|
Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | +/– | |
Сообщение от opennews (??) on 08-Янв-17, 12:49 | ||
В GitHub Enterprise (https://enterprise.github.com/home), варианте GitHub для предприятий, позволяющем развернуть окружение для совместной разработки внутри корпоративной сети на подконтрольном оборудовании, выявлена (http://blog.orange.tw/2017/01/bug-bounty-github-enterprise-s...) уязвимость, позволяющая через отправку специально оформленного запроса выполнить произвольный SQL-код на сервере. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
1. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | +4 +/– | |
Сообщение от Аноним (??) on 08-Янв-17, 12:49 | ||
Хороший способ заработать 5 тыс $ за 4 дня. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
21. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | +/– | |
Сообщение от Аноним (??) on 08-Янв-17, 18:47 | ||
> исследователю выплачено вознаграждение в размере 5 тысяч долларов США | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
23. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | +1 +/– | |
Сообщение от Аноненамус on 08-Янв-17, 19:49 | ||
Но зачем? где он его тратить будет? | ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
52. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | +/– | |
Сообщение от Аноним (??) on 09-Янв-17, 18:29 | ||
это, видимо - отсылка к наградам некоторых компаний | ||
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору |
2. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | +6 +/– | |
Сообщение от deadfood (ok) on 08-Янв-17, 13:16 | ||
>Прозрачная распаковка в момент выполнения осуществляется при помощи библиотеки ruby_concealer.so, анализ которой показал для метод упаковки сводится к сжатию кода при помощи Zlib::Inflate::inflate и применению операции XOR с предопределённым ключом. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
|
9. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | +/– | |
Сообщение от VANANIMAS on 08-Янв-17, 17:34 | ||
Ноет. | ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
36. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | +/– | |
Сообщение от Аноним (??) on 09-Янв-17, 05:43 | ||
> что на опеннете делает эта гнусная проприетарщина? | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
3. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | +/– | |
Сообщение от IB on 08-Янв-17, 14:13 | ||
Вашу ж мать, когда "ынтырпрайз" научится использовать prepared statements | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
4. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | –3 +/– | |
Сообщение от Ordu (ok) on 08-Янв-17, 14:54 | ||
Это ruby и ActiveRecord. Там это может быть не столь элементарно, чем в случае, когда SQL-запрос собирается вручную при помощи конкатенации строк, типа как в пхп. В том смысле, что ActiveRecord позволяет подставлять SQL-код иногда, для всяких разных целей. И мало просто использовать prepared statements, надо знать где находятся грабли, чтобы на них не наступить. Это, к слову, о безопасности языка или, как в данном случае, библиотеки: было бы полезнее урезать функциональность ActiveRecord, вынудив программиста использовать sql вручную, когда ему не хватает возможностей ActiveRecoed -- было бы больше шансов на то, что программист не наступит на эти грабли. Но -- нет, -- хочется напихать в ActiveRecord максимум функциональности, даже когда выбранные абстракции уже не позволяют это сделать, не подкладывая программисту граблей. | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
11. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | +3 +/– | |
Сообщение от Аноним (??) on 08-Янв-17, 17:46 | ||
Проблема не в ActiveRecord, а в том, что входные данные никто не проверяет как следует. | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
17. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | +3 +/– | |
Сообщение от Алексей Морозов (ok) on 08-Янв-17, 18:37 | ||
Оставлять проверку входных данных на прикладного программиста — изощренный способ сделать себе больно в неожиданный момент. Кто-нибудь обязательно облажается, не подумает обо всех corner cases, а ревьюверы кода не заметят, будут заняты другими делами и вообще, режим "давай-давай-быстрее!" никто не отменял. | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
30. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | –1 +/– | |
Сообщение от АнониМ (ok) on 08-Янв-17, 23:21 | ||
от prepared statements может просесть производительность. Тот же оракл может очень хорошо оптимизнуть запрос, ежель имеет конкретные значения, а не ps. Так что я б поостерёгся от утверждений "SQL-стейтменты должны формироваться автоматом". | ||
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору |
34. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | –2 +/– | |
Сообщение от Анином on 09-Янв-17, 03:18 | ||
>Тот же оракл может очень хорошо оптимизнуть запрос, ежель имеет конкретные значения | ||
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору |
35. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | –2 +/– | |
Сообщение от . on 09-Янв-17, 04:18 | ||
>Тот же оракл может очень хорошо оптимизнуть запрос, ежель имеет конкретные значения, а не ps. | ||
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору |
51. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | +/– | |
Сообщение от anonymous (??) on 09-Янв-17, 17:44 | ||
> от prepared statements может просесть производительность. Тот же оракл может очень хорошо | ||
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору |
58. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | +/– | |
Сообщение от xz (??) on 12-Янв-17, 12:52 | ||
> SQL-стейтменты должны формироваться автоматом. Простой, хотя и не гибкий и не всегда | ||
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору |
33. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | +/– | |
Сообщение от Ordu (ok) on 09-Янв-17, 02:22 | ||
Конечно же. Сколь бы дурацкий инструмент мы не использовали, если не справляется программист, то он и виноват. Продолжай думать так и дальше. Это несомненно позволит тебе не занимаясь тщательным выбором инструмента поднять свой скилл хождения по граблям до невообразимых высот. Только, тебе не боязно, что другие тем временем найдут более безопасные инструменты и потратят то же самое время на развитие более конструктивных навыков, таким образом подняв свою продуктивность до тех самых высот, на которых будет твоё умение не наступать на разложенные инструментами грабли? | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
40. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | –1 +/– | |
Сообщение от Аноним (??) on 09-Янв-17, 11:23 | ||
клоун: Пока запрос пишется в текстовом виде, будут существовать ошибки подстановки в него "инъекций". Другой инструмент? Сколько тебе лет что ты веришь в священные граали, решающие все проблемы лишь фактом своего существования? | ||
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору |
43. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | +/– | |
Сообщение от Аноним (??) on 09-Янв-17, 13:27 | ||
Однако ж попробуй заинъектить что-нибудь в простую key-value базу, где ключ и значение произвольные бинарные значения. Если специальной трактовки символов нет то и инъекция не получится. | ||
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору |
44. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | –1 +/– | |
Сообщение от Аноним (??) on 09-Янв-17, 13:44 | ||
клоун: если программа работает с внешними данными, то можно подобрать такой их набор, который приведёт к нарушению корректной работы. | ||
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору |
54. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | +/– | |
Сообщение от Аноним (??) on 09-Янв-17, 20:03 | ||
> клоун: если программа работает с внешними данными, то можно подобрать такой их | ||
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору |
45. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | +1 +/– | |
Сообщение от Ordu (ok) on 09-Янв-17, 14:02 | ||
> Пока запрос пишется в текстовом виде, будут существовать ошибки подстановки в него "инъекций". | ||
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору |
46. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | –1 +/– | |
Сообщение от Аноним (??) on 09-Янв-17, 14:18 | ||
клоун: Ты в суть проблемы то вник? Они неверно экранировали входные данные. Какие ещё грабли? | ||
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору |
50. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | +/– | |
Сообщение от Ordu (ok) on 09-Янв-17, 17:40 | ||
Ты с ActiveRecord знаком, деточка? ActiveRecord занимается сборкой текстового sql-запроса, и в частности экранированием. Задумка, примерно как в cl-sql: создать язык изоморфный SQL внутри языка общего назначения, чтобы функция query принимала бы запрос не как текстовую строку, а как более сложную структуру данных, которая бы позволяла библиотечному коду знать где строки которые надо подставить в запрос, а где ключевые слова SQL. И там, и там это достигается тем, что ключевые слова SQL передаются в библиотечный код не как строки, а иным путём. Всё же, что не ключевые слова, рассматривается библиотечным кодом как потенциально вредоносные строки, которые экранируются. | ||
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору |
12. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | –7 +/– | |
Сообщение от Kodir (ok) on 08-Янв-17, 17:48 | ||
AR вообще тут не причём! Какой бы ни был ORM, программист просто не имеет права брать "абстрактный шмот символов" и тут же совать на исполнение! Правильно люди сказали - обязан быть хардкоженый SQL оператор + параметр, принимающий строку извне. | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
13. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | +6 +/– | |
Сообщение от Аноним (??) on 08-Янв-17, 17:55 | ||
> Уязвимость, позволяющая осуществить подстановку SQL-кода в GitHub Enterprise | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
37. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | +1 +/– | |
Сообщение от Аноним (??) on 09-Янв-17, 05:45 | ||
> Mercurial - наше всё. :) | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
14. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | –6 +/– | |
Сообщение от Crazy Alex (ok) on 08-Янв-17, 17:57 | ||
Гитхаб с руби - это так себе энтерпрайз. Со джавой/спрингом я подобных уязвимостей особо не помню, допустим (хотя могу не знать). | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
18. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | –5 +/– | |
Сообщение от Лютый жабист__ on 08-Янв-17, 18:41 | ||
Prepared statements на любом языке это кал. Приходится писать их 100500 однотипных. Вообще sql устарел, вот в монге всё гуд и без ps. | ||
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору |
19. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | +/– | |
Сообщение от Алексей Морозов (ok) on 08-Янв-17, 18:41 | ||
> По идее, давно пора добавить ещё уровень - где динамическим было бы | ||
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору |
31. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | +/– | |
Сообщение от Crazy Alex (ok) on 08-Янв-17, 23:48 | ||
Это вообще не то. Во-первых, я говорил о том, что подобная штука должна быть чем-то стандартным и разбираться в базе. А здесь - опять просто надстройка, генерирующая SQL. | ||
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору |
49. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | –1 +/– | |
Сообщение от Алексей Морозов (ok) on 09-Янв-17, 16:28 | ||
> Во-первых, я говорил о том, что подобная штука должна быть чем-то стандартным и разбираться в базе | ||
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору |
42. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | +/– | |
Сообщение от angra (ok) on 09-Янв-17, 13:04 | ||
> Вашу ж мать, когда "ынтырпрайз" научится использовать prepared statements | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
47. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | +1 +/– | |
Сообщение от mimocrocodile on 09-Янв-17, 15:12 | ||
И тут ты такой приводишь пример использования prepared statements с задаваемой пользователем сортировкой | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
32. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | –1 +/– | |
Сообщение от Вы забыли заполнить поле Name on 09-Янв-17, 01:55 | ||
> анализ которой показал, что метод упаковки сводится к сжатию кода при помощи Zlib::Inflate::inflate и применению операции XOR с предопределённым ключом. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
39. "Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." | +/– | |
Сообщение от Аноним (??) on 09-Янв-17, 05:49 | ||
> Как он это понял, если код перечисленных сервисов закрыт? | ||
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |