Архив спецвыпуска журнала Хакер на www.wisesoft.ru, номер #066, стр. 066-014-6, базовый иммунитет

Издательский дом ООО "Гейм Лэнд"

СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #66, МАЙ 2006 г.

базовый иммунитет

ЕКАТЕРИНА ДЕРБЕНЦЕВА

Спецвыпуск: Хакер, номер #066, стр. 066-014-6

как защититься

ЧТОБЫ НЕ СТАТЬ ЖЕРТВОЙ SQL-ИНЪЕКЦИИ, НЕОБХОДИМО СОБЛЮДАТЬ ВОТ ЭТОТ НАБОР ПРАВИЛ (РАСПРОСТРАНЯЮТСЯ НА ВСЕ СЕРВЕРЫ БД В СЕТИ, НЕЗАВИСИМО ОТ СТЕПЕНИ ИХ КРИТИЧНОСТИ):

— ИСПОЛЬЗОВАТЬ СТАНДАРТНЫЕ ПАРАМЕТРЫ ДЛЯ ЛЮБОГО ВИДА ЗАПРОСА;

— ФИЛЬТРОВАТЬ ПОЛЬЗОВАТЕЛЬСКИЙ ВВОД НА НАЛИЧИЕ СПЕЦИАЛЬНЫХ СИМВОЛОВ;

— ИСПОЛЬЗОВАТЬ ХРАНИМЫЕ ПРОЦЕДУРЫ;

— ИСПОЛЬЗОВАТЬ ДОПОЛНИТЕЛЬНЫЕ ПРОГРАММНЫЕ СРЕДСТВА, ПОЗВОЛЯЮЩИЕ ОБНАРУЖИВАТЬ ЭТОТ ВИД АТАКИ;

— ПО ВОЗМОЖНОСТИ НЕ РАЗРЕШАТЬ МНОЖЕСТВЕННЫЕ ЗАПРОСЫ.

[приведенные примеры] касались SQL-инъекций для БД Microsoft SQL. Не думай, что эти серверы баз данных подвержены такому типу атаки особенно. Похожие средства для реализации SQL-инъекций есть и в Oracle, и в любой другой базе данных. Тип базы не имеет никакого значения — везде используется единый язык запросов

РАСПРЕДЕЛЕННЫЕ «DDOS-АТАКИ» ОБЫЧНО ОРГАНИЗУЮТСЯ ПРИ ПОМОЩИ БОТ-СЕТЕЙ

ПЕРВАЯ АТАКА, В ХОДЕ КОТОРОЙ БЫЛА ПРИМЕНЕНА ПОИСКОВАЯ МАШИНА, ЗАРЕГИСТРИРОВАНА В 2004 ГОДУ

СУБД НЕ ДОЛЖНА ВЫДАВАТЬ КОНФИГУРАЦИОННУЮ ИНФОРМАЦИЮ О СЕБЕ

«СЕТЕВЫЕ ЛОВУШКИ» — ЭМУЛИРОВАННЫЕ СУБД С СОЗНАТЕЛЬНО СОЗДАННЫМИ УЯЗВИМОСТЯМИ

SQL-ИНЪЕКЦИИ ЧАСТО ИСПОЛЬЗУЮТСЯ ДЛЯ ТОГО, ЧТОБЫ ВЫУДИТЬ ИНТЕРЕСНЫЕ ДАННЫЕ

ТИП БАЗЫ НЕ ИМЕЕТ НИКАКОГО ЗНАЧЕНИЯ...

Назад на стр. 066-014-5 Содержание