Aplikacje internetowe

Bełdziowe spojrzenie na aplikacje internetowe

Archwium dla tagu ‘SQL Injection’

Obsługa plików, a SQL Injection

Podczas poszukiwania podatności SQL Injection głównym obszarem analizy jest zawartość strony, generowana dynamicznie na podstawie danych pobranych z bazy. To właśnie dzięki niej jesteśmy w stanie określić czy wstrzyknięte przez nas zapytanie wykonało się poprawnie. Stosując tę metodę można natrafić na kilka sytuacji, w których analiza czy też dostęp do danych jest ograniczony.

Prelekcja Alberto Revelli na CONFidence

Na stronie konferencji CONFidence zostały udostępnione materiały z zeszłorocznej edycji. Wśród nich dostępna jest prelekcja Alberto Revelli na temat SQL Injection w środowisku Microsoft SQL Server. Prezentuje on jak przejąć pełną kontrolę nad systemem korzystając z wbudowanych procedur składowanych.

Blind SQL Injection

Blind SQL Injection jest odmianą ataku SQL Injection charakteryzującą się brakiem pokazywania błędów w zapytaniach SQL. Wyłączenie pokazywania błędów przez programistę / administratora „podnosi” bezpieczeństwo aplikacji, jednak nie eliminuje problemu. Modyfikacja zapytania jest nadal możliwa, staje się jedynie trudniejsza z braku wglądu w zapytania oraz błędy SQL.

Sklep z dziurami

. grzech: przechowywanie haseł klientów w jawnej formie słabe filtrowanie danych wejściowych korzystanie z PostgreSQL – w połączeniu z SQL Injection umożliwia dostęp do całej bazy za pośrednictwem wykonania kilku zapytań za jednym razem pokazywanie komunikatów o błędach publiczny dostęp do logu błędów PostgreSQL – ujawnienie struktury bazy danych nazwa firmy – patrz vivid.com ( […]

Błędy na DobraOpcja.pl

. grzech: brak filtracji danych konsekwencja: podatność na XSS, SQL Injection, CSRF możliwość usunięcia konta innego użytkownika Serwis DobraOpcja.pl jest polskim klonem MySpace’a. Jak na serwis web dwa zerowy przystało znajdziemy tam pastelowe kolory, zaokrąglone rogi, oraz jako że jest to polskie web 2.0 – błędy. Błędy, które możemy znaleźć to XSS (wstrzyknięcie własnego kodu […]

Plamka na białym ekranie

O Centrum Filmowym Helios Centrum Filmowe Helios – sieć kin powstała w 1993 roku na bazie dwóch największych w owym czasie kin w Łodzi, „Capitolu” i „Bałtyku”. Obecnie sieć składa się z 14 kin różnej wielkości – od jednosalowych po 9. salowe.

Krytyczny błąd w qlWeb

. Podatne wersje: qlWeb