SQL → GreenSQL: Защита SQL-серверов от инъекций из песочницы
Иногда возникает необходимость использовать клиент-серверное программное обеспечение, реализующее нужный функционал, но крайне уязвимое к SQL-инъекциям. В основном это веб-сайты, сетевые приложения и другие сервисы, доступ к которым открыт широкому кругу пользователей, в том числе и злоумышленникам. В силу различных причин не всегда есть возможность предотвратить SQL-инъекции на уровне приложения — исходный код может быть закрыт, либо, в случае открытого кода, недостаточно знаний для внесения в него изменений, либо эта операция является дорогостоящей.
Обеспечить безопасность приложения в данном случае поможет GreenSQL — файрволл или прокси для SQL-серверов. Сервис GreenSQL размещается между вашим приложением и SQL-сервером, принимает sql-запросы от приложения и в зависимости от степени его благонадежности либо перенаправляет их на целевой SQL-сервер, либо отвергает.
Обеспечить безопасность приложения в данном случае поможет GreenSQL — файрволл или прокси для SQL-серверов. Сервис GreenSQL размещается между вашим приложением и SQL-сервером, принимает sql-запросы от приложения и в зависимости от степени его благонадежности либо перенаправляет их на целевой SQL-сервер, либо отвергает.
Персональные блоги → Пишем скрипты, устойчивые к взлому
Раньше я глумился над тем, как начинающие php-кодеры создают свои первые странички, учатся писать сначала в файлы, потом в БД, подключают отправку сообщений на e-mail, добираются до крупномасштабных проектов по созданию гостевого раздела с коментариями и смайликами, самозабвенно игнорируя учебники и статьи, где подробно рассказывалось о том, что входящие переменные нужно проверять, а использование globals == зло…… теперь мне страшно смотреть на то, как те же люди, так и не научившись на своих и чужих ошибках, лепят дырявые ужасные сайты в роли фрилансеров для серьезных проектов, пишут модули для интернет-магазинов, через которые можно уронить БД сайта и пр.
В этой статье я популярно покажу на примерах методы использования и защиты от уязвимостей XSS, SQL-injection, script-injection, а также ткну пальцем в частые ошибки, чтобы никто из прочитавших не вытворял подобное и продвигал простые истины дальше в массы, исключая глупые и опасные ошибки в скриптах
Информационная безопасность → Очень интересный вариант защиты от SQL-инъекций и XSS
Один весьма мной уважаемый гн Ден Каминский (Dan Kaminsky — известен благодаря обнаружению им фундаментальной уязвимости в DNS ) предложил очень интересную универсальную технику защиты от SQL injection и XSS.
Метод очень просто и от того гениален.
Метод очень просто и от того гениален.
Информационная безопасность → Взломан сайт Интернет-магазина Symantec
Softpedia.com сообщает о взломе интернет-магазина Symantec. Румынский хакер по прозвищу Unu (известный ранее по взлому американской версии Интернет-магазина ЛК и BitDefender) на этот раз использовал инъекцию SQL-запроса в БД вебсайта pcd.symantec.com.
Unu смог достаточно легко добраться до таблицы в БД, связанной с Интернет-магазином вендора. Там его внимание привлекло наличие раздела «PaymentInformationInfo», в котором содержались адреса, данные по кредитным картам (месяц и год окончания карты, номер, тип, адреса почты, имена и фамилии владельцев, секретный код и так далее).
Кроме того, он также получил доступ к базе, в которой хранились логины и пароли посетителей сайта, включая информацию о покупках и выданных ключах на продукты.
Unu смог достаточно легко добраться до таблицы в БД, связанной с Интернет-магазином вендора. Там его внимание привлекло наличие раздела «PaymentInformationInfo», в котором содержались адреса, данные по кредитным картам (месяц и год окончания карты, номер, тип, адреса почты, имена и фамилии владельцев, секретный код и так далее).
Кроме того, он также получил доступ к базе, в которой хранились логины и пароли посетителей сайта, включая информацию о покупках и выданных ключах на продукты.
Персональные блоги → Панацея от SQL-инъекций — запросы с параметрами
Введение
Этот топик — начало небольшого цикла о панацеях от различных уязвимостей Web-приложений.
Так уж случилось, что SQL-инъекциями страдает большое количество Web-приложений. И сколько не пишется статей, сколько не публикуется багрепортов — все равно, программисты