【问题标题】:Is sql injection and cross-site scripting still a thing? [closed]sql 注入和跨站点脚本仍然存在吗? [关闭]
【发布时间】:2020-08-28 10:11:47
【问题描述】:

在查找有关 Web 攻击的一些信息时,sql 注入和跨站脚本总是摆在桌面上。我无法想象这种古老的网络攻击,在互联网上可以找到很多关于如何防范它的信息,仍然是最常用的网络攻击的前 10 名?对此有何解释?

【问题讨论】:

  • 我认为这更像是一个 stackexchange 问题,而不是一个堆栈溢出问题,我会投票赞成关闭
  • @LucaBruzzone,Stack Overflow 要求有关编码的问题有明确的正确答案,对吧?这个问题的答案很明显,“是的,这些安全漏洞仍然存在。”
  • 好的,有道理。啊不,我只是看到它实际上已关闭征求意见

标签: xss sql-injection


【解决方案1】:

我会讲一个故事。

我妈妈曾经和一群志愿者一起去当地的大学校园帮助学生登记投票(在美国,人们18岁可以投票,但他们默认没有登记,他们必须填写表单)。她和她的小组会在四边形的桌子上摆好一张桌子,里面有一些表格,并指导学生填写并邮寄。

经过多年的努力,小组中的另一位女性说:“我们来到校园帮助这些孩子注册 10 年!他们什么时候能够自己完成? "

妈妈和其他人看着她,缓缓地说,“每年都有一批新的学生满十八岁。”

防御 SQL 注入和跨站点脚本也是如此。每年都有新的程序员进入这个行业。

事实上,研究表明,软件开发人员的数量每五年翻一番,这意味着在任何给定时间,50% 的软件开发人员是我认为的“初级开发人员”,经验不足五年。当这些人成为高级开发人员时,又有许多年轻的开发人员在他们之后进入这个行业。

他们都需要接受培训以了解 SQL 注入和跨站点脚本防御,然后才能允许他们将代码放在实时服务器上。

一次一个。

每年。

只要有软件开发人员,SQL 注入和跨站点脚本就会继续存在。


我还可以参考SQLi Hall-of-Shame,该网页引用了有关利用 SQL 注入漏洞实施的数据泄露的新闻报道。每个月似乎都有多个这样的故事,而这些只是成为新闻的闯入事件。这无疑是冰山一角。

【讨论】:

    【解决方案2】:

    数量和质量是两种不同的野兽。 “大量信息”并不意味着有用的信息。相反,有许多相互矛盾、开放式和模棱两可的建议。

    例如,到目前为止,OWASP 将"Escaping All User-Supplied Input" 列为主要(原文如此!)防御。其中,坦率地说,nonsense

    另一个例子是几十年前的迷信,听起来像是“转义防止 SQL 注入”。

    鉴于许多此类误导性或开放式建议,例如我们“总是验证用户输入”(没有一个提示特定验证的含义)初级开发人员非常困惑,并进行了注射。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2014-07-26
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多