Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Java Новый топик    Ответить
Топик располагается на нескольких страницах: Ctrl  назад   1 [2] 3   вперед  Ctrl      все
 Re: Как победить ошибку  [new]
Дмитрий Мух
Member

Откуда: Зеленоград
Сообщений: 2969
вадя
chpasha
почему это проблема? пусть вбивает что хочет и пусть томкэт ругается на все, что вбито не правильно. если юзеру хочется вбивать руками правильно, пусть воспользуется любым из доступных онлайн url-encoder-ов. главное чтоб твой софт правильные url-ы формировал.
тут такая вещь , что ломятся все кому не лень и подбирают все возможные комбинации. если сервер отвечает страницей с ошибкой - это не просто информация, а дополнительная инфа для атакующего. и если там ответ кошки - область для атаки сокращается многократно.

верно мыслишь, это называется security misconfiguration

почитай:
https://www.owasp.org/index.php/Securing_tomcat
https://tomcat.apache.org/tomcat-9.0-doc/security-howto.html
7 сен 19, 20:09    [21966089]     Ответить | Цитировать Сообщить модератору
 Re: Как победить ошибку  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17261
mayton,
спасибо за инфу, но пока это чисто спортивный интерес и для общего развития.
пока для общего доступа только рекламная html страница, всё остальное под логином, который выдаётся.
ну и плюс телега.
7 сен 19, 20:12    [21966090]     Ответить | Цитировать Сообщить модератору
 Re: Как победить ошибку  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17261
Дмитрий Мух,
что-то уже читал.
7 сен 19, 20:15    [21966094]     Ответить | Цитировать Сообщить модератору
 Re: Как победить ошибку  [new]
Дмитрий Мух
Member

Откуда: Зеленоград
Сообщений: 2969
вадя
чисто спортивный интерес и для общего развития

для общего развития на OWASP есть...

и про Static Application Security Testing (SAST): https://www.owasp.org/index.php/Source_Code_Analysis_Tools
и про Dynamic Application Security Testing (DAST): https://www.owasp.org/index.php/Category:Vulnerability_Scanning_Tools
7 сен 19, 20:17    [21966095]     Ответить | Цитировать Сообщить модератору
 Re: Как победить ошибку  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17261
Дмитрий Мух,

интересно. взял на заметку

ну и в тему :) - хранимки тоже элемент защиты. 99,99%
7 сен 19, 20:25    [21966099]     Ответить | Цитировать Сообщить модератору
 Re: Как победить ошибку  [new]
Дмитрий Мух
Member

Откуда: Зеленоград
Сообщений: 2969
вадя,

ну да, один из вариантов защиты от SQL инъекций:
https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html

насчёт 99,99% - смотря как реализовать... в статье это упоминается
7 сен 19, 20:38    [21966106]     Ответить | Цитировать Сообщить модератору
 Re: Как победить ошибку  [new]
mayton
Member

Откуда: loopback
Сообщений: 44742
Вот. Под сонар тоже что-то есть https://www.sonarqube.org/features/security/
7 сен 19, 20:42    [21966108]     Ответить | Цитировать Сообщить модератору
 Re: Как победить ошибку  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17261
Дмитрий Мух
насчёт 99,99% - смотря как реализовать... в статье это упоминается
в ветке mysql как то был поэтому поводу трёп, привели пример "слома" - если постараться писавшему хранимку сделать так чтоб взлавымающий знал что там и как и очень старался - то получался вариант просто загружающий проц.
это и есть 0.01%.
7 сен 19, 20:55    [21966116]     Ответить | Цитировать Сообщить модератору
 Re: Как победить ошибку  [new]
mayton
Member

Откуда: loopback
Сообщений: 44742
Это другой класс атаки. Оснванный на создании искусственной перегрузки ресурсов. Фиксится наблюдением
на частотой реквестов и троттлингом. Сюда-же в помощь может быть балансировщик и аварийный размыкатель.
7 сен 19, 21:08    [21966122]     Ответить | Цитировать Сообщить модератору
 Re: Как победить ошибку  [new]
Дмитрий Мух
Member

Откуда: Зеленоград
Сообщений: 2969
вадя,

предпочту следовать рекомендациям OWASP, а не вашему трёпу в ветке mysql :)
и другим советую..
7 сен 19, 21:42    [21966136]     Ответить | Цитировать Сообщить модератору
 Re: Как победить ошибку  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17261
Дмитрий Мух
предпочту следовать рекомендациям OWASP, а не вашему трёпу в ветке mysql :)
и другим советую..
ну там специалисты пробовали, а не простые дилетанты.
ну и я сам пытался - инъекции не катят даже для PREPARE.....
уж я пытался...
7 сен 19, 21:49    [21966139]     Ответить | Цитировать Сообщить модератору
 Re: Как победить ошибку  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17261
Дмитрий Мух,

можешь предложить вариант - проверю
7 сен 19, 21:50    [21966141]     Ответить | Цитировать Сообщить модератору
 Re: Как победить ошибку  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17261
Дмитрий Мух
предпочту следовать рекомендациям OWASP,
я бы не стал следовать этим рекомендациям. потому как заявляют одно для всего, но даже ну упоминают о какой субд идёт речь, надо сказать что это уже вызывает сомнения в их знаниях.
могу утверждать, что в mysql можно динамически создавать sql-запрос, без боязни заполучить инъекции.
7 сен 19, 22:14    [21966145]     Ответить | Цитировать Сообщить модератору
 Re: Как победить ошибку  [new]
asv79
Member

Откуда: Тверь
Сообщений: 2883
вадя
Дмитрий Мух,

интересно. взял на заметку

ну и в тему :) - хранимки тоже элемент защиты. 99,99%

ну вообщем что и ожидалось от вади-скрытая реклама мертвых хранимок)
вадя изучи Spring data и забудь ты эти хранимки уже насовсем)
7 сен 19, 22:19    [21966149]     Ответить | Цитировать Сообщить модератору
 Re: Как победить ошибку  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17261
asv79
ну вообщем что и ожидалось от вади-скрытая реклама мертвых хранимок)
вадя изучи Spring data и забудь ты эти хранимки уже насовсем)
не лезь туда, где ничего не знаешь
7 сен 19, 22:23    [21966151]     Ответить | Цитировать Сообщить модератору
 Re: Как победить ошибку  [new]
Дмитрий Мух
Member

Откуда: Зеленоград
Сообщений: 2969
вадя,

можешь утверждать всё что угодно, я свое мнение выссказал
тебе так хочется меня переубедить, или что? :)
7 сен 19, 22:39    [21966153]     Ответить | Цитировать Сообщить модератору
 Re: Как победить ошибку  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17261
Дмитрий Мух
можешь утверждать всё что угодно, я свое мнение выссказал
тебе так хочется меня переубедить, или что? :)
я утверждаю на основе личной практики , а ты на основе чужих высказываний?
7 сен 19, 22:41    [21966155]     Ответить | Цитировать Сообщить модератору
 Re: Как победить ошибку  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17261
Дмитрий Мух,

я проверял динамический sql в хранимке. а ты?
7 сен 19, 22:43    [21966156]     Ответить | Цитировать Сообщить модератору
 Re: Как победить ошибку  [new]
Дмитрий Мух
Member

Откуда: Зеленоград
Сообщений: 2969
вадя,

почитай ради любопытства о том, что есть Open Web Application Security Project (OWASP)
как они собирают данные об уязвимостях, как проверяют

честно скажу, что к тому что ты там проверял, у меня никакого доверия нету
7 сен 19, 22:50    [21966157]     Ответить | Цитировать Сообщить модератору
 Re: Как победить ошибку  [new]
Дмитрий Мух
Member

Откуда: Зеленоград
Сообщений: 2969
вадя
на основе личной практики

чувак, мы Level 1 PCI DSS compliant
регулярный аудит, ревью, тесты

то, что ты там когда-то в форуме mysql потрепался и что-то типа проверил - это не та практика, что должна применятся, для обеспечения должного уровня безопасности
7 сен 19, 22:57    [21966158]     Ответить | Цитировать Сообщить модератору
 Re: Как победить ошибку  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17261
Дмитрий Мух
почитай ради любопытства о том, что есть Open Web Application Security Project (OWASP)
как они собирают данные об уязвимостях, как проверяют

честно скажу, что к тому что ты там проверял, у меня никакого доверия нету
я прочитал, а ты мостак переобуваться - не можешь доказать сказанное - не говори.


Дмитрий Мух
регулярный аудит, ревью, тесты
дак я и проводил тесты для хранимок.
тебе привести код хранимки? и входной параметр для взлома?
7 сен 19, 23:12    [21966161]     Ответить | Цитировать Сообщить модератору
 Re: Как победить ошибку  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17261
Дмитрий Мух,

пока я вижу только голословные утверждения и ничего более.
7 сен 19, 23:14    [21966162]     Ответить | Цитировать Сообщить модератору
 Re: Как победить ошибку  [new]
Дмитрий Мух
Member

Откуда: Зеленоград
Сообщений: 2969
вадя,

а вот переходить на личности и пытаться брать на слабо - совсем не обязательно :)

что ты прочитал об OWASP? как они собирают данные об уязвимостях?
7 сен 19, 23:15    [21966163]     Ответить | Цитировать Сообщить модератору
 Re: Как победить ошибку  [new]
Дмитрий Мух
Member

Откуда: Зеленоград
Сообщений: 2969
вадя
Дмитрий Мух,

пока я вижу только голословные утверждения и ничего более.
такой твой характер
7 сен 19, 23:18    [21966165]     Ответить | Цитировать Сообщить модератору
 Re: Как победить ошибку  [new]
вадя
Member

Откуда: Екатеринбург
Сообщений: 17261
Дмитрий Мух
что ты прочитал об OWASP? как они собирают данные об уязвимостях?
я на собесе?
Дмитрий Мух
а вот переходить на личности и пытаться брать на слабо - совсем не обязательно :)
ну а как погасить бездоказательные высказывания?
7 сен 19, 23:19    [21966166]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: Ctrl  назад   1 [2] 3   вперед  Ctrl      все
Все форумы / Java Ответить