The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: Разбор техники атак подстановки в SQL запросы на п..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Разбор техники атак подстановки в SQL запросы на п..."  
Сообщение от opennews on 08-Янв-05, 08:03 
В статье "SQL Injection Attacks by Example (http://www.unixwiz.net/techtips/sql-injection.html)" демонстрируется техника проведения атак направленных на подстановку злонамеренного SQL кода внутри пользовательского ввода, в скриптах не проверяющих должным образом поступающие из внешних источников параметры.

URL: http://www.unixwiz.net/techtips/sql-injection.html
Новость: http://www.opennet.me/opennews/art.shtml?num=4882

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Разбор техники атак подстановки в SQL запросы на примерах"  
Сообщение от Аноним email on 08-Янв-05, 08:03 
Блин ну прикольно )
Только вот еще бы знать какой там запрос на sql сервере делается )
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Разбор техники атак подстановки в SQL запросы на примерах"  
Сообщение от Moralez email(??) on 08-Янв-05, 10:28 
иногда в поле ввода пишешь lala\00 и она (искомая строка) на экран и вываливается :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Разбор техники атак подстановки в SQL запросы на примерах"  
Сообщение от Ося email(??) on 08-Янв-05, 15:45 
Извините, но это же детский лепет, кто вам без разбора запустит параметры в запрос, к тому же, смысла там на одно предложение, остальное рассказ о синтаксисе SQL...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Разбор техники атак подстановки в SQL запросы на примерах"  
Сообщение от uldus (ok) on 08-Янв-05, 21:59 
>Извините, но это же детский лепет, кто вам без разбора запустит параметры
>в запрос,

Читая BUGTRAQ, видится что половина форумов и прочих движков наподобие phpnuke, таки пускают. phpBB яркий пример из последнего.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Разбор техники атак подстановки в SQL запросы на примерах"  
Сообщение от Аноним on 10-Янв-05, 03:36 
достаточно для всех параметров использовать escape спецсимволов (такие ф-ции есть в клиентских либах всех серверных СУБД), например pg_escape_string, mysql_escape_string etc и все атаки уходят в эпоху динозавров
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Разбор техники атак подстановки в SQL запросы на примерах"  
Сообщение от chip email(ok) on 10-Янв-05, 04:29 
> достаточно для всех параметров

к сожалению, это лишь достаточно. Горе девелоперы как разрабатывали небезопасный код, так и продолжают его разрабатывать в 100^n раз наступая на теже грабли. А админам приходится придумывать различные выкрутасы вроде mod_security.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Разбор техники атак подстановки в SQL запросы на примерах"  
Сообщение от scum email(??) on 11-Янв-05, 12:17 
> А админам приходится придумывать различные выкрутасы вроде mod_security.
Извиняюсь, а админы теперь тоже проги пишут?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Разбор техники атак подстановки в SQL запросы на примерах"  
Сообщение от chip email(ok) on 13-Янв-05, 21:10 
>> А админам приходится придумывать различные выкрутасы вроде mod_security.
>Извиняюсь, а админы теперь тоже проги пишут?

Извиняться не за что. Как показывает практика и не только проги. Хороший админ должен быть немножко программистом и наоборот.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Разбор техники атак подстановки в SQL запросы на примерах"  
Сообщение от Аноним on 23-Фев-07, 12:22 
Все фигня, мужуки. Прикол в том, что тестить аргументы вовсе не обязательно. Томас что говорит? "Use binds,use binds,use binds!" Что это означает? Правильно. use binds! Такие запросы в Оракле _принципиально_ не болеют инъекциями. Попробуйте написать процедурку либо с явными байндами либо с курсором с параметром, позовите через mod_plsql и попытайтесь получится или нет ее инъектнуть. Что? Не слышали о курсорах никогда?  RTFM, docs.oracle.com!

Я, пардон, извиняюсь - но пидо....простите, оговорился - программисты что, специально пишут код конкатами? Чтоб ломали всякие киддисы, которые еще только научились select * from dual писать?

Знаете, что? Мое личное мнение говорит мне, что проблема дутая. Она не в Оракле - она в тупых головах. Писать небезопасный код а потом орать, что Оракл, де, маст дай - это как страховать открытую бочку с порохом от пожара. Стоя рядом с окурком в пасти. Дарвиновские лауреаты, блин.....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру