forum.opennet.ru

"Уязвимость, позволяющая осуществить подстановку SQL-кода в G..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..."	–6 +/–
Сообщение от Crazy Alex (ok), 08-Янв-17, 17:57
Гитхаб с руби - это так себе энтерпрайз. Со джавой/спрингом я подобных уязвимостей особо не помню, допустим (хотя могу не знать). Но вообще если исключить криворукость (которой гораздо меньше, чем было) основная причина - это совершенно убогие возможности SQL в этом плане - потому что prepared statements, собственно, никогда и не задумывались как механизм обеспечения безопасности - а только как оптимизация. В результате там можно гораздо меньше, чем надо для ORM и прочих динамически формируемых запросов, и часто тупая генерация строки оказывается гораздо более общим и предсказуемым методом. По идее, давно пора добавить ещё уровень - где динамическим было бы всё, от имён таблиц и полей до ключей запроса. Сделать это, в принципе, не так сложно - как минимум просто гнать набор токенов с явным указанием ожидаемого типа токена, как максимум - сразу синтаксическое дерево (которое один хрен строят ORMы, потом сериализуют, а потом база это дело парсит).
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость, позволяющая осуществить подстановку SQL-кода в G..., opennews, 08-Янв-17, 12:49 [смотреть все]

Хороший способ заработать 5 тыс за 4 дня , Аноним, 08-Янв-17, 12:49 (1) //
- А могли бы исследователю просто дать абонемент на год бесплатного Github Enterpr, Аноним, 08-Янв-17, 18:47 (21) //
  - Но зачем где он его тратить будет , Аноненамус, 08-Янв-17, 19:49 (23) //
    - это, видимо - отсылка к наградам некоторых компаний, Аноним, 09-Янв-17, 18:29 (52)
что на опеннете делает эта гнусная проприетарщина , deadfood, 08-Янв-17, 13:16 (2) //
- Кормит троллей лулзами разве что Для чего-то такого проприетарь и нужна , Аноним, 09-Янв-17, 05:43 (36)
Вашу ж мать, когда ынтырпрайз научится использовать prepared statements, IB, 08-Янв-17, 14:13 (3) //
- Это ruby и ActiveRecord Там это может быть не столь элементарно, чем в случае, , Ordu, 08-Янв-17, 14:54 (4) //
  - Проблема не в ActiveRecord, а в том, что входные данные никто не проверяет как с, Аноним, 08-Янв-17, 17:46 (11) //
    - Оставлять проверку входных данных на прикладного программиста 8212 изощренный, Алексей Морозов, 08-Янв-17, 18:37 (17)
      - от prepared statements может просесть производительность Тот же оракл может оче, АнониМ, 08-Янв-17, 23:21 (30)
        
        Ахаха Тот же оракл просядет, если его кеш запросов будут забивать запросами с , Анином, 09-Янв-17, 03:18 (34)
        Ага, расскажи о вкусе ананасов тем кто их и в самом деле ел - В общем - в с, ., 09-Янв-17, 04:18 (35)
        Отпимизация случайного возникшего хорошего случая не забываем, что речь идет о , anonymous, 09-Янв-17, 17:44 (51)
      - А какая связь между автоматическим созданием SQL-стейтмента и prepared , xz, 12-Янв-17, 12:52 (58)
    - Конечно же Сколь бы дурацкий инструмент мы не использовали, если не справляется, Ordu, 09-Янв-17, 02:22 (33)
      - клоун Пока запрос пишется в текстовом виде, будут существовать ошибки подстанов, Аноним, 09-Янв-17, 11:23 (40)
        
        Однако ж попробуй заинъектить что-нибудь в простую key-value базу, где ключ и зн, Аноним, 09-Янв-17, 13:27 (43)
        
        клоун если программа работает с внешними данными, то можно подобрать такой их н, Аноним, 09-Янв-17, 13:44 (44)
        
        Только если автор - дол и не понял что извне таки натурально могут приехать Л, Аноним, 09-Янв-17, 20:03 (54)
        
        Бла-бла-бла Ещё какой всемирный закон ты открыл Сколько _тебе_ лет, что ты ни, Ordu, 09-Янв-17, 14:02 (45)
        
        клоун Ты в суть проблемы то вник Они неверно экранировали входные данные Каки, Аноним, 09-Янв-17, 14:18 (46)
        
        Ты с ActiveRecord знаком, деточка ActiveRecord занимается сборкой текстового sq, Ordu, 09-Янв-17, 17:40 (50)
  - AR вообще тут не причём Какой бы ни был ORM, программист просто не имеет права , Kodir, 08-Янв-17, 17:48 (12) //
    - Слишком толсто, попробуйте потоньше , Аноним, 08-Янв-17, 17:55 (13)
    - Угу, ваше Ну тогда и т ся сам с собой c анекдот , Аноним, 09-Янв-17, 05:45 (37)
- Гитхаб с руби - это так себе энтерпрайз Со джавой спрингом я подобных уязвимост , Crazy Alex, 08-Янв-17, 17:57 (14) //
  - Prepared statements на любом языке это кал Приходится писать их 100500 однотипн, Лютый жабист__, 08-Янв-17, 18:41 (18)
  - Известный мне open source пример 8212 querydsl http www querydsl com stati, Алексей Морозов, 08-Янв-17, 18:41 (19) //
    - Это вообще не то Во-первых, я говорил о том, что подобная штука должна быть чем, Crazy Alex, 08-Янв-17, 23:48 (31)
      - Реальность, данная нам в ощущениях, явственно говорит, что в существующие SQL RD, Алексей Морозов, 09-Янв-17, 16:28 (49)
- Когда уже невежды узнают про ограниченность возможностей prepared statements и п, angra, 09-Янв-17, 13:04 (42)
- И тут ты такой приводишь пример использования prepared statements с задаваемой п, mimocrocodile, 09-Янв-17, 15:12 (47)
Я правильно понял, что выявивший уязвимость определил ключ и получил код Как он , Вы забыли заполнить поле Name, 09-Янв-17, 01:55 (32) //
- Правильно, определять надо путем drop table students без лишних церемоний, это н, Аноним, 09-Янв-17, 05:49 (39)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру