SQL Injection/XSS Cheat Sheet 's

作者： jon

最近很流行 Cheat Sheet, 把一些常用該知道的東西整理好的小抄(或許也可以說是懶人包?), 印出來立在桌邊, 不過印超過兩張就發現桌子沒地方放, 好像也蠻頭大的.. XD

今天正巧看到一篇不同於其它 Cheat Sheet 的文章: SQL Injection Cheat Sheet,這篇文章把常用的 SQL Injection的方法都列出來, 來看 SQL Injection 的危險程度(針對 MySQL, SQL Server, PostgreSQL, Oracle… 等).

不曉得 SQL Injection 是什麼, 可以看 M$ 的解說:SQL Injection (資料隱碼) – 駭客的 SQL填空遊戲及應用… XD

順手整理 Cheat Sheet:

• The Developer Cheat Sheet Compilation – 有一卡車的 Cheat Sheet(站長自行整理一堆連結)
• Cheat Sheets – 多種程式語言 Cheat Sheet, 輸出格式統一,印出來也很漂亮
• PHP Cheat Sheet
• CSS CHEAT SHEET
• SQL Injection Cheat Sheet – 本篇重點, 沒想到這個也會做成 Cheat Sheet.. XD

既然都有了 SQL Injection, 那當然也得要有 XSS, 先看一些做法及說明:

• Cross Site Scripting (XSS) – XSS 說明
• Expect Header Cross-Site Scripting Vulnerability Test – XSS Check, 檢查一下你的站是否有 XSS 問題
• Avoiding XSS security attacks to sites that use HTML editors
• DIY widgets – How to embed your site on another site
• How to Crack a Website – XSS, Cookies, Sessions
• XSS, Cookies, and Session ID Authentication – Three Ingredients for a Successful Hack
• Forging HTTP request headers with Flash
• XSS 筆記 – 上面英文的不想看, 就看這個好了.. XD
• XSS(Cross Site Scripting)攻擊會讓您遺失Cookie中的資料 – 照著做一次, 你就知道 XSS能做什麼壞事(上面都不看的話, 最少要看這篇)

PHP 少用 PHP_SELF, 或最好別用 PHP_SELF, 可看下述討論:

• PHP_SELF XSS Woes
• One of the most overlooked XSS attack vectors … PHP_SELF

不過要防範也不是那麼困難, 總之, 沒有處理過的字串, 要轉成 HTML 輸出前, 要先經過 htmlentities/htmlspecialchars 處理就可以了.

總結: XSS 就是只要能在你頁面 Alert JS, 就能幹很多壞事(之前有寫一些 Demo Code,改天找到再放出來), 再來一樣是 Cheat Sheet 如下(壞人就是這樣子玩你的站的)…

• XSS (Cross Site Scripting) Cheat Sheet – 此站的 XSS Cheat Sheet 還在不斷增加中.

PS: 網路上很多壞人呀~~ 很危險的~… XD