Prijavi se z GoogleID

» »

Kako se izogniti nevarnosti SQL vrivanja?

Kako se izogniti nevarnosti SQL vrivanja?

Slo-Tech - SQL vrivanje (SQL injection) je preprost in žal še vedno razmeroma pogost napad na spletne aplikacije. V osnovi poteka tako, da napadalec v vnosna polja spletne aplikacije vnaša delce programske kode (SQL ukaze). S tem ranljivo aplikacijo prepriča, da mu posreduje podatke iz zaledne baze (npr. gesla, seznam uporabnikov, ipd.), do katerih sicer ne bi smel imeti dostopa.

SQL vrivanje je mogoče preprečiti s tim. filtriranjem vnosov, obstaja pa še bolj enostaven način, in sicer, da spletna aplikacija sploh ne uporablja SQL baze. Slednjega pristopa so se očitno poslužili na spletni strani MyStops.eu. Gre za spletno stran, ki je namenjena popotnikom, saj omogoča hitro iskanje in pregled postankov ter prikaz navodil za pot do izbranega postanka.

Spletna stran omogoča tudi registracijo uporabnikov, ki lahko beležijo svoje postanke in jih delijo z drugimi popotniki. In kjer je potrebna registracija, je potrebna tudi zaledna zbirka podatkov. In če je zaledna zbirka podatkov v SQL bazi, je spletna aplikacija lahko ranljiva za SQL vrivanjem.



Tako so se pri MyStops.eu odločili, da bodo podatke shranjevali kar v tekstovno datoteko. Ki je bila v duhu transparentnosti do nedavnega kar javno dostopna. Tako so lahko "Google hekerji" kar s pomočjo hekerskega orodja z imenom brskalnik pregledovali seznam registriranih uporabnikov, vključno z njihovimi e-naslovi in gesli za dostop do portala.

Pošiljanje podatkov v objavo (raziskovalno novinarstvo in 'whistleblowing')

Slo-Tech redno raziskuje in opozarja na nepravilnosti, ki jih posredujejo notranji prijavitelji (t.i. whistleblowerji) in drugi viri. Za komuniciranje z le-temi poleg običajnih kanalov uporablja storitev SecureDrop, ki ob izvajanju osnovnih varnostnih ukrepov omogoča relativno zaupno posredovanje dokumentov.
Storitev je preko omrežja TOR na voljo na naslovu: http://wxm23trged7cneqk.onion

O ranljivosti na spletni strani smo obvestili Informacijskega pooblaščenca. Seznam strank sedaj ni več dostopen.

28 komentarjev

war-dog ::

Waw... Ostal sem brez besed. Pisanje v txt, ne vem če je izvirno ali pogumno.
Object reference not set to an instance of an object.

#000 ::

:) vsekakor so preprečili mySql Injection
Se trudim da ne hranim trolov.
Ne razpravljam s pripadniki Wordpress sekte.

OracleDev ::

"SQL vrivanje je mogoče preprečiti s tim. filtriranjem vnosov, obstaja pa še bolj enostaven način, in sicer, da spletna aplikacija sploh ne uporablja SQL baze."

ja s tem res preprečiš SQL vrivanje, lol. SQL vrivanje preprečiš tako da ne limaš skupaj stringov kot to počnejo nevedi programerji.

gtu ::

(C) SiWebST :)

Utk ::

Dude, resno, nehaj s temi sarkastičnimi toni v novicah, ker bo nek siol v članku to prevzel kot dobro prakso...razen te malenkosti, da je bil text fajl javno dostopen.

AnotherMe ::

Utk je izjavil:

Dude, resno, nehaj s temi sarkastičnimi toni v novicah, ker bo nek siol v članku to prevzel kot dobro prakso...razen te malenkosti, da je bil text fajl javno dostopen.


Tocno to sem tuhtal!
Zacnem brat, aha, nekaj novega so nasli za zascito, pol pa vidim kaksno resitev so naredili :)

Chuapoiz ::

Utk je izjavil:

Dude, resno, nehaj s temi sarkastičnimi toni v novicah, ker bo nek siol v članku to prevzel kot dobro prakso...razen te malenkosti, da je bil text fajl javno dostopen.

Se podpišem pod tole. Sicer smo tehnično podkovani, ampak naključen bralec lahko naleti na tole novico in jo vzame zares.

SlimDeluxe ::

Pomoje je bil to nek "začasen" dump ali backup, pa ga niso izbrisali.
Očitno so še gesla imeli v plaintextu, kar je že dosežek zase :))
Desktop: i5 6500 | RX580 8GB | 16GB DDR4 | be quiet! StraightPower 11 650W
Laptop Asus TUF FX705GD: i7 8750H | GTX1050 | 16GB DDR4 | 17" FullHD IPS

Totscha ::

Tehniko ljudstvu!
Haters gonna hate... ;)

c3p0 ::

Naj jo vzame zares, bodo razni novinarčki oz. pisuni morali še kaj delat za malico, ne le prepisovat.

darkolord ::

Mene tudi motijo tile sarkastični naslovi zadnje čase.
spamtrap@hokej.si
spamtrap@gettymobile.si

AgiZ ::

Enako. Sarkazma je preveč že v komentarjih, naj bodo novice bolj "čiste".

neverlucky ::

Kaj pa da se doda /s ali nekaj na koncu naslova, pa mogoče na koncu še v dveh stavkih opomba, da je članek mišljen kot humor.

Evolve ::

beda...

ST skulirajte se

          ::

čudno da modi ne pobrišejo novice

AndrejS ::

dotnet core & EF ==> kaj je to SQL injection ?

Looooooka ::

Thumbs up za novico.
Pa se enkrat za naslov.
S sarkazmom pokazat na idiote...tko se dela. Da ne more nihce trditi, da je prislo do takojsnjega blatenja "dobrega" imena.

Phantomeye ::

Sarkazem dela težave le avtistom

win64 ::

AndrejS je izjavil:

dotnet core & EF ==> kaj je to SQL injection ?

Zakaj tako misliš? Tudi v teh primerih se lahko in se kdaj na roke gradi SQL stavke.
Je pa res, da se lahko parametizira vrednosti. S tem se tudi najbolj zaščitiš.

Markoff ::

Chuapoiz je izjavil:

Utk je izjavil:

Dude, resno, nehaj s temi sarkastičnimi toni v novicah, ker bo nek siol v članku to prevzel kot dobro prakso...razen te malenkosti, da je bil text fajl javno dostopen.

Se podpišem pod tole. Sicer smo tehnično podkovani, ampak naključen bralec lahko naleti na tole novico in jo vzame zares.

No, naključni bralec, ki tole resno vzame, ni sysadmin ali spletni programer, tako da...

Očitno bo kmalu sarkazem označen kot sovražni govor. Očitno le ni globalnega segrevanja, če pa se tako zelo množijo posebne snežinkice.
Novorek idiokracije:
posebaj, skropucalo, inžinir, intiligenca/intelegenca, apsolutno, anEks.

Zgodovina sprememb…

  • spremenilo: Markoff ()

darkolord ::

Markoff je izjavil:

Očitno le ni globalnega segrevanja, če pa se tako zelo množijo posebne snežinkice.
Ja ne, očitno ga ni, sodeč po tej novici. Ker če je, potem bi moral biti naslov "Letošen junij je bil čisto običajen".
spamtrap@hokej.si
spamtrap@gettymobile.si

codeMonkey ::

Upam, da se tovrstne stvari prijavijo tudi na haveibeenpwned.com. To je ze tak primer, da bi bilo smiselno.

Ahim ::

:)) Tisti mungl, ki je tole "aplikacijo" (stran) skupaj spravil, si zasluzi posteno brco v rit.

AštiriL ::

kaj se zgodi, če se registriraš z podpičjem v geslu?
-- na ST se uporabnike med seboj tika.
https://a4l.space/

neverlucky ::

Saj večina ljudi se ne. Tako da deluje ok.

Chuapoiz ::

Markoff je izjavil:

Chuapoiz je izjavil:

Utk je izjavil:

Dude, resno, nehaj s temi sarkastičnimi toni v novicah, ker bo nek siol v članku to prevzel kot dobro prakso...razen te malenkosti, da je bil text fajl javno dostopen.

Se podpišem pod tole. Sicer smo tehnično podkovani, ampak naključen bralec lahko naleti na tole novico in jo vzame zares.

No, naključni bralec, ki tole resno vzame, ni sysadmin ali spletni programer, tako da...

Očitno bo kmalu sarkazem označen kot sovražni govor. Očitno le ni globalnega segrevanja, če pa se tako zelo množijo posebne snežinkice.

Ne kot sovražni govor. Naj bodo novičke humorne ali pa na nekem nivoju ne moreš imeti obojega.

Pri 24 ur je pač relevantno pričakovati naslove:
Nikoli ne boste ugotovili kaj ji je rekel...
Ne boste verjeli kaj je oblekla...
itd...

Domneval sem da so slo-tech novice na malo višjem nivoju. Že ironija pri informacijski pooblaščenki mi je tam tam. Tale zadeva mi je pa mimo. Dejansko sem mislil, da je kakšen konkreten nov pristop. Če sem zato snežinkica, se bom pač stopil. :D

no comment ::

Slotek testira, če lahko pade nižje od povprečja...
.
.
.
... mission accomplished!

Zgodovina sprememb…

Spiko ::

I approve, le tako naprej.

Btw, snežinke se talijo, ne topijo.
Take that, dirty Linux hippies! Take that, Thieving Macintosh Republicans! XD


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Kako se izogniti nevarnosti SQL vrivanja?

Oddelek: Novice / Varnost
283920 (1346) Spiko
»

Transparentna Slovenija #4: "Luknje" v spletnih straneh treh zdravstvenih domov SI-CE (strani: 1 2 )

Oddelek: Novice / Varnost
764800 (1808) matijadmin
»

AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Novice / Varnost
36948137 (13370) AndrejO
»

Vzpostavljanje prikritih omrežij s pomočjo XSS ranljivosti in JavaScripta

Oddelek: Novice / Varnost
224593 (3302) MrStein
»

Raziskava o ranljivosti spletnih strani z SQL bazami podatkov

Oddelek: Novice / Varnost
203943 (3279) sverde21

Več podobnih tem