Slo-Tech - SQL vrivanje (SQL injection) je preprost in žal še vedno razmeroma pogost napad na spletne aplikacije. V osnovi poteka tako, da napadalec v vnosna polja spletne aplikacije vnaša delce programske kode (SQL ukaze). S tem ranljivo aplikacijo prepriča, da mu posreduje podatke iz zaledne baze (npr. gesla, seznam uporabnikov, ipd.), do katerih sicer ne bi smel imeti dostopa.
SQL vrivanje je mogoče preprečiti s tim. filtriranjem vnosov, obstaja pa še bolj enostaven način, in sicer, da spletna aplikacija sploh ne uporablja SQL baze. Slednjega pristopa so se očitno poslužili na spletni strani MyStops.eu. Gre za spletno stran, ki je namenjena popotnikom, saj omogoča hitro iskanje in pregled postankov ter prikaz navodil za pot do izbranega postanka.
Spletna stran omogoča tudi registracijo uporabnikov, ki lahko beležijo svoje postanke in jih delijo z drugimi popotniki. In kjer je potrebna registracija, je potrebna tudi zaledna zbirka podatkov. In če je zaledna zbirka podatkov v SQL bazi, je spletna aplikacija lahko ranljiva za SQL vrivanjem.
Tako so se pri MyStops.eu odločili, da bodo podatke shranjevali kar v tekstovno datoteko. Ki je bila v duhu transparentnosti do nedavnega kar javno dostopna. Tako so lahko "Google hekerji" kar s pomočjo hekerskega orodja z imenom brskalnik pregledovali seznam registriranih uporabnikov, vključno z njihovimi e-naslovi in gesli za dostop do portala.
Pošiljanje podatkov v objavo (raziskovalno novinarstvo in 'whistleblowing')
Slo-Tech redno raziskuje in opozarja na nepravilnosti, ki jih posredujejo notranji prijavitelji (t.i. whistleblowerji) in drugi viri. Za komuniciranje z le-temi poleg običajnih kanalov uporablja storitev SecureDrop, ki ob izvajanju osnovnih varnostnih ukrepov omogoča relativno zaupno posredovanje dokumentov.
Storitev je preko omrežja TOR na voljo na naslovu: http://wxm23trged7cneqk.onion
O ranljivosti na spletni strani smo obvestili Informacijskega pooblaščenca. Seznam strank sedaj ni več dostopen.
Novice » Varnost » Kako se izogniti nevarnosti SQL vrivanja?
war-dog ::
Waw... Ostal sem brez besed. Pisanje v txt, ne vem če je izvirno ali pogumno.
Object reference not set to an instance of an object.
Netrunner ::
:) vsekakor so preprečili mySql Injection
Doing nothing is very hard to do... you never know when you're finished.
OracleDev ::
"SQL vrivanje je mogoče preprečiti s tim. filtriranjem vnosov, obstaja pa še bolj enostaven način, in sicer, da spletna aplikacija sploh ne uporablja SQL baze."
ja s tem res preprečiš SQL vrivanje, lol. SQL vrivanje preprečiš tako da ne limaš skupaj stringov kot to počnejo nevedi programerji.
ja s tem res preprečiš SQL vrivanje, lol. SQL vrivanje preprečiš tako da ne limaš skupaj stringov kot to počnejo nevedi programerji.
Utk ::
Dude, resno, nehaj s temi sarkastičnimi toni v novicah, ker bo nek siol v članku to prevzel kot dobro prakso...razen te malenkosti, da je bil text fajl javno dostopen.
AnotherMe ::
111111111111 ::
Dude, resno, nehaj s temi sarkastičnimi toni v novicah, ker bo nek siol v članku to prevzel kot dobro prakso...razen te malenkosti, da je bil text fajl javno dostopen.
Se podpišem pod tole. Sicer smo tehnično podkovani, ampak naključen bralec lahko naleti na tole novico in jo vzame zares.
SlimDeluxe ::
Pomoje je bil to nek "začasen" dump ali backup, pa ga niso izbrisali.
Očitno so še gesla imeli v plaintextu, kar je že dosežek zase
Očitno so še gesla imeli v plaintextu, kar je že dosežek zase
Desktop: R5 3600X | MSI MPG B550 | RX580 8GB | 32GB DDR4 | be quiet! 650W
Laptop: Lenovo ThinkPad T15 G2 | i7-1165G7 | 32GB DDR4 | 15" FullHD IPS
Laptop: Lenovo ThinkPad T15 G2 | i7-1165G7 | 32GB DDR4 | 15" FullHD IPS
c3p0 ::
Naj jo vzame zares, bodo razni novinarčki oz. pisuni morali še kaj delat za malico, ne le prepisovat.
neverlucky ::
Kaj pa da se doda /s ali nekaj na koncu naslova, pa mogoče na koncu še v dveh stavkih opomba, da je članek mišljen kot humor.
Looooooka ::
Thumbs up za novico.
Pa se enkrat za naslov.
S sarkazmom pokazat na idiote...tko se dela. Da ne more nihce trditi, da je prislo do takojsnjega blatenja "dobrega" imena.
Pa se enkrat za naslov.
S sarkazmom pokazat na idiote...tko se dela. Da ne more nihce trditi, da je prislo do takojsnjega blatenja "dobrega" imena.
win64 ::
Markoff ::
111111111111 je izjavil:
Dude, resno, nehaj s temi sarkastičnimi toni v novicah, ker bo nek siol v članku to prevzel kot dobro prakso...razen te malenkosti, da je bil text fajl javno dostopen.
Se podpišem pod tole. Sicer smo tehnično podkovani, ampak naključen bralec lahko naleti na tole novico in jo vzame zares.
No, naključni bralec, ki tole resno vzame, ni sysadmin ali spletni programer, tako da...
Očitno bo kmalu sarkazem označen kot sovražni govor. Očitno le ni globalnega segrevanja, če pa se tako zelo množijo posebne snežinkice.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
Zgodovina sprememb…
- spremenilo: Markoff ()
darkolord ::
Očitno le ni globalnega segrevanja, če pa se tako zelo množijo posebne snežinkice.Ja ne, očitno ga ni, sodeč po tej novici. Ker če je, potem bi moral biti naslov "Letošen junij je bil čisto običajen".
codeMonkey ::
Upam, da se tovrstne stvari prijavijo tudi na haveibeenpwned.com. To je ze tak primer, da bi bilo smiselno.
AštiriL ::
kaj se zgodi, če se registriraš z podpičjem v geslu?
Ostani 127.0.0.1, ko si 0.0.0.0, nosi 255.255.255.255.
111111111111 ::
111111111111 je izjavil:
Dude, resno, nehaj s temi sarkastičnimi toni v novicah, ker bo nek siol v članku to prevzel kot dobro prakso...razen te malenkosti, da je bil text fajl javno dostopen.
Se podpišem pod tole. Sicer smo tehnično podkovani, ampak naključen bralec lahko naleti na tole novico in jo vzame zares.
No, naključni bralec, ki tole resno vzame, ni sysadmin ali spletni programer, tako da...
Očitno bo kmalu sarkazem označen kot sovražni govor. Očitno le ni globalnega segrevanja, če pa se tako zelo množijo posebne snežinkice.
Ne kot sovražni govor. Naj bodo novičke humorne ali pa na nekem nivoju ne moreš imeti obojega.
Pri 24 ur je pač relevantno pričakovati naslove:
Nikoli ne boste ugotovili kaj ji je rekel...
Ne boste verjeli kaj je oblekla...
itd...
Domneval sem da so slo-tech novice na malo višjem nivoju. Že ironija pri informacijski pooblaščenki mi je tam tam. Tale zadeva mi je pa mimo. Dejansko sem mislil, da je kakšen konkreten nov pristop. Če sem zato snežinkica, se bom pač stopil. :D
no comment ::
Slotek testira, če lahko pade nižje od povprečja...
.
.
.
... mission accomplished!
.
.
.
... mission accomplished!
Zgodovina sprememb…
- spremenilo: no comment ()
Spiko ::
I approve, le tako naprej.
Btw, snežinke se talijo, ne topijo.
Btw, snežinke se talijo, ne topijo.
Take that, dirty Linux hippies! Take that, Thieving Macintosh Republicans! XD
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Kako se izogniti nevarnosti SQL vrivanja?Oddelek: Novice / Varnost | 7364 (4790) | Spiko |
» | AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre (strani: 1 2 3 4 5 6 7 8 )Oddelek: Novice / Varnost | 130968 (96201) | AndrejO |
» | Pol milijona pohekanih spletnih strežnikov - med njimi tudi slovenski!Oddelek: Novice / Varnost | 5960 (3891) | poweroff |
» | Vzpostavljanje prikritih omrežij s pomočjo XSS ranljivosti in JavaScriptaOddelek: Novice / Varnost | 5624 (4333) | MrStein |
» | Raziskava o ranljivosti spletnih strani z SQL bazami podatkovOddelek: Novice / Varnost | 4922 (4258) | sverde21 |