Slo-Tech - SQL vrivanje (SQL injection) je preprost in žal še vedno razmeroma pogost napad na spletne aplikacije. V osnovi poteka tako, da napadalec v vnosna polja spletne aplikacije vnaša delce programske kode (SQL ukaze). S tem ranljivo aplikacijo prepriča, da mu posreduje podatke iz zaledne baze (npr. gesla, seznam uporabnikov, ipd.), do katerih sicer ne bi smel imeti dostopa.
SQL vrivanje je mogoče preprečiti s tim. filtriranjem vnosov, obstaja pa še bolj enostaven način, in sicer, da spletna aplikacija sploh ne uporablja SQL baze. Slednjega pristopa so se očitno poslužili na spletni strani MyStops.eu. Gre za spletno stran, ki je namenjena popotnikom, saj omogoča hitro iskanje in pregled postankov ter prikaz navodil za pot do izbranega postanka.
Spletna stran omogoča tudi registracijo uporabnikov, ki lahko beležijo svoje postanke in jih delijo z drugimi popotniki. In kjer je potrebna registracija, je potrebna tudi zaledna zbirka podatkov. In če je zaledna zbirka podatkov v SQL bazi, je spletna aplikacija lahko ranljiva za SQL vrivanjem.
Tako so se pri MyStops.eu odločili, da bodo podatke shranjevali kar v tekstovno datoteko. Ki je bila v duhu transparentnosti do nedavnega kar javno dostopna. Tako so lahko "Google hekerji" kar s pomočjo hekerskega orodja z imenom brskalnik pregledovali seznam registriranih uporabnikov, vključno z njihovimi e-naslovi in gesli za dostop do portala.
Pošiljanje podatkov v objavo (raziskovalno novinarstvo in 'whistleblowing')
Slo-Tech redno raziskuje in opozarja na nepravilnosti, ki jih posredujejo notranji prijavitelji (t.i. whistleblowerji) in drugi viri. Za komuniciranje z le-temi poleg običajnih kanalov uporablja storitev SecureDrop, ki ob izvajanju osnovnih varnostnih ukrepov omogoča relativno zaupno posredovanje dokumentov. Storitev je preko omrežja TOR na voljo na naslovu: http://wxm23trged7cneqk.onion
O ranljivosti na spletni strani smo obvestili Informacijskega pooblaščenca. Seznam strank sedaj ni več dostopen.
"SQL vrivanje je mogoče preprečiti s tim. filtriranjem vnosov, obstaja pa še bolj enostaven način, in sicer, da spletna aplikacija sploh ne uporablja SQL baze."
ja s tem res preprečiš SQL vrivanje, lol. SQL vrivanje preprečiš tako da ne limaš skupaj stringov kot to počnejo nevedi programerji.
Dude, resno, nehaj s temi sarkastičnimi toni v novicah, ker bo nek siol v članku to prevzel kot dobro prakso...razen te malenkosti, da je bil text fajl javno dostopen.
Dude, resno, nehaj s temi sarkastičnimi toni v novicah, ker bo nek siol v članku to prevzel kot dobro prakso...razen te malenkosti, da je bil text fajl javno dostopen.
Tocno to sem tuhtal! Zacnem brat, aha, nekaj novega so nasli za zascito, pol pa vidim kaksno resitev so naredili :)
Dude, resno, nehaj s temi sarkastičnimi toni v novicah, ker bo nek siol v članku to prevzel kot dobro prakso...razen te malenkosti, da je bil text fajl javno dostopen.
Se podpišem pod tole. Sicer smo tehnično podkovani, ampak naključen bralec lahko naleti na tole novico in jo vzame zares.
Thumbs up za novico. Pa se enkrat za naslov. S sarkazmom pokazat na idiote...tko se dela. Da ne more nihce trditi, da je prislo do takojsnjega blatenja "dobrega" imena.
Zakaj tako misliš? Tudi v teh primerih se lahko in se kdaj na roke gradi SQL stavke. Je pa res, da se lahko parametizira vrednosti. S tem se tudi najbolj zaščitiš.
Dude, resno, nehaj s temi sarkastičnimi toni v novicah, ker bo nek siol v članku to prevzel kot dobro prakso...razen te malenkosti, da je bil text fajl javno dostopen.
Se podpišem pod tole. Sicer smo tehnično podkovani, ampak naključen bralec lahko naleti na tole novico in jo vzame zares.
No, naključni bralec, ki tole resno vzame, ni sysadmin ali spletni programer, tako da...
Očitno bo kmalu sarkazem označen kot sovražni govor. Očitno le ni globalnega segrevanja, če pa se tako zelo množijo posebne snežinkice.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
Dude, resno, nehaj s temi sarkastičnimi toni v novicah, ker bo nek siol v članku to prevzel kot dobro prakso...razen te malenkosti, da je bil text fajl javno dostopen.
Se podpišem pod tole. Sicer smo tehnično podkovani, ampak naključen bralec lahko naleti na tole novico in jo vzame zares.
No, naključni bralec, ki tole resno vzame, ni sysadmin ali spletni programer, tako da...
Očitno bo kmalu sarkazem označen kot sovražni govor. Očitno le ni globalnega segrevanja, če pa se tako zelo množijo posebne snežinkice.
Ne kot sovražni govor. Naj bodo novičke humorne ali pa na nekem nivoju ne moreš imeti obojega.
Pri 24 ur je pač relevantno pričakovati naslove: Nikoli ne boste ugotovili kaj ji je rekel... Ne boste verjeli kaj je oblekla... itd...
Domneval sem da so slo-tech novice na malo višjem nivoju. Že ironija pri informacijski pooblaščenki mi je tam tam. Tale zadeva mi je pa mimo. Dejansko sem mislil, da je kakšen konkreten nov pristop. Če sem zato snežinkica, se bom pač stopil. :D
