সুরক্ষা-নিবিড় সাইটের জন্য আপনাকে একটি ছোট বাগটি ঠিক করতে ভাড়া করা হয়েছে। কোডটির দিকে তাকিয়ে, এটি সুরক্ষা গর্তে পূর্ণ। আপনি কি করেন? [বন্ধ]

আমাকে সাইটে কোনও ছোট কাজ করার জন্য কারও দ্বারা নিয়োগ দেওয়া হয়েছে। এটি একটি বৃহত সংস্থার জন্য একটি সাইট। এটিতে খুব সংবেদনশীল ডেটা রয়েছে, তাই সুরক্ষা খুব গুরুত্বপূর্ণ। কোডটি বিশ্লেষণ করার পরে, আমি লক্ষ্য করেছি যে এটি সুরক্ষা গর্তগুলিতে পূর্ণ হয়েছে - পড়ুন, প্রচুর পিএইচপি ফাইল ব্যবহারকারীরা ফেলে / পোস্ট ইনপুট সরাসরি মাইএসকিএল অনুরোধ এবং সিস্টেম কমান্ডগুলিতে পান।

সমস্যাটি হ'ল, যে ব্যক্তি তার জন্য সাইট তৈরি করেছিলেন তিনি হলেন পরিবার এবং সেই চাকরির উপর নির্ভরশীল বাচ্চাদের সাথে প্রোগ্রামার। আমি কেবল এটি বলতে পারি না: "আপনার সাইটটি একটি স্ক্রিপ্ট কিডি বিনোদন বিনোদন পার্ক me আমাকে আপনার জন্য এটি আবারও করতে দিন এবং আপনি ভাল থাকবেন।"

আপনি এই পরিস্থিতিতে কি করবেন?

হালনাগাদ:

আমি এখানে কিছু ভাল পরামর্শ অনুসরণ করেছি এবং বিনীতভাবে বিকাশকারীকে জানিয়েছি যে আমি সাইটে কিছু সম্ভাব্য সুরক্ষা ত্রুটি পেয়েছি। আমি লাইনটি ইঙ্গিত করে বললাম সেখানে এসকিউএল ইনজেকশন আক্রমণের সম্ভাব্য দুর্বলতা হতে পারে, এবং জিজ্ঞাসা করলাম যে সে সম্পর্কে এটি জানে কিনা। তিনি জবাব দিয়েছিলেন: "অবশ্যই, তবে আমি মনে করি যে এটির ব্যবহার করতে হামলাকারীর ডাটাবেসের কাঠামোর তথ্য থাকতে হবে; আমাকে আরও ভাল করে বুঝতে হবে" ।

আপডেট 2:

আমি বললাম যে এটি সর্বদা ক্ষেত্রে হয় না এবং এটি সঠিকভাবে মোকাবেলা করার জন্য তিনি এই স্ট্যাক ওভারফ্লো প্রশ্ন লিঙ্ক অনুসরণ করার পরামর্শ দিয়েছিলেন: পিএইচপি-তে এসকিউএল ইঞ্জেকশনটি কীভাবে প্রতিরোধ করবেন? তিনি বলেছিলেন যে তিনি এটি অধ্যয়ন করবেন এবং তার আগে বলার জন্য আমাকে ধন্যবাদ জানিয়েছেন। আমি অনুমান করি আমার অংশটি সম্পন্ন হয়েছে, ধন্যবাদ ছেলেরা।

এখানে প্রথম এবং সর্বাগ্রে, অগ্রাধিকারটি হল সুরক্ষা গর্তগুলি বন্ধ করা close

আপনি যদি প্রকৌশলী যিনি এটি লিখেছিলেন তাদের সাথে সরাসরি কাজ করছেন, সমস্ত কিছু নথিভুক্ত করুন এবং সেই ইঞ্জিনিয়ারকে দিন।

যদি তা না হয় তবে আপনার নিয়োগকর্তাকে বলুন যে সুরক্ষা সংক্রান্ত সমস্যাগুলি প্রাথমিকভাবে ভাবার চেয়ে বড় এবং সাইটটির অনেক কাজের প্রয়োজন। সাইটে থাকা প্রধান বিকাশকারীদের সাথে কাজ করার জন্য জিজ্ঞাসা করুন এবং তাদের পিএইচপি সুরক্ষা সম্পর্কে শেখানোর প্রস্তাব দিন (ব্যক্তিকে বিশেষজ্ঞ বানানোর প্রতিশ্রুতি দেবেন না, তবে আপনার পরিচিত সমস্ত কিছুতে তাদের প্রশিক্ষণের প্রস্তাব দিন) যাতে সেই ব্যক্তি এটি নিতে পারে আপনার কাজ শেষ হওয়ার পরে

না এই একটি "এই লোক খারাপ, তাকে অগ্নি" ইস্যু করা। "আরে, আমি কিছু সম্ভাব্য বাগ খুঁজে পেয়েছি যা স্থির স্থির প্রয়োজন, যা সাইটের সুরক্ষা সম্পর্কে কিছু অজ্ঞতা / সাধারণ ভুল ধারণা থেকে আসে বলে মনে হয়েছে I'd আমি আপনার বিকাশের সাথেও কথা বলতে চাই যাতে আমরা আপনার সাইটের উন্নতি করতে পারি এবং আশা করি ভবিষ্যতে এই বিষয়গুলি আরও এড়িয়ে চলুন "

অজ্ঞতা এবং অক্ষমতা মধ্যে পার্থক্য আছে। এমন একটি সময় ছিল যখন আপনি জানেন না যে এসকিউএল ইনজেকশনটি কী তা ছিল, এবং বিশ্বাস করার কোনও কারণ নেই যে মূল প্রোগ্রামার সে সম্পর্কে একবার সচেতন হয়ে গেলে সমস্যাগুলি ঠিক করতে সক্ষম হয় না।

সুতরাং তাদের বলুন। সুনির্দিষ্ট এবং উদ্দেশ্যমূলক হয়ে উঠুন এবং প্রশ্নের উত্তর দেওয়ার জন্য নিজেকে উপলব্ধ করুন, শোষণের উদাহরণ প্রদান করুন এবং সংশোধন করার জন্য সুপারিশ করুন। যদি তারা এখনও সেই বিন্দুটির পরে এটি না পান তবে আপনি যা করতে পারেন তা সর্বাধিক আপনি নিজের ব্যক্তিগত সাইটে কোনও তথ্য না রাখেন।

আপনার কাজ তার জন্য সাইটটি আবার করা নয়। এটি ছোট বাগটি ঠিক করার জন্য। তবে, যদি আপনি সুরক্ষিত সমস্যাগুলি ঠিক করা উচিত লক্ষ্য করেছেন তবে আপনি এটি সাইটের মালিকের কাছে নিয়ে আসতে পারেন এবং সমস্যাটি কী হতে পারে সে সম্পর্কে অন্তর্দৃষ্টি সরবরাহ করতে পারেন।

আসল বিকাশকারী সম্পর্কে বেয়ার বা নেতিবাচকভাবে কথা বলবেন না বা কোডটি কতটা ভয়াবহ তা নিয়ে মন্তব্য করবেন না। শ্রদ্ধাশীল এবং পেশাদার হন। সমস্যাগুলি সমাধান করতে আপনি বিকাশকারীর সাথে কাজ করার প্রস্তাব দিতে পারেন। সমস্যাটি সমাধানের জন্য আপনাকে চুক্তি করা না হলে এটি নিজেই ঠিক করার চেষ্টা করবেন না বা কোনও প্রস্তাব দেওয়ার প্রস্তাব করবেন না। যদি তারা আপনার পরামর্শ অনুসরণ করে এবং আপনি ভুল করে তবে তারা আপনার কাছে ফিরে আসতে পারে।

প্রথম এবং সর্বাগ্রে - যে জিনিসটির জন্য তারা আপনাকে নিযুক্ত করেছিল তা ঠিক করুন। যদি আপনি এটি না করেন, তবে আপনাকে সেই ধরণের পরামর্শদাতা হিসাবে বিবেচনা করা হবে যারা কাজটি করার পরিবর্তে তাদের জন্য আরও কাজ করার বিষয়ে আগ্রহী।

ঠিকঠাকগুলির পাশাপাশি, আপনার সুরক্ষার দৃষ্টিকোণ থেকে এটি যে জিনিস ভুল হয়েছে সেগুলি এবং এই জিনিসগুলি কেন ভুল are

সমস্যাগুলি রিপোর্ট না করার জন্য এটি কারও ভাল কাজ করবে না। যদি আপনার কোনও নির্দিষ্ট কাজ থাকে তবে এটি সম্পূর্ণ করার জন্য আপনাকে নিয়োগ করা হয়েছিল তবে অন্যান্য সুরক্ষা সমস্যাগুলি নথি হিসাবে দেখেন এবং যথাযথ ব্যক্তির কাছে প্রতিবেদন করেন, সম্ভবত আপনি যে ব্যক্তির জন্য নিযুক্ত ছিলেন তার জন্য যে ব্যক্তিকে আপনি প্রতিবেদন করছেন তা সম্ভবত।

এটি এমন পরিস্থিতি যেখানে দৃ strong় নরম দক্ষতা কার্যকর হতে চলেছে কারণ এটিকে দক্ষতার সাথে পরিচালনা করার জন্য সাইটে অন্যের দ্বারা করা কাজটি নিচে রাখা এবং বিকাশকারীকে এমন অনুভূতি না জাগানো উচিত যে আপনি তার প্রতিভা নিয়ে প্রশ্ন করছেন।

স্পষ্টতই সাইটটি লেখেন এমন বিকাশকারীদের কোড / ত্রুটি এবং অনুরূপ শব্দের উল্লেখ করার সময় "বোকা, খারাপ, দরিদ্র, ছিদ্রযুক্ত" শব্দগুলি এড়িয়ে চলুন।

অন্যান্য উত্তরগুলি ছাড়াও আপনি যা করতে চাইতে পারেন তা হ'ল এসকিউএল ইঞ্জেকশন সম্পর্কিত সমস্যাগুলি কীভাবে সহজে ব্যবহার করা যায় সে সম্পর্কে কিছু সংস্থার দিকে বিকাশকারীকে নির্দেশ করা, উদাহরণস্বরূপ স্কেলম্যাপ যা একটি স্বয়ংক্রিয় এসকিউএল ইঞ্জেকশন শোষণের সরঞ্জাম।

অতীতে এই ধরণের সমস্যার গুরুতরতা প্রদর্শন করতে আমি কী কার্যকর বলে মনে করেছি তা এটি দিয়ে কী করা যায় তা প্রদর্শিত হচ্ছে, তাই যদি আপনি কোনও দেবের বিরুদ্ধে এই জাতীয় কিছু চালান। সাইটের অনুলিপি ইত্যাদি দেখানোর জন্য সাইটের অনুলিপি আপনি তাদের গুরুত্বকে বোঝাতে পারেন।

প্রথম এবং একমাত্র; ম্যানেজমেন্ট সমস্যার কথা শুনতে চায় না। আমি অফিস অফ পার্সোনাল ম্যানেজমেন্ট (হোয়াইট হাউসের সুরক্ষা ছাড়পত্র) থেকে বরখাস্ত হয়েছি কারণ আমি তাদের সিস্টেমটি কতটা নিরাপত্তাহীন তা তুলে ধরেছিলাম। এটি কিছুক্ষণ আগে ছিল, কিন্তু পরিচালনার মনোভাব পরিবর্তন হয়নি।

বিকাশকারীকে ইমেলের মাধ্যমে সমস্যার সমাধান করুন যাতে আপনার কোনও ট্রেইল থাকে, তারপরে হাঁটুন বা পালিয়ে যান। ঠিকাদার হিসাবে তাদের যখন শেষ পর্যন্ত কোনও সমস্যা হয় তখন তারা সমস্যার সাথে দূরবর্তীভাবে সংযুক্ত না হয়েও আপনাকে দোষ দেওয়ার চেষ্টা করবে।

এসকিউএল ইনজেকশন হিসাবে মৌলিক সমস্যা হওয়া, সূচনা করে যে তারা যখন প্রাথমিকভাবে সিস্টেমটি বিকাশ করেছিল তখন তারা সস্তা ছিল এবং প্রতিক্রিয়া হ'ল এগুলি এখন সবচেয়ে সস্তা cheap তারা ব্যবসায় থাকাকালীন তাদের কাছ থেকে যা পারেন তা পান তবে অন্য কোথাও ব্যবসায়ের বিকাশ পান।