Maintenir une position de leader en matière de codage sécurisé.
Le paysage des menaces informatiques évolue constamment, et il est plus important que jamais de rester à l'avant-garde. Grâce à une série de vidéos, de blogs et de guides pratiques sur la sécurité du code, nous pouvons vous aider à rester informé et à vous préparer pour l'avenir.
Nos dernières directives en matière de codage sécurisé.
{
“依赖关系”:{
“foo”: “1.0.0-2.9999.9999”,
“bar”: “>=1.0.2 <2.1.2"
}
}
Utilisation de composants présentant des vulnérabilités connues
{
“依赖关系”:{
“foo”: “1.0.0-2.9999.9999”,
“bar”: “>=1.0.2 <2.1.2"
}
}
大多数应用程序都使用大量的第三方组件。这些组件提供从日志、模板化、数据库访问等所有内容。这使开发软件变得更加容易并节省了大量时间。但是它们也是由人制造的,这意味着有些漏洞不可避免地会包含漏洞。阅读指南以了解更多信息。
导入 mysql 连接器
db = mysql.connector.conn
#Bad 练习。避免这种情况!这只是为了学习。
(host= “localhost”,user= “新用户”,passwd= “pass”,db= “样本”)
cur = db.cursor ()
name = raw_input ('输入名称:')
cur.execute(“从 sample_data 中选择 * 其中 Name = '%s';”% name)为 cur.fetchall () 中的行:打印(行)
db.close ()
Injection SQL
导入 mysql 连接器
db = mysql.connector.conn
#Bad 练习。避免这种情况!这只是为了学习。
(host= “localhost”,user= “新用户”,passwd= “pass”,db= “样本”)
cur = db.cursor ()
name = raw_input ('输入名称:')
cur.execute(“从 sample_data 中选择 * 其中 Name = '%s';”% name)为 cur.fetchall () 中的行:打印(行)
db.close ()
SQL 注入 (SQLi) 将代码注入到 SQL 语句中,以攻击应用程序并从应用程序收集重要信息。这是一个网络安全漏洞。这是操纵数据库并从中提取关键信息的最常见的黑客技术。
许多框架还具有一组可以启用的端点,无论是在生产环境还是在测试/开发环境中,都可以监控应用程序。这些可能包括:
指标(普罗米修斯)
日志
环境信息
路径/网址映射
Erreur de configuration de sécurité
许多框架还具有一组可以启用的端点,无论是在生产环境还是在测试/开发环境中,都可以监控应用程序。这些可能包括:
指标(普罗米修斯)
日志
环境信息
路径/网址映射
安全配置错误在某种程度上是一个总称,它涵盖了由于应用程序配置设置而不是错误代码而起作用的常见漏洞。这是一个范围广泛的话题,它在很大程度上取决于您的技术堆栈等因素。通常,解决这些问题看起来很简单,例如更改配置文件甚至一行代码,但是这些漏洞的影响和后果可能很严重。阅读我们的指南,详细了解此漏洞及其缓解方法。
ts
让 url = request.params.url;
让响应 = http.get (url);
let render = response.render ();
返回 render.export ();
Falsification de requêtes côté serveur
ts
让 url = request.params.url;
让响应 = http.get (url);
let render = response.render ();
返回 render.export ();
当用户能够使应用程序向攻击者确定的域发出 HTTP 请求时,就会出现服务器端请求伪造漏洞。如果应用程序可以访问私有/内部网络,则攻击者还可能导致该应用程序向内部服务器发出请求。我们将通过一些例子来仔细研究这个问题,以更好地理解本指南中的实际情况。
Tâches de codage sécurisé dans le monde réel.
Veuillez consulter notre bibliothèque d'exercices de formation publique. Ces exemples de missions SCW vous offrent une expérience pratique guidée, comprenant des exercices de codage sécurisé offensif dans le cadre de simulations d'applications réelles.
