एसक्यूएल इंजेक्शन और XSS हमलों दोनों में सभी जानकारी जो आपके कोड पर हो रही है (addslashes, टैग हटा "" और इसी तरह) को पार्स द्वारा हल कर रहे हैं; मैजिक कोट्स इम्यूलेशन और रजिस्टर_ग्लोबल्स ने मेरे दृष्टिकोण से समस्याओं को हल किया। सावधान रहें, बिल्कुल सही समय पर नहीं जानते, लेकिन magic_quotes को बहिष्कृत किया जाएगा, इसलिए उस पर भरोसा न करें।
तो वे अन्य खतरे क्या हैं? मेरे अनुभव से, सबसे आम मानव गलतियों प्रमाणीकरण से संबंधित हैं। इसका मतलब यह नहीं है कि उपयोगकर्ता लॉग इन नहीं करता है, लेकिन इसका मतलब है कि कोई उपयोगकर्ता अन्य उपयोगकर्ताओं के लिए जानकारी पढ़/लिख सकता है। इसलिए, जब भी आप इस तरह एक डिलीट लिंक देखते हैं: index.php? पेज = छवियाँ & कार्रवाई = & आईडी = 2 हटाएं, किसी अन्य उपयोगकर्ता की छवि के किसी अन्य आईडी के साथ प्रयास करें। आपको "आपकी छवि नहीं" या कुछ त्रुटि कहानियां मिलनी चाहिए। यह जांचना बहुत मुश्किल है, इसलिए आपको डेवलपर के अनुभव पर भरोसा करना चाहिए।
मेरी दूसरी सबसे बड़ी समस्या कोड से संबंधित नहीं थी लेकिन सर्वर से संबंधित थी। एफ़टीपी पासवर्ड वायरस (आईफ्रेम वायरस और अन्य) द्वारा चुराया गया, या सर्वर को विभिन्न ब्रूट फोर्स विधि का उपयोग करके हैक किया गया था।
निष्कर्ष यह है कि: यदि आप सुनिश्चित हैं कि आपने एसक्यूएल इंजेक्शन और एक्सएसएस हमलों के लिए जांच की है, तो आखिरी चीज आपको प्रमाणीकरण समस्या को हल करना है (एक बार फिर, प्रमाणीकरण का मतलब है कि आपको जो जानकारी मिलती है/बदलती है)। लोग सुरक्षा मुद्दों के बारे में थोड़ा उलझन में रहते हैं लेकिन सबसे आम हैक डेवलपर की गलती नहीं हैं।
उम्मीद है कि इससे मदद मिलती है;
शुभकामनाओं सहित, गेब्रियल
स्रोत
2010-05-10 11:31:48
आप थोड़ी देर के लिए चारों ओर googling की कोशिश की है? इस सामान पर बहुत सारे ब्लॉग हैं। आप वेबसाइटों का परीक्षण करने के लिए अर्द्ध स्वचालित हमले सूट भी खरीद सकते हैं। –