Как стать автором
Обновить

Панацея от SQL-инъекций — запросы с параметрами

Чулан

Введение


Этот топик — начало небольшого цикла о панацеях от различных уязвимостей Web-приложений.

Так уж случилось, что SQL-инъекциями страдает большое количество Web-приложений. И сколько не пишется статей, сколько не публикуется багрепортов — все равно, программисты забивают забывают, что пользователь может подставить в параметры их приложению все, что им захочется.

Читать дальше →
Всего голосов 26: ↑12 и ↓14 -2
Просмотры 3.6K
Комментарии 38

Взломан сайт Интернет-магазина Symantec

Информационная безопасность *
Softpedia.com сообщает о взломе интернет-магазина Symantec. Румынский хакер по прозвищу Unu (известный ранее по взлому американской версии Интернет-магазина ЛК и BitDefender) на этот раз использовал инъекцию SQL-запроса в БД вебсайта pcd.symantec.com.
image

Unu смог достаточно легко добраться до таблицы в БД, связанной с Интернет-магазином вендора. Там его внимание привлекло наличие раздела «PaymentInformationInfo», в котором содержались адреса, данные по кредитным картам (месяц и год окончания карты, номер, тип, адреса почты, имена и фамилии владельцев, секретный код и так далее).
image

Кроме того, он также получил доступ к базе, в которой хранились логины и пароли посетителей сайта, включая информацию о покупках и выданных ключах на продукты.
Всего голосов 104: ↑90 и ↓14 +76
Просмотры 994
Комментарии 96

Очень интересный вариант защиты от SQL-инъекций и XSS

Информационная безопасность *
Один весьма мной уважаемый гн Ден Каминский (Dan Kaminsky — известен благодаря обнаружению им фундаментальной уязвимости в DNS ) предложил очень интересную универсальную технику защиты от SQL injection и XSS.

Метод очень просто и от того гениален.
Читать дальше →
Всего голосов 121: ↑63 и ↓58 +5
Просмотры 5.1K
Комментарии 178

GreenSQL: Защита SQL-серверов от инъекций

SQL *
Из песочницы
Иногда возникает необходимость использовать клиент-серверное программное обеспечение, реализующее нужный функционал, но крайне уязвимое к SQL-инъекциям. В основном это веб-сайты, сетевые приложения и другие сервисы, доступ к которым открыт широкому кругу пользователей, в том числе и злоумышленникам. В силу различных причин не всегда есть возможность предотвратить SQL-инъекции на уровне приложения — исходный код может быть закрыт, либо, в случае открытого кода, недостаточно знаний для внесения в него изменений, либо эта операция является дорогостоящей.

Обеспечить безопасность приложения в данном случае поможет GreenSQL — файрволл или прокси для SQL-серверов. Сервис GreenSQL размещается между вашим приложением и SQL-сервером, принимает sql-запросы от приложения и в зависимости от степени его благонадежности либо перенаправляет их на целевой SQL-сервер, либо отвергает.


Читать дальше →
Всего голосов 18: ↑12 и ↓6 +6
Просмотры 5.8K
Комментарии 19

Полностью никто никогда не защищён. Уязвимости на eBayToday

Информационная безопасность *
Никто никогда не может на все 100% гарантировать, что в его сервисе нету дыр или каких-либо лазеек. А если и могут — не нужно верить этим людям, они не компетентны в таких вопросах.
Даже на таких крупных проектах, как Яндекс.Деньги и то бывали дыры. Так что чего уж говорить о небольшом сервисе для покупок за границей — eBayToday.ru.

Дело это было вечером, делать, как говорится, мне было нечего… и решил я тогда чисто ради интереса посмотреть — а есть ли дыры на сайте, через который я сделал столько покупок? Может быть в один прекрасный момент я закажу себе новенький iPad 3, а через день зайду и узнаю, что аккаунт у меня угнали, адрес поменяли, да и вообще iPad уже давно в чужих руках…
Читать дальше →
Всего голосов 78: ↑48 и ↓30 +18
Просмотры 1.7K
Комментарии 76

Самый частый шаблон SQL инъекций в РНР — бесполезное экранирование символов

Информационная безопасность *
Из песочницы
По роду своей деятельности, мне приходится выполнять аудиты безопасности исходного кода веб-приложений.
Много веб-приложений и много кода…

В этой статье я хотел бы поделиться одной простой (очень простой) истиной и статистикой, которые вывел и многократно проверил в течении трех последний лет просмотра тонн РНР кода.

Не секрет, что уязвимости внедрения операторов СУБД (SQL injections) являются самыми распространенными из всех серверных уязвимостей веб-приложений. Есть платформы и фреймворки, где такие вещи практически полностью исключены, например ORM'ом и прочим. Но статистика упорно говорит нам об абсолютном преобладании на просторах Интернета веб-приложений с простыми конкатенированными SQL запросами. Кроме того, есть случаи, где ORM вообще применим быть не может. Например, когда от пользовательских данных должны зависеть не только параметры выражений, но и сама логика запроса на уровне операторов.
Читать дальше →
Всего голосов 90: ↑78 и ↓12 +66
Просмотры 34K
Комментарии 148

Логические уязвимости при составлении SQL запросов с LIKE

Информационная безопасность *
Когда пользовательские данные попадают в запрос под оператор LIKE следует быть предельно внимательными.
Дело в том, что ни одна функция фильтрации, включая mysql_real_escape_string, и даже prepared statements не защитят от логических ошибок, связанных с wildcard символами.

В нашей практике аудита веб-приложений, данная ошибка встречается примерно в каждом пятом веб-приложении, уязвимом к SQL-инъекциям (19.3%).

Оператор LIKE используется для поиска по неточному значению, строковых типов.
Синтаксис оператора позволяет использовать wildcard семантику, где
% заменяет классический * — последовательность любых символов
_ заменяет классический? — любой одиночный символ

Частая ошибка разработчиков состоит в том, что символы % и _ не фильтруются в попадании пользовательских данных в SQL запрос. Да, нарушить синтаксис запроса, то есть выполнить внедрение операторов, в этом случае нельзя, но может пострадать логика работы веб-приложения.
Читать дальше →
Всего голосов 24: ↑15 и ↓9 +6
Просмотры 8.2K
Комментарии 13

Базовые sql-инъекции в приложениях, использующих язык SQL. Руководство для чайников

Информационная безопасность *SQL *Microsoft SQL Server *
Перевод
Tutorial

Примечание переводчика


Данная работа является переводом части работы Chris Anley Advanced SQL Injection In SQL Server Applications. (прямая ссылка для скачивания)
В последующих статьях, при наличии свободного времени, данный перевод будет доведен до конца.

P.S. Перевод будет интересен более в образовательных и исторических целях.

Оригинальное название статьи: Продвинутые SQL-инъекции в приложениях, использующих язык SQL.

Аннотация


В данной статье подробно рассматриваются общие способы «SQL-инъекции», для известной платформы Microsoft Internet Information Server/Active Server Pages/SQL Server. В ней обсуждаются различные варианты использования инъекции SQL в приложениях и объясняются методы проверки данных, а также защита баз данных, в которых могут быть использованы инъекции.
Читать дальше →
Всего голосов 32: ↑16 и ↓16 0
Просмотры 34K
Комментарии 24

О том, как я был кул хацкером

Информационная безопасность *
Эти две небольших истории произошли со мной когда я был молод и глуп, но скорее глуп чем молод. Наверное, каждый из вас, в свое время, увлекался чем-либо. Возможно, это увлечение пришло к вам спонтанно, из-за стечения разного рода обстоятельств, так получилось и у меня. В те далекие-далекие времена я увлекся темной стороной силы взломом сайтов. Мой интерес был праздным, я лишь начинал свой путь веб-программиста и несколько моих сайтов взломали с помощью sql-injection. Мне требовалось дополнить свои знания чтобы впредь подобное не повторялось, чем, собственно, я и занялся.

Ну и как многие другие, в то время я увлекался браузерными играми и решил применить свои небольшие на тот момент и на этот знания в коварных целях.
Читать дальше →
Всего голосов 139: ↑88 и ↓51 +37
Просмотры 46K
Комментарии 44

Что угрожает вашему сайту после установки онлайн-консультанта и как мы с этим боремся

Блог компании RedHelper Информационная безопасность *SaaS / S+S *Разработка под e-commerce *
Разрабатываемые нами сервисы — онлайн-консультант RedHelper и обратный звонок RedConnect работают с личными данными посетителей, и потому требуют очень тщательного подхода к безопасности как клиентской части виджета, так и к серверной. В этой статье мы немного расскажем о том, какие типы угроз могут ожидать Ваш после установки различных виджетов, и как мы обеспечиваем безопасность в наших продуктах.

Disclaimer: Если Вы разбираетесь в типах угроз и противодействию им — можете смело листать ленту дальше, так как ничего нового Вы, скорее всего, не узнаете. Но если аббревиатуры MITM, XSS или XFRS для вас ничего не значат, и у вас на сайте стоит один или несколько виджетов — сегодня Вы можете узнать много нового.

Читать дальше →
Всего голосов 18: ↑10 и ↓8 +2
Просмотры 6.6K
Комментарии 11

И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках

Информационная безопасность *PostgreSQL *SQL *
Из песочницы
Одиноким вечером, глядя на свою пустую зачётку и осознавая, что конец близок, я снова задумался о том, как бы мне сейчас собрать сумку, или даже просто рюкзак, положить туда рубашку, шорты и свалить в тёплую страну. Было бы хорошо, да вот с дипломом живётся намного лучше. Во всяком случае, мне всегда так говорят.

Также часто слышал много историй про людей, которые приходили на собеседования с красными дипломами МГУ, но при этом абсолютно не разбирались в своей специальности, а потом на корпоративах признавались, что диплом у них купленный.

Но времена сейчас другие, сейчас 21 век, век больших возможностей, любой работодатель, который умеет пользоваться мышкой и знает, как выглядит браузер на рабочем столе, может проверить данные диплома. Каждый диплом, который выдаётся учебным заведением, теперь регистрируется в едином реестре, доступ к которому есть у каждого через сайт Федеральной службы по надзору в сфере образования и науки.

image

Внимание: не пытайтесь повторять действия, описанные в публикации и им подобные. Помните о ст. 272 УК РФ «Неправомерный доступ к компьютерной информации».

Читать дальше →
Всего голосов 360: ↑346 и ↓14 +332
Просмотры 136K
Комментарии 815