День народження

19:07 26.08.2008

Сьогодні в мене день народження - мені виповнилося 25 років. З чим вас і себе поздоровляю :-) .

Традиційно першим мене поздоровив мій Palm. Але на відміну від минулого разу, сьогодні люди більш активні з поздоровленнями.

В зв’язку зі святом, я розмістив на сайті свій SQL Injection ASCII Encoder, який може стати в нагоді при проведенні SQL ін’єкцій.


5 відповідей на “День народження”

  1. trovich каже:

    З днем народження. Побільше безпечних сайтів :)

  2. MustLive каже:

    Спасибі :-)

  3. trovich каже:

    До речі, років “виповнилося” ;)

    P.S. Трохи з професійного.
    Нещодавно інтернетом прокотилася хвиля атак на ColdFusion сайти. Точні причини невідомі, але суть в тому, що вівся пошук по .cfm в Гуглі, а потім пробувалися масові SQL-ін’єкції. Далеко не всі CFML програмісти користуються cfqueryparam аби ескейпити дані до SQL-запитів ;)
    Так от, один хлоп запропонував рішення, котре може стати у пригоді: фільтрувати спроби ін’єкцій у момент досягнення ними рівня веб-сервера (що є об’єктивно швидшим) http://www.coldfusionmuse.com/index.cfm/2008/8/8/isapi-rewrite-rule-prevents-sql-injection
    Нескладно переписати правила для Apache.
    Знайомий спосіб?

  4. trovich каже:

    Забув посилання про хвилю атак http://www.coldfusionmuse.com/index.cfm/2008/8/8/SQLi-Update-Ben-Speaks-His-Mind

  5. MustLive каже:

    Новину про хвилю атак прочитаю, спасибі.

    До речі, років “виповнилося”

    Так, правильно буде саме виповнилося (виконалося вживається в інших контекстах). Але це вже звичка ;-) . Вже давно використовую саме це слово стосовно річниць.

    Хвилі атак на сайти проходять постійно. За звичай це атаки на php сайти, як найбільш діряві за статистикою (потім вже йдуть інші мови та платформи). Цікаво, що ця участь дійша й до ColdFusion сайтів.

    Знайомий спосіб?

    Так. Це створення WAF-фільтрації. Через мод_реврайт (чи інші подібні засоби) - це простий варіант, більш складний - це використання WAF. Як я неодноразово писав, я не поважаю подібні підходи (це ненадійний спосіб) - коли викорористовуються ВАФи (будь-то правила mod_rewrite, чи повноцінний WAF), замість виправлення дірок. Бо тільки WAF буде обійдено, дірка буде використана. Тому варто проводити аудит безпеки і виправляти знайдені уразливості.

Leave a Reply

You must be logged in to post a comment.