最近很流行 Cheat Sheet, 把一些常用該知道的東西整理好的小抄(或許也可以說是懶人包
?), 印出來立在桌邊, 不過印超過兩張就發現桌子沒地方放, 好像也蠻頭大的.. XD
今天正巧看到一篇不同於其它 Cheat Sheet 的文章: SQL Injection Cheat Sheet,這篇文章把常用的 SQL Injection的方法都列出來, 來看 SQL Injection 的危險程度(針對 MySQL, SQL Server, PostgreSQL, Oracle... 等).
不曉得 SQL Injection 是什麼, 可以看 M$ 的解說:SQL Injection (資料隱碼) - 駭客的 SQL填空遊戲
及應用... XD
順手整理 Cheat Sheet:
- The Developer Cheat Sheet Compilation - 有一卡車的 Cheat Sheet(站長自行整理一堆連結)
- Cheat Sheets - 多種程式語言 Cheat Sheet, 輸出格式統一,印出來也很漂亮
- PHP Cheat Sheet
- Free Tools For MySQL Design and Administration - MySQL Cheat Sheet
- CSS CHEAT SHEET
- SQL Injection Cheat Sheet - 本篇重點, 沒想到這個也會做成 Cheat Sheet.. XD
- XSS Filter Evasion Cheat Sheet - OWASP
既然都有了 SQL Injection, 那當然也得要有 XSS, 先看一些做法及說明:
- Cross Site Scripting (XSS) - XSS 說明
- Expect Header Cross-Site Scripting Vulnerability Test - XSS Check, 檢查一下你的站是否有 XSS 問題
- Avoiding XSS security attacks to sites that use HTML editors
- DIY widgets - How to embed your site on another site
- How to Crack a Website - XSS, Cookies, Sessions
- XSS, Cookies, and Session ID Authentication - Three Ingredients for a Successful Hack
- Forging HTTP request headers with Flash
- MySQL SQL Injection Cheat Sheet
- XSS 筆記 - 上面英文的不想看, 就看這個好了.. XD
- XSS(Cross Site Scripting)攻擊會讓您遺失Cookie中的資料 - 照著做一次, 你就知道 XSS能做什麼壞事(上面都不看的話, 最少要看這篇)
PHP 少用 PHP_SELF, 或最好別用 PHP_SELF, 可看下述討論:
不過要防範也不是那麼困難, 總之, 沒有處理過的字串, 要轉成 HTML 輸出前, 要先經過 htmlentities/htmlspecialchars 處理就可以了.
總結: XSS 就是只要能在你頁面 Alert JS, 就能幹很多壞事(之前有寫一些 Demo Code,改天找到再放出來), 再來一樣是 Cheat Sheet 如下(壞人就是這樣子玩你的站的)...
- XSS (Cross Site Scripting) Cheat Sheet - 此站的 XSS Cheat Sheet 還在不斷增加中.
- HTML Purifier XSS Attacks Smoketest - 上述提到的 XSS, HTML Purifier 攻防的成果
PS: 網路上很多壞人呀~~ 很危險的~... XD