Új hozzászólás Aktív témák

• #87 bambano titán #14595328 #86

  Új Válasz 2015-11-02 15:19:16 #87

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  bambano

  titán

  LOGOUT blog

  válasz #14595328 #86 üzenetére

  komolyan elgondolkodtam azon, amiket írtál, de nem értem.
  ha jól tudom, az sql injectionok egyik formája, hogy a rendszer nem csak azt a rekordot adja vissza, amire szükség van, hanem sok másikat is. egyszerűség kedvéért tegyük fel, hogy az első három rekord az igazi adat, a 4-től kezdődőek meg az injektált lopottak.
  akkor a rendszernél ott van a visszafejtési kulcs, amivel az első három legális adatot kiírja, ugyanazzal a lendülettel visszafejti a többit is, és kiírja azokat is.

  ha meg nem az applikáció fejti vissza az adatokat, hanem az adatbáziskezelő, akkor megint nem védtél meg semmit, mert nem fogja tudni, hogy hány rekord lenne a helyes válasz.

  az mindegy, honnan kerül be a titkos jelszó a rendszerbe, usb tokenről vagy begépelik, a problémám az, hogy a rendszer életszerű használata esetén egyszer ott kellene, hogy legyen a jelszó, máskor meg nem, és ezt a két esetet lehet, hogy lehetetlen szétválasztani.

  Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Új hozzászólás Aktív témák