[查找有关Web攻击的某些信息时,始终会在表中插入sql注入和跨站点脚本。我无法想象如此古老的Web攻击仍然在大多数使用的Web攻击中排名前10位,而在Internet上可以找到很多有关如何防范的信息。有什么解释吗?
我会讲一个故事。
[我的母亲曾经自愿与一群人一起去当地的大学校园,以帮助学生注册投票(在美国,人们可以在18岁时投票,但是他们没有默认注册,因此必须填写形成)。她和她的小组将在四边形中设置一张表格,提供表格,并指导学生填写表格并将其邮寄。
[经过多年的努力,小组中的另一位妇女说:“我们已经在校园里工作了十年,以帮助这些孩子注册!他们什么时候能够自己完成这项工作?”
[我妈妈和其他人看着她,慢慢地说,“每年都有新的学生。”
对于防御SQL注入和跨站点脚本的防御同样如此。每年都有新的程序员进入该行业。
实际上,研究表明,软件开发人员的数量每五年翻一番,这意味着在任何给定的时间里,我认为50%的软件开发人员都是经验不足五年的“初级开发人员”。当这些人成为高级开发人员时,又有很多年轻的开发人员进入他们的职业。
[他们都应该接受培训,以了解SQL注入和跨站点脚本防御,然后才允许将其代码放到活动服务器上。
一次一个。
每年。
只要有软件开发人员,SQL注入和跨站点脚本编写将继续存在。
数量和质量是两种不同的野兽。 “很多信息”并不意味着有用的信息。相反,有许多相互矛盾,开放性和含糊不清的建议。
例如,到目前为止,OWASP将"Escaping All User-Supplied Input"列为主要(原文如此)。坦率地说,其中nonsense
另一个例子是几十年的迷信,听起来像是“转义防止SQL注入”。
考虑到很多这样的误导性或开放性建议,例如我们“总是validate用户输入”(没有一个单一的提示,即[[specific]]验证),一个初级开发人员会非常困惑,然后注入。