Hirdetés

Hozzászólok Aktív témák

  • bambano

    titán

    LOGOUT blog

    válasz #14595328 #86 üzenetére

    komolyan elgondolkodtam azon, amiket írtál, de nem értem.
    ha jól tudom, az sql injectionok egyik formája, hogy a rendszer nem csak azt a rekordot adja vissza, amire szükség van, hanem sok másikat is. egyszerűség kedvéért tegyük fel, hogy az első három rekord az igazi adat, a 4-től kezdődőek meg az injektált lopottak.
    akkor a rendszernél ott van a visszafejtési kulcs, amivel az első három legális adatot kiírja, ugyanazzal a lendülettel visszafejti a többit is, és kiírja azokat is.

    ha meg nem az applikáció fejti vissza az adatokat, hanem az adatbáziskezelő, akkor megint nem védtél meg semmit, mert nem fogja tudni, hogy hány rekord lenne a helyes válasz.

    az mindegy, honnan kerül be a titkos jelszó a rendszerbe, usb tokenről vagy begépelik, a problémám az, hogy a rendszer életszerű használata esetén egyszer ott kellene, hogy legyen a jelszó, máskor meg nem, és ezt a két esetet lehet, hogy lehetetlen szétválasztani.

    Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Hozzászólok Aktív témák

Hirdetés