Комментарии 13
инъекции (SQL, XSS, XML, XXE, XPath, XQuery, Linq и т. п.),
Что такое «Linq-инъекция»?
В Dynamic Linq можно повлиять на построение запроса, если не проводить параметризацию, а собирать из строк типа такого:
Атакующий может передать туда
В результате это все развернется в
Еще вариант — какая-нибудь уязвимость в стороннем LINQ-провайдере, позволяющая инжекцию.
dataset.Where("allowed == 1 and code == \"" + user_entered_data + "\"");
Атакующий может передать туда
200" or allowed == 0 and code == "200
В результате это все развернется в
select ... from ... where allowed == 1 and code == "200" or allowed == 0 and code == "200"
Еще вариант — какая-нибудь уязвимость в стороннем LINQ-провайдере, позволяющая инжекцию.
НЛО прилетело и опубликовало эту надпись здесь
__ai_bkfoepld_validator
Снимите кота с клавиатуры.
У вас в примерах кода используется http (UriComponents.HttpRequestUrl). Это просто безразличный к http/https парсер, или в рассматриваемом куске кода применяются http запросы?
Интересно про Padding Oracle и нестойкий CBC. Получается, что если мы хотим хранить на клиенте зашифрованные данные, ключ от которых есть только на сервере, то имеет смысл всегда добавлять к ним HMAC?
И еще такой вопрос: В Википедии написано, что TLS требует всегда проверять, что при дешифровании padding заполнен правильными данными. Чем опасно отсутствие такой проверки?
НЛО прилетело и опубликовало эту надпись здесь
en.wikipedia.org/wiki/POODLE
«Even though TLS specifications require servers to check the padding, some implementations fail to validate it properly, which makes some servers vulnerable to POODLE even if they disable SSL 3.0.»
«Even though TLS specifications require servers to check the padding, some implementations fail to validate it properly, which makes some servers vulnerable to POODLE even if they disable SSL 3.0.»
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Разработка защищенных банковских приложений: главные проблемы и как их избежать