Добро пожаловать в форум, Guest >> Войти | Регистрация | Поиск | Правила | | В избранное | Подписаться | ||
Все форумы / Java |
![]() ![]() |
Топик располагается на нескольких страницах: ←Ctrl назад 1 [2] 3 вперед Ctrl→ все |
Дмитрий Мух Member Откуда: Зеленоград Сообщений: 3820 |
верно мыслишь, это называется security misconfiguration почитай: https://www.owasp.org/index.php/Securing_tomcat https://tomcat.apache.org/tomcat-9.0-doc/security-howto.html |
||||
7 сен 19, 20:09 [21966089] Ответить | Цитировать Сообщить модератору |
вадя Member Откуда: Екатеринбург Сообщений: 18766 |
mayton, спасибо за инфу, но пока это чисто спортивный интерес и для общего развития. пока для общего доступа только рекламная html страница, всё остальное под логином, который выдаётся. ну и плюс телега. |
7 сен 19, 20:12 [21966090] Ответить | Цитировать Сообщить модератору |
вадя Member Откуда: Екатеринбург Сообщений: 18766 |
Дмитрий Мух, что-то уже читал. |
7 сен 19, 20:15 [21966094] Ответить | Цитировать Сообщить модератору |
Дмитрий Мух Member Откуда: Зеленоград Сообщений: 3820 |
для общего развития на OWASP есть... и про Static Application Security Testing (SAST): https://www.owasp.org/index.php/Source_Code_Analysis_Tools и про Dynamic Application Security Testing (DAST): https://www.owasp.org/index.php/Category:Vulnerability_Scanning_Tools |
||
7 сен 19, 20:17 [21966095] Ответить | Цитировать Сообщить модератору |
вадя Member Откуда: Екатеринбург Сообщений: 18766 |
Дмитрий Мух, интересно. взял на заметку ну и в тему :) - хранимки тоже элемент защиты. 99,99% |
7 сен 19, 20:25 [21966099] Ответить | Цитировать Сообщить модератору |
Дмитрий Мух Member Откуда: Зеленоград Сообщений: 3820 |
вадя, ну да, один из вариантов защиты от SQL инъекций: https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html насчёт 99,99% - смотря как реализовать... в статье это упоминается |
7 сен 19, 20:38 [21966106] Ответить | Цитировать Сообщить модератору |
mayton Member Откуда: loopback Сообщений: 51125 |
Вот. Под сонар тоже что-то есть https://www.sonarqube.org/features/security/ |
7 сен 19, 20:42 [21966108] Ответить | Цитировать Сообщить модератору |
вадя Member Откуда: Екатеринбург Сообщений: 18766 |
это и есть 0.01%. |
||
7 сен 19, 20:55 [21966116] Ответить | Цитировать Сообщить модератору |
mayton Member Откуда: loopback Сообщений: 51125 |
Это другой класс атаки. Оснванный на создании искусственной перегрузки ресурсов. Фиксится наблюдением на частотой реквестов и троттлингом. Сюда-же в помощь может быть балансировщик и аварийный размыкатель. |
7 сен 19, 21:08 [21966122] Ответить | Цитировать Сообщить модератору |
Дмитрий Мух Member Откуда: Зеленоград Сообщений: 3820 |
вадя, предпочту следовать рекомендациям OWASP, а не вашему трёпу в ветке mysql :) и другим советую.. |
7 сен 19, 21:42 [21966136] Ответить | Цитировать Сообщить модератору |
вадя Member Откуда: Екатеринбург Сообщений: 18766 |
ну и я сам пытался - инъекции не катят даже для PREPARE..... уж я пытался... |
||
7 сен 19, 21:49 [21966139] Ответить | Цитировать Сообщить модератору |
вадя Member Откуда: Екатеринбург Сообщений: 18766 |
Дмитрий Мух, можешь предложить вариант - проверю |
7 сен 19, 21:50 [21966141] Ответить | Цитировать Сообщить модератору |
вадя Member Откуда: Екатеринбург Сообщений: 18766 |
могу утверждать, что в mysql можно динамически создавать sql-запрос, без боязни заполучить инъекции. |
||
7 сен 19, 22:14 [21966145] Ответить | Цитировать Сообщить модератору |
asv79 Member Откуда: Тверь Сообщений: 3090 |
ну вообщем что и ожидалось от вади-скрытая реклама мертвых хранимок) вадя изучи Spring data и забудь ты эти хранимки уже насовсем) |
||
7 сен 19, 22:19 [21966149] Ответить | Цитировать Сообщить модератору |
вадя Member Откуда: Екатеринбург Сообщений: 18766 |
|
||
7 сен 19, 22:23 [21966151] Ответить | Цитировать Сообщить модератору |
Дмитрий Мух Member Откуда: Зеленоград Сообщений: 3820 |
вадя, можешь утверждать всё что угодно, я свое мнение выссказал тебе так хочется меня переубедить, или что? :) |
7 сен 19, 22:39 [21966153] Ответить | Цитировать Сообщить модератору |
вадя Member Откуда: Екатеринбург Сообщений: 18766 |
|
||
7 сен 19, 22:41 [21966155] Ответить | Цитировать Сообщить модератору |
вадя Member Откуда: Екатеринбург Сообщений: 18766 |
Дмитрий Мух, я проверял динамический sql в хранимке. а ты? |
7 сен 19, 22:43 [21966156] Ответить | Цитировать Сообщить модератору |
Дмитрий Мух Member Откуда: Зеленоград Сообщений: 3820 |
вадя, почитай ради любопытства о том, что есть Open Web Application Security Project (OWASP) как они собирают данные об уязвимостях, как проверяют честно скажу, что к тому что ты там проверял, у меня никакого доверия нету |
7 сен 19, 22:50 [21966157] Ответить | Цитировать Сообщить модератору |
Дмитрий Мух Member Откуда: Зеленоград Сообщений: 3820 |
чувак, мы Level 1 PCI DSS compliant регулярный аудит, ревью, тесты то, что ты там когда-то в форуме mysql потрепался и что-то типа проверил - это не та практика, что должна применятся, для обеспечения должного уровня безопасности |
||
7 сен 19, 22:57 [21966158] Ответить | Цитировать Сообщить модератору |
вадя Member Откуда: Екатеринбург Сообщений: 18766 |
тебе привести код хранимки? и входной параметр для взлома? |
||||
7 сен 19, 23:12 [21966161] Ответить | Цитировать Сообщить модератору |
вадя Member Откуда: Екатеринбург Сообщений: 18766 |
Дмитрий Мух, пока я вижу только голословные утверждения и ничего более. |
7 сен 19, 23:14 [21966162] Ответить | Цитировать Сообщить модератору |
Дмитрий Мух Member Откуда: Зеленоград Сообщений: 3820 |
вадя, а вот переходить на личности и пытаться брать на слабо - совсем не обязательно :) что ты прочитал об OWASP? как они собирают данные об уязвимостях? |
7 сен 19, 23:15 [21966163] Ответить | Цитировать Сообщить модератору |
Дмитрий Мух Member Откуда: Зеленоград Сообщений: 3820 |
|
||
7 сен 19, 23:18 [21966165] Ответить | Цитировать Сообщить модератору |
вадя Member Откуда: Екатеринбург Сообщений: 18766 |
|
||||
7 сен 19, 23:19 [21966166] Ответить | Цитировать Сообщить модератору |
Топик располагается на нескольких страницах: ←Ctrl назад 1 [2] 3 вперед Ctrl→ все |
Все форумы / Java | ![]() |