Lov SQL Injection a jiné nebezpečné webové Žádosti

hlasů
17

Já jsem hledal nástroj, který dokáže detekovat škodlivé požadavky (například zřejmé, SQL injection dostane nebo příspěvků) a bude okamžitě zakázat IP adresu žadatele / přidat do blacklistu. Jsem si vědom toho, že v ideálním světě by měl náš kód být schopen zvládnout takové žádosti a podle toho s nimi zacházet, ale tam je hodně hodnoty v takovém nástroji, i když místo je v bezpečí před těmito druhy útoků, protože to může vést k šetří šířku pásma, brání udit analytických nástrojů, atd.

V ideálním případě by se dívám na cross-platform ( LAMP/.NETřešení), která je umístěna na vyšší úrovni, než je technologie stohu; snad na web-server nebo na úrovni hardwaru. Nejsem si jistý, jestli to existuje, ačkoli.

Ať tak či onak, já bych chtěl slyšet názor na komunity, takže vidím, jaké mám možnosti by mohly být v souvislosti s prováděním a přístupu.

Položena 04/08/2008 v 15:40
zdroj uživatelem
V jiných jazycích...                            


8 odpovědí

hlasů
10

Váš skoro při pohledu na to špatně, žádný 3party nástroj, který není vědom své metody application / pojmenování / data / domény bude bude schopen vás dokonale ochrání.

Něco jako prevence SQL injection je něco, co musí být v kódu, a nejlépe napsaný lidmi, které napsal SQL, protože oni jsou ty, které budou vědět, co by mělo / neměli být v těchto oblastech (pokud váš projekt má velmi dobré dokumenty )

Vaše právo, to vše bylo učiněno dříve. Nemáte dost muset znovu vynalézat kolo, ale musíte vyřezat nový kvůli rozdílům v průměru nápravy všech.

Nejedná se o drop-in a spustit problém, budete opravdu muset být obeznámeni s tím, co přesně je SQL injection, než budete moci zabránit. Je to záludný problém, tak to trvá stejně záludný ochrany.

Tyto 2 odkazy mě naučila mnohem víc než základy na toto téma začít, a pomohl mi lepší výraz mé budoucnosti vyhledávání na specifické otázky, které nebyly zodpovězeny.

A zatímco tenhle přece není zcela 100% nálezce a, bude to „ukáže světlo“ na existující problém vašeho stávajícího kódu, ale stejně jako u webstandards, dont zastavit kódování, jakmile se projít touto zkouškou.

Odpovězeno 04/08/2008 v 16:43
zdroj uživatelem

hlasů
5

Problém s obecným nástrojem je, že je velmi obtížné přijít s řadou pravidel, která odpovídají pouze proti skutečnému útoku.

SQL klíčová slova jsou všechna anglická slova, a nezapomeňte, že řetězec

 DROP TABLE users;

je dokonale platný v pole formuláře, který například obsahuje odpověď na otázku programování.

Jedinou rozumnou možností je dezinfikovat vstup předtím nikdy ji předáním do databáze, ale předávat dál nicméně. Jinak spousta naprosto normální, non-uživatelů se zlými úmysly jdou dostat zakázán z vašich stránek.

Odpovězeno 04/08/2008 v 16:11
zdroj uživatelem

hlasů
3

Oracle má k on-line návod k SQL Injection . I když budete chtít ready-made řešení, mohlo by to vám několik rad, jak ji používat lépe bránit.

Odpovězeno 05/08/2008 v 18:38
zdroj uživatelem

hlasů
3

Jedna malá věc je mít na paměti: V některých zemích (např většinu Evropy), lidé nemají statické IP adresy, takže černé listiny by neměl být navždy.

Odpovězeno 04/08/2008 v 16:22
zdroj uživatelem

hlasů
3

Jednou z metod, které by mohly u některých případech by bylo vzít SQL řetězec, který by se spustit, pokud si naivně použita data formuláře a předat je do určité kód, který počítá množství příkazů, které by ve skutečnosti být provedeny. Pokud je větší než číslo se očekávalo, pak je slušná šance, že injekce byl proveden pokus, a to zejména u oborů, které jsou nepravděpodobné, že by obsahovat řídicí znaky, jako je uživatelské jméno.

Něco jako normální textové pole bude trochu těžší, protože tato metoda by byla mnohem větší pravděpodobnost, že návrat falešných poplachů, ale to by byl začátek, přinejmenším.

Odpovězeno 04/08/2008 v 16:20
zdroj uživatelem

hlasů
0

Zajímavé, jak to je realizován roky později google a jejich odstranění URL vše dohromady, aby se zabránilo XSS útokům a jiné škodlivé acitivites

Odpovězeno 24/07/2014 v 06:18
zdroj uživatelem

hlasů
0

Jeden z mých stránek bylo nedávno hacknut pomocí SQL Injection. Dodala odkaz na virus pro každé textové pole v db! Oprava se přidat nějaký kód hledá SQL klíčová slova. Naštěstí jsem vytvořil v ColdFiusion, takže kód sedí v mém Application.cfm souboru, který je spuštěn na začátku každé webové stránky a to vypadá u všech proměnných URL. Wikipedia má nějaké dobré odkazy na pomoc taky.

Odpovězeno 16/09/2008 v 15:04
zdroj uživatelem

hlasů
0

Teď, když jsem o tom přemýšlet, Bayesian filtr podobné těm, které používají k blokování nevyžádané pošty by mohlo fungovat slušně taky. Pokud jste se dali dohromady sadu běžného textu pro každé pole a sady SQL injekce, mělo by být možné, aby ji trénovat na vstřikování flag útoky.

Odpovězeno 04/08/2008 v 16:26
zdroj uživatelem

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more