perché esistono ancora webapp vulnerabili a XSS e SQLi? [duplicare]

1

Per proteggere la tua applicazione web da XSS , è sufficiente utilizzare la funzione htmlspecialchars($input, ENT_QUOTES); e mysqli_real_escape_string($var); per SQL Injection , è una semplice informazione e una ben nota procedura anche per i principianti nello sviluppo web, ma d'altra parte vediamo molti siti Web (a volte grandi e famosi) infettati da queste vulnerabilità,
Intendo dire che la sterilizzazione degli input dell'utente è semplice da applicare e facile da ricordare, ma in che modo gli sviluppatori perdono qualcosa di molto importante come questo?

    
posta Reda LM 30.07.2017 - 18:52
fonte

1 risposta

1

Hai ragione affermando che ci sono molti modi per proteggere la tua applicazione da attacchi come XSS e SQLi. Sfortunatamente ci sono molte ragioni per cui questi tipi di attacchi sono ancora il tipo di attacco più popolare. Considera le seguenti possibili ragioni per cui la sicurezza non è sempre guidata in un progetto:

Codice precedente : ci sono un sacco di applicazioni che sono state create anni fa prima che le considerazioni sulla sicurezza diventassero leggermente più popolari. Queste applicazioni in genere non hanno molti sviluppi in corso ma sono ancora disponibili online

Sviluppatori / Ingegneri - L'obiettivo di queste persone in genere intelligenti è creare applicazioni che rispondano alle esigenze aziendali. Se l'individuo non è a conoscenza dei tipi di attacchi che possono accadere, semplicemente non lo preparano poiché il loro obiettivo è far sì che l'applicazione sia costruita e implementata. Se non hai mai pensato al fatto che l'utente non possa essere considerato attendibile, come potresti difenderti contro di esso?

Limiti di tempo - I budget aziendali raramente assegnano un tempo sufficiente per i test di sicurezza poiché sono relativamente costosi e come qualsiasi sviluppatore può dirti. C'è quasi sempre creep dell'ambito che mangia nel budget di test

Rapido cambiamento nei quadri tecnologici - Molti sviluppatori / ingegneri sono tenuti ad assimilare la nuova tecnologia piuttosto rapidamente. Ottenere informazioni sufficienti per creare il progetto non lascia sempre abbastanza tempo per ottenere una comprensione adeguata delle opzioni di sicurezza disponibili nel framework

Questi sono solo alcuni dei possibili motivi. La mia sensazione personale è che lo sviluppo di applicazioni sicure al momento richiede almeno una qualche forma di ulteriore interesse da parte di sviluppatori / ingegneri / architetti. I fondamentali si stanno lentamente facendo strada nella maggior parte dei curricula delle università e di altri istituti di formazione.

EDIT : ha funzionato sul mio dispositivo mobile inizialmente e non ha visto i commenti duplicati. La tua domanda è stata definitivamente affrontata molto meglio qui: L'iniezione SQL ha 17 anni. Perché è ancora in circolazione?

    
risposta data 31.07.2017 - 01:10
fonte

Leggi altre domande sui tag