayaan ang iyong mga kaibigan mo, magpatakbo SQL mag-iniksyon sa Akin sa kanilang mga website. Patakbuhin ang cross-site na pag-script sa kanilang mga website. At makikita mo ang isang pulutong ng mga website na ito May isang tonelada ng mga kahinaan. Ito ay hindi kapani-paniwala kung paano kalimutan magkano mga tao upang sanitize ang kanilang mga database o upang magsagawa ng sigurado kung ano ang inputting ng tao Hindi code ng script. OK. Ako uri ng mga natapos na talaga maaga pa. Ngunit kung ang sinuman ay may anumang mga katanungan tungkol sa anumang bagay, maaari mong kunan ng larawan sa akin ng isang katanungan. Oo. Pumunta, pumunta. 

Madla: gusto ko lang ang magtanong, Maaari ipaliwanag sa iyo kung paano ang file mag-upload ng eksaktong mga gawa. 

Luciano ARANGO: Oo. Kaya hayaan mo akong ipakita sa iyo ang file mag-upload ng mga tunay na mabilis. Kaya ang pag-upload ng file - talas ng isip ang problema sa pag-upload ng file ngayon ay na - Pupunta ako upang buksan ang code kaya ka guys tingnan ang code sa likod ng mga eksena. At ito ay mag-upload. Narito ang isang code para sa file ng uploader. 

Kami ay sinusubukan upang pumunta sa na ito direktoryo sa paglipas dito. At sinusubukan naming, sa sandaling input namin ang file, isset file - kaya kapag may mag-file sa FILES, na imahe, pagkatapos ay subukan namin upang ilipat ito dito. Grab namin ang file sa paglipas dito. Ang pamamaraan ay POST, uri, larawan, file. At kami ay pagpapadala sa ang file na ito. At pagkatapos ay sa sandaling makuha namin ito, kaya sa sandaling file May isang imahe, sinusubukan naming ipadala ito sa direktoryong ito. 

Ang problema ay na ang mga website ay hindi pagpapaalam sa akin pumunta sa direktoryong ito, dahil hindi ito gusto sa akin upang bumalik. Hindi nito gusto sa akin upang pumunta - Kailangan ko bang pumunta - kaya dito ay mag-upload. Narito ang mga imahe. Kailangan ko bang pumunta lahat ng mga paraan pabalik sa nagsisimula at ilagay ito sa doon at pagkatapos ay pumunta at ilagay ito sa direktoryo. Kaya kung tumatakbo ako ay isang terminal na window, at gusto kong ilipat ang isang file - [Hindi marinig] ang maaaring makakita nito. Kung Nais kong ilipat ang isang file, mayroon akong upang ilagay ang pangalan ng file at pagkatapos ay ang Kumpleto na ang landas na gusto kong ipadala ito sa. 

At pagkatapos ay ang server ay hindi pagpapaalam sa akin bumalik. At kaya hindi ito pagpapaalam ako makapunta sa file na iyon. Ngunit karaniwan - kaya mayroong isang code para sa pag-upload ng isang file. Kaya normal kung ano ang mangyayari ay na ang mga taong hindi pag-check kung ang aking file ay nagtatapos sa. jpeg, kaya ko Gusto gusto mong tingnan. Hayaan akong buksan ang isang halimbawa masyadong real mabilis. 

OK. Ang taong ito kanan - kaya halimbawa dalawang ay pagsuri kung preg_match - dito ito ay higit sa dito - upang matiyak na nagtatapos sa PHP, na kung saan ay mabuti. Na ito ay mabuti. Subalit mayroong isang tunay na malaki problema sa ito. Na ito ay mabuti. Ngunit kung ako ay upang ilagay ang isang file na tinatawag na myfavoritepicture.php.jpeg, magagawa ko potensyal na makakuha pa rin mapupuksa ang mga jpeg at magpatakbo ng it.k Iyon mapanganib na PHP ni. Hindi mo na nais ang mga tao upang magawang upang mapatakbo ang code sa iyong website. 

Ngunit pagkatapos. Jpeg ay nagbibigay-daan ito pumasa. Ang ideya ay kung ano ang gusto mo talagang gawin Hindi tumagal ng mga file, A. Subalit, OK, kung ano gusto mo talagang gawin ay siguraduhin na ang basahin mo sa buong mundo. At walang kung. PHP sa loob nito. Walang. Php sa buong pangalan ng file. 

Madla: Ngunit magagawa mo ilagay. jpeg sa dulo. Ang mga server tumakbo pa rin ang code. 

Luciano ARANGO: Hindi, ito ay hindi patakbuhin sa simula. Mayroon kang upang bumalik at subukan upang makita kung maaari mong - 

Madla: So mayroon kaming upang - OK, isa pang lamang hanay na nagsasangkot - 

Luciano ARANGO: Oo. 

Madla: ang OK. 

Luciano ARANGO: Oo. OK. Anumang iba pang mga katanungan? OK. Pupunta ako sa iwanan ito up at uri-uriin ng subukan upang makita kung ikaw guys maaari - ang iba pang alin ang kaunti higit pa kumplikado dahil nangangailangan ang mga iyon magkano higit na kaalaman ng SQL kaysa lamang ang nagsisimula na kaalaman sa web SQL ay at ano ang JavaScript ay. Ngunit Pupunta ako sa subukan upang panatilihin ito up, at sana ka guys ay malaman tungkol sa ito at subukang kumuha ng pagsilip sa ano ang iyong magagawa at kung gaano karaming mga halimbawa maaari kang makakuha sa pamamagitan ng. 

Sinuman ay may anumang iba pang mga mga tanong tungkol dito? Sige. Oo, shoot, shoot. Oo, sige. Sige. 

Madla: ang OK. Kaya narinig ko tungkol sa kung paano Magic Quote Hindi secure ang sapat. 

Luciano ARANGO: Ano - Magic Quote? 

Madla: Oo. Kaya ito ay nagdadagdag ng - kaya sa tuwing input mo isang bagay, ito laging nagdadagdag ng mga quote. 

Luciano ARANGO: Oo. Oo. OK. 

Madla: At pagkatapos ko bagaman na nagtrabaho, ngunit pagkatapos ay hinanap ko ito up. At sinabi ito hindi ito mahusay. Ngunit Hindi ako sigurado kung bakit. 

Luciano ARANGO: Oo. 

Madla: Huwag gumamit ng Magic Quote, dahil hindi ito ligtas. 

Luciano ARANGO: OK. Kaya Magic Quote ay kapag nagpasok ka ng SQL at na nagdadagdag ito ng mga quote para sa iyo. 

Madla: Ito laging nagdadagdag ng quote sa paligid ng kahit anupamang kang maglagay in 

Luciano ARANGO: Oo. Kaya ang problema sa na ay na - Kukunin ko ang isang pagtingin sa - 

Madla: Paano ito makuha ang SQL pahayag? O kaya hulaan ko maaaring ito ay tulad quote piliin. 

Luciano ARANGO: Oo, kailangan mo magandang quote para sa SQL. 

Madla: Hindi, ngunit ang server gumagana ito para sa iyo. 

Luciano ARANGO: Ang mga maliit na quote dito mismo, ang mga maliliit na quote? 

Madla: Oo. 

Luciano ARANGO: Oo. Ang problema ay na maaari mong magkomento out sa huling - OK, kaya kung ano ang maaari kong gawin ay ang maaari kong magkomento out - maglaan ng isang pagtingin sa kaya hayaan - ipaalam sa akin buksan ang isang teksto-edit ng file. Hayaan ang i-edit sa akin lang ito dito mismo direkta. OK. Puwede ba kayong guys makita na malinaw? Ano ang maaari kong gawin ay ang maaari kong magkomento out ang huli. Ito ay magkomento out ang huli. At pagkatapos ay makikita ko bang ilagay ang isa dito, ilagay lahat ng nakahahamak na mga bagay-bagay dito. 

Kaya ang user ay talagang inputting, tama? Hindi inputting Ang gumagamit ang mga bagay, i-right? Ito ay kung ano Pupunta ako sa input bilang ang taong sinusubukan mong makakuha sa loob. Pupunta ako sa ilalagay sa - na isa panipi. Ito ay squiggly sa pamamagitan lamang ng pagkakamali. At pagkatapos ay kung ano ang code ay pagpunta sa gawin - Paumanhin, ako pagpunta sa tumagal ito out. Ano ang code ay pagpunta sa gawin ay ito ay pagpunta sa magdagdag ng unang nagmamarka panipi dito. At ito ang nangyayari upang idagdag ang huling quotation mark pati na rin. 

At itong ibang mapupuntahan din upang idagdag ang huling, huling panipi. Ngunit ako pagkomento sa mga panipi nagmamarka out, kaya wala silang tumakbo. At ako Tinatapos ito marks markahan sa paglipas dito. Huwag mong maunawaan? Nawala ka ba? Maaari kong magkomento sa huling panipi mark, at na ang bahala sa unang panipi. 

Madla: At matapos lamang ang unang isa. 

Luciano ARANGO: Oo. At matapos lang ang unang isa. Oo, na tama. Iyon ay kung ano ang maaari kong gawin. Oo. Anumang iba pang mga katanungan na tulad na? Iyon ay isang mahusay na tanong. Hindi, oo, siguro. Sana, ka guys ay isang uri ng gumawa higit pang kahulugan kapag pag-aralan mo SQL at mga bagay tulad na. Ngunit tiyakin mo - panatilihin ang mga tool na ito sa panonood. Paumanhin, mga tool na ito sa paglipas dito. Mga tool na ito ay magaling. Kung sinuman ay may anumang mga katanungan, Maaari mo ring i-email sa akin. Ito ang aking normal email. At ito ang aking email sa trabaho, na ay kapag gumana ako sa mga dagat. 

OK, salamat. Salamat, guys. Ikaw ay handa na upang patakbuhin. Hindi mo na kailangang manatili dito. Huwag tunog ng kulog. Iyan ay kakaiba. OK, salamat, guys.