• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Статья [0] - Безопасность языка PHP. Начало и что еще будет

php-security.png

Всем Салам. Недавно спрашивал о том, стоит ли написать, цикл статей по PHP и конечно же я не имею ввиду статьи о том, как учить PHP, про условия или циклы, нет про это итак полно информации, но на всякий случай ниже я солью достаточно годный курс, чтобы не возникало вопрос, а где же учить все-таки.

И так, я думал над циклом статей, все планировал и пришел к тому, что сделаю 2 небольших цикла статей для начинающих (с основами в PHP):
  • Безопасность языка PHP. Тут будем расписывать всевозможные угрозы, которые может в себе и плохо написанном коде содержаться. И конечно же их устранение.
  • Эксплуатация уязвимостей с помощью PHP. Да, это реально делать, не думайте, что на это способен только питон.

И так. Начнем с того, чтобы понимать, что будет происходить, вам нужно иметь, как минимум базовые понятия в PHP. Ну у кого есть голова и прямые руки с этих проблем возникнуть не должно, благо порог вхождения у языка низкий, ну и бешеное количество мануалов по основам языка.

  • Ну и как писал выше, курс от LoftSchool: Продвинутый курс по веб-разработке. Слив по правилам будет открыт не для каждого, а может даже и в инете его найдете, может и слил уже кто-то. Скачать:
    Пароль: 8475*k-[seoxa.net]-ps76%d2
  • Конечно же всегда под рукой стоит держать php.net
  • Ну и для самых начинающих, могу порекомендовать, уж очень мне нравится, как он объясняет -

Дальше вкратце распишу, что я планирую рассмотреть в рамках цикла статей по «Безопасности языка PHP». По ходу дела список может поменяться:

  1. XSS
  2. SQL injection
  3. Code injection
  4. Path injection
  5. XSRF/CSRF
  6. Public files
  7. Uploading files
  8. RFI
  9. LFI
  10. Session hijacking
  11. SSTI
Ну и конечно же хочу упомянуть о самом главном, а может и единственном принципе безопасности.
Фильтруй вход, экранируй выход!

Особо редкие уязвимости не стал включать, но походу дела посмотрим, скорее всего, что-то новое еще добавится.
На этом думаю все, до следующей встречи!

Часть 1: Безопасный PHP. Защита от XSS атак.
Часть 2: Безопасный PHP. Защита от SQL-Injection
 
Последнее редактирование:

Squ0nk

Green Team
30.10.2017
178
79
BIT
0
Очень интересно,быстрей вторую часть готовь)
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!