forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость, позволяющая осуществить подстановку SQL-кода в G..."
Отправлено Crazy Alex, 08-Янв-17 17:57

Гитхаб с руби - это так себе энтерпрайз. Со джавой/спрингом я подобных уязвимостей особо не помню, допустим (хотя могу не знать).
Но вообще если исключить криворукость (которой гораздо меньше, чем было) основная причина - это совершенно убогие возможности SQL в этом плане - потому что prepared statements, собственно, никогда и не задумывались как механизм обеспечения безопасности - а только как оптимизация. В результате там можно гораздо меньше, чем надо для ORM и прочих динамически формируемых запросов, и часто тупая генерация строки оказывается гораздо более общим и предсказуемым методом.
По идее, давно пора добавить ещё уровень - где динамическим было бы всё, от имён таблиц и полей до ключей запроса. Сделать это, в принципе, не так сложно - как минимум просто гнать набор токенов с явным указанием ожидаемого типа токена, как максимум - сразу синтаксическое дерево (которое один хрен строят ORMы, потом сериализуют, а потом база это дело парсит).

Исходное сообщение
"Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." Отправлено Crazy Alex, 08-Янв-17 17:57
Гитхаб с руби - это так себе энтерпрайз. Со джавой/спрингом я подобных уязвимостей особо не помню, допустим (хотя могу не знать). Но вообще если исключить криворукость (которой гораздо меньше, чем было) основная причина - это совершенно убогие возможности SQL в этом плане - потому что prepared statements, собственно, никогда и не задумывались как механизм обеспечения безопасности - а только как оптимизация. В результате там можно гораздо меньше, чем надо для ORM и прочих динамически формируемых запросов, и часто тупая генерация строки оказывается гораздо более общим и предсказуемым методом. По идее, давно пора добавить ещё уровень - где динамическим было бы всё, от имён таблиц и полей до ключей запроса. Сделать это, в принципе, не так сложно - как минимум просто гнать набор токенов с явным указанием ожидаемого типа токена, как максимум - сразу синтаксическое дерево (которое один хрен строят ORMы, потом сериализуют, а потом база это дело парсит).

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Гитхаб с руби - это так себе энтерпрайз. Со джавой/спрингом я подобных 
> уязвимостей особо не помню, допустим (хотя могу не знать).

> Но вообще если исключить криворукость (которой гораздо меньше, чем было) основная причина 
> - это совершенно убогие возможности SQL в этом плане - потому 
> что prepared statements, собственно, никогда и не задумывались как механизм обеспечения 
> безопасности - а только как оптимизация. В результате там можно гораздо 
> меньше, чем надо для ORM и прочих динамически формируемых запросов, и 
> часто тупая генерация строки оказывается гораздо более общим и предсказуемым методом.

> По идее, давно пора добавить ещё уровень - где динамическим было бы 
> всё, от имён таблиц и полей до ключей запроса. Сделать это, 
> в принципе, не так сложно - как минимум просто гнать набор 
> токенов с явным указанием ожидаемого типа токена, как максимум - сразу 
> синтаксическое дерево (которое один хрен строят ORMы, потом сериализуют, а потом 
> база это дело парсит).

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру