Új hozzászólás Aktív témák
-
ddekany
veterán
Nyilván, de legalább alap, hogy vannak, és ha jól rémlik mindig is voltak JDBC paraméterek. A HTML encoding... na az a másik. Csomó környezetben még mindig nem alap, hogy HTML template-ekben alapértelmezésben kódolunk, és csak ha explicit ki van jelentve, hogy nem kell, csak akkor nem. Ez tehát megint a (korai) eszközök hibája. Na de amúgy nem meglepő, hogy így állunk, elvégre az egész netes felzúdulás nincs még 20 éves... Ahogy elnézem az értelmesebb körökből jövő új framework-ökben ezek a dolgok már alapvetőek.
[ Szerkesztve ]
-
=Mentor=
őstag
"Jótékony" oldalfeltörő, talán még meg is kéne köszönni neki?
-
floatr
veterán
Ez a hülyeség platformfüggetlen. Itt is akadt néhány kolléga, akik nem szeretik a jdbc paramétereket.
A másik hasonló állat a HTML encoding, bár az nem annyira brutálisan kártékony, de session-lopni azzal is lehet, ha gagyi a rendszer. Gondolom az sem volt itten védés alatt
-
ddekany
veterán
Mondjuk ehhez vastagon hozzátartozik az is, hogy nem elég hogy a gyorstalpalt (indiai, kínai, gábordénesi...
) és nem érdeklődő programozó olyan amilyen, a PHP platform készítői erre rádobtak egy lapáttal a maguk elsöprően sikeres inkompetenciájával. Először ugye volt a magic_quotes nevű csoda, de mivel állandóan gondot okozott (jééé), ezt elavultnak nyilvánították. Ám az alap PHP-s adatbázis kezelő könyvtárak csak ilyen string összefűzéses szart támogatnak, magyarul akkor most pakolásszál minden beszúrt változó köré mysql_real_escape_string(...)-t (azért ilyen viccesen hosszú a neve, hogy Csen/Rhajan/Pisti még inkább ne akarja odatenni), amit ha egyszer is valahol kifelejtesz, VAGY az előtte lévő idézőjelet kifelejted a befogadó sztringből, akkor ott az SQL injection lehetősége. Hát gratulálok. (Természetesen az idézőjel kifelejtésétől a magic_quotes sem védett.) Persze most már van PDO (meg mysqui), de ha nem alap, hogy mindenhol elérhetőek, akkor sokan ódzkodnak tőlük.
-
Brown ügynök
senior tag
Nem is tudom melyik a rosszabb: a figyelmetlenség vagy a szaktudás hiánya. Minden felhasználótól érkező adatnál alap lenne egy escape string. Az a meglepő, hogy az elmúlt hónapokban is egy csomó nagyvállalat weblapját törték fel, volt ahol ezt módszert alkalmazták. Azért elvárná az ember, hogy ilyen helyeken hozzáértőket alkalmaznak akik ilyen amatőr hibát nem vétenek.
Azért is voltam kicsit hitetlen az SQL injection-nel kapcsolatban mert könnyen kivédhető támadásnak tűnt.
-
ddekany
veterán
Ez valószínűleg inkább figyelmetlenség vagy a szaktudás hiánya, mivel szinte semmi plusz munkát nem jelent védekezni ellene. Főleg a tipikus LAMP-os webes programozók közül sokaknak magas az ilyesmi, amikor több nyelv összefonódik (pl. PHP + SQL), nem értik mi az amit végül is az adatbázis szerver megkap, vagy hogyan van ez az egész...
-
Inv1sus
addikt
válasz
Brown ügynök #1 üzenetére
Ennyi. Sok ember azt gondolja, hogy mások úgyse fogják azon a ponton támadni a rendszert, ami nekik két-háromnapos meló lenne, így nem csinálják meg rendesen. Vannak ilyen tapasztalataim sajnos.
Az pedig gáz, hogy SQL injection-nal jutottak be. Ez nagyon alap támadási mód.
[ Szerkesztve ]
-
ch003067
addikt
Ennek a feltörésért vajon hány pont jár ??
Amúgy ciki...
-
Na igen, kaptam is a mailt...igaz, azóta már párszor váltottam jelszót, és a használt fiókomba egyébként is sok spam jön, de a Gmail szűrője jól működik.
Azért kedves, hogy a Nokia elnézésem kéri. Én elnézem neki, most az egyszer, de többé ne forduljon elő (erről most eszembe jutott a Macskajaj idevágó jelenete, nem idéznék, mert nem olyan szavak voltak benne, ami ideillő lenne...).
-
ddekany
veterán
válasz
Brown ügynök #1 üzenetére
Ha van lehetőség SQL injection-ra, mert az oldal készítői benézték, akkor nem nagy művészet bejutni... Ha meg nem nézték be, akkor nem lehet vele bejutni. Elég egyszerű képlet. "SELECT akarmi FROM blabla WHERE id =" + id => nyilvános kivégzés a főtéren, család ivartalanítása, stb.
-
anulu
félisten
válasz
Brown ügynök #1 üzenetére
nagyon sok a támadási felület, és piszok sokan unatkoznak
-
anulu
félisten
"a világ egyik legnevesebb IT-cégénél elfogadhatatlan az ilyen sebezhetőség"
itt van a lényeg
-
Sok hacker van ez tény. A Sonynál is az a botrány a ps3 körül...
-
Feruendios
tag
Hát igen ez elég gáz, hogy SQL-injection-el be tudtak hatolni.
-
Brown ügynök
senior tag
Ezt nem értem. Komolyan ilyen könnyű egy SQL injection támadással bejutni? Vagy ennyi jó hacker van? Vagy ennyi biztonságilag selejtes oldal van?
Új hozzászólás Aktív témák
it Presztízsveszteség, de nagy kár valószínűleg nem lesz, mivel a hacker a jelek szerint nem akart visszaélni a megszerzett adatokkal.
- Három új Ryzen AI rendszerchipet kap Kína
- PlayStation 5
- Anglia - élmények, tapasztalatok
- Nvidia GPU-k jövője - amit tudni vélünk
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- Escape from Tarkov
- Samsung Galaxy S24 Ultra - ha működik, ne változtass!
- OLED TV topic
- Milyen RAM-ot vegyek?
- Hardcore café
- További aktív témák...
- Ryzen 7 5700X / RTX 4060 / B450 / 16GB vagy 32GB RAM / 256GB + 1TB M.2 SSD / 650W
- Bomba ár! Lenovo ThinkPad X270 - i5-7G I 8GB I 256GB SSD I 12,5" HD I HDMI I Cam I W11 I Garancia!
- Bomba ár! Lenovo ThinkPad X270 - i5-6G I 8GB I 256GB SSD I 12,5" FHD I HDMI I Cam I W10 I Garancia!
- Bomba ár! Lenovo ThinkPad X260 - i5-6G I 8GB I 128GB SSD I 12,5" HD I HDMI I CAM I W10 I Gari!
- Bomba ár! Lenovo ThinkPad T440 - i5-4GEN I 8GB I 500GB I 14" HD I Cam I W10 I Garancia!