ARCHIV

Diskuze: Poradna SQL injection

SQL injection (link)	5.12.2005 15:46 Newim
Jeden moudry clovek rikal "Nedelej co neumis". Programatori tohoto portalu by si toto meli vzit k srdci... Pro volne chvilky doporucuji aby si programatori nechali vysvetlit vyraz SQL Injection. Btw: Byt vami, nemazu databazi a podivam se na seznam tabulek.

Re: SQL injection (link)	5.12.2005 16:19 Dal Horinek
Věk: ( ~36 let)
Nikdo neni dokonaly. Ani to nejde. Je to stejne jako s nekonecnem - to je dokonalost pro cloveka. Proto by tato chyba ci omyl mel byt slusne programatoru oznamen. Navic timto nikdo nepostresta ty programatory, ale uzivatele, kteri maji na tomto portalu zajem o informace. Je pekne, ze jste objevil chybu, smekam klobouk, jste asi dobry, ale proc to delate cele komunite? Vsem ctenarum tohoto portalu?

Re: SQL injection (link)	5.12.2005 18:46 Aleš Hakl
Bydliště: Praha
Opraveno, osobne bych predchozim programatorum doporucil totez (a mozna bych v souvislosti s timhle doporucil autorum PHP aby to huleni trosku omezili).

Re: SQL injection (link)	5.12.2005 18:55 František Hucek (TEAM)
Věk: ( ~52 let)
Je opravdu zvlastni, ze nedlouho pote, co odesel programator ktery jako posledni na linuxsoftu delal, ktery videl kody, tim padem i bugy ktere misty i on sam udelal, ci ktere tu zustali po programatorech predchazejicich, nekdo naky takovy bug zneuzije.. Zvlaste kdyz odchod nebyl zrovna bezproblemovy, tj, kdyz mi nekdo da po zkusebni dobe na stul vypoved a oznami mi, ze uz nastoupil jinde, bez toho aby dodelal to co ma rozdelano a bez toho aby radne ukoncil pracovni pomer.. Davame ted z logu serveru dohromady, jestli utocnik sel prave po teto chybe, tj. o ni vedel, ci se na ni metodou pokus/omyl nejak dostal.. Uvidime na co prijdeme a dle toho pak budu postupovat..

Re: SQL injection (link)	5.12.2005 22:17 Karel Reichart
Věk: ( ~51 let)
Teď je mi jasné proč jsem odpoledne nemohl najít "půlku" stránek. To se stane vždy, když to člověk nejméně potřebuje. Jeden kolega sháněl informace o Linuxu. Tak jsem mu chtěl ukázat nejlepší stránky z informacemi a ejhle... Doufám že se vše podaří zprovoznit velmi brzy, abychom my nevědomí měli opět možnost brouzdat a shánět cenné informace. Tak hodně štěstí.

Re: SQL injection (link)	6.12.2005 00:48 Ondřej Čečák (TEAM)
Věk: ( ~38 let)
V dobu, kdy jste psal prispevek, by melo byt vse OK. Co se tyce utoku, tak se na adresu utocnika da sarkasticky poznamenat "Jeden moudry clovek rikal "Nedelej co neumis." ... ;)

Re: SQL injection (link)	6.12.2005 08:18 MaReK Olšavský
Věk: ( ~50 let) , Pracovní pozice: ?? Asi "holka pro vše" , Praxe v IT let: ( ~ let) , Bydliště: Duchcov
Zeby skodicem by Pisko**t?? Nezdal se mi natolik dobrej, ale mozna zdani klamalo.

Re: SQL injection (link)	6.12.2005 20:27 Pavel `Goldenfish' Kysilka (TEAM)
Věk: ( ~48 let) , Pracovní pozice: programator, analytik , Praxe v IT let: ( ~14 let) , Bydliště: Praha-3-Žižkov
Zdravim, pozadal me Frantisek Hucek o vyjadreni okolo teto diskuse. Linuxsoft jsem prvnich asi 10 mesicu programoval. Nebudu se tady snazit hledat vinika, ale napisi co by bylo moznym duvodem, proto, aby nekdo tuto velmi necistou vec udelal. Proc necistou ? Asi to nevite, ale chodi sem dost lidi, kterym tento web pomaha. A jsou zde i lide, kteri se o tento web staraji a misto toho, aby ho rozvijeli, tak budou kontrolovat, co se vlastne stalo a pujde to radove do dnu. Opravoval jsem par veci na ruznych(i linuxovych) portalech a muzu rici, ze linuxsoft byl v hodne vecech vice nez prumerny, co se tyce programovani ve sve/me dobe. Tim, nechci nejak vychvalovat svoji osobu. Ciste porovnavam stav webu. I kdyz po mem odchodu se par veci mohlo zmenit. Nicmene je zajimave, ze se toto nestalo jiz drive, ale az najednou ted. A kazdy pocitacovy program ma alespon jednu chybu. Nebudu nad timto nejak polemizovat, kde se co stalo a nestalo a ci to byla vina. Vim, ze moje osoba je pro mnohe hodne kontroversni a obcas i nedokonala. A o kvalite nekterych(ne vsech) programatoru, co zde prosli, by se dalo hodne polemizovat. Pojdme se zamerit spise na to, co tim dany utocnik myslel a o co se snazil. Spise bych to videl jako zamer nekoho uskodit. A nekoho, kdo v nejakem hackovani nema prilis zkusenosti. Videl bych to jako velmi pravdepodobne sestreleni zevnitr. Kdo to je, to neodhadnu a ani nechci. Nicmene mazat/neumoznit pristup k zaznamum slouzici vsem mi pripada jako ubohost. Mozna nekdo chtel dokazat svoje v uvozovkach kvality. Utok hackera by vypadal jinak a co si budeme rikat, tak linuxsoft by byl velkou trofeji. Podstatne vetsi, nez jenom zmeny v databasi. Pripada mi to, ze chce uvodni pisatel prispevku dokazovat, ze je dobry a skolit tu par lidi. Proc ne. Ale vybral si na to zrovna tu spatnou cestu. Mozna by to chtelo si precist neco o tom, zda je moudrost odeprit lidem neco, co jim pomaha a da se rici zdarma. Pavel Kysilka - byvaly programator linuxsoft.cz

Zálohování (link)	6.12.2005 08:49 Jan Němec
Věk: ( ~47 let)
Sakra, chlapi, vy mě snad donutíte dělat to, co každý autor dělat měl, tj. zálohovat všechny své články :-)

Re: Zálohování (link)	6.12.2005 09:55 Ondřej Čečák (TEAM)
Věk: ( ~38 let)
Server se samozrejme zalohuje, databaze (ve ktere jsou ulozene clanky) dokonce kazdou hodinu.

Re: Zálohování (link)	6.12.2005 15:07 Newim
Mno, kdyby jste se PORADNE podivali tak data ze vsech smazanych tabulek byly zkopirovany.

Re: Zálohování (link)	6.12.2005 15:59 Ondřej Čečák (TEAM)
Věk: ( ~38 let)
Vzdyt ano, myslis, ze tuhle diskuzi jsme prepsali z papiru? :)

Utocnik (link)	6.12.2005 11:05 František Hucek (TEAM)
Věk: ( ~52 let)
Tak jsme včera u lahodného moku U Zpěváčků s Alešem prohledávali logy, a našli jsme IP 84.244.83.151 které patří nějakému ADSLku od Bluetone (České Radiokomunikace) ze kterého ůtočník z Gmailu poprvné SQL injection na linuxsoftu zkoušel. Pak se připojoval z dalšího IP 212.158.128.159 od Bluetone a poté z IP 203.162.27.200 což je nějaká šílená proxy ve Vietnamu. Útočník si nejdříve myslel, že jedeme na MySQL, alespoň se tak tváří SQL příkazy. Bohužel poskytovatel připojení nemůže poskytovat ůdaje o svých zákaznících na běžný dotaz. Toto upravuje Zákon o elektronických komunikacích §97 (3). Teď se snažíme z logů linuxsoftu (2,2 GB dat) zjistit, jestli se jednalo o někoho, kdo opravdu tak dlouho skenoval web, až tuto chybu našel (málo pravděpodobné), či jestli se jednalo o informaci zevnitř, tj. nejpravděpodobněji od někoho kdo web spoluprogramoval, do kódů viděl, tj. věděl i o této chybě. Což vzhledem k tomu, že to vypadá, že útočník byl na dannou chybu upozorněn e-mailem (viz výše) se jeví jako pravděpodobné. Jestli někdo "z venku" objeví svým důvtipem chybu v aplikaci, dobře to bych ještě pochopil.. Jinak na linuxsoftu se za 2 roky jeho existence vystřídali 3 programátoři kteří na něm dlouhodobě pracovali, další asi 3 kteří opravovali bugy, a další 1 který dostal přístup ke kódům s myšlenkou, že bude kódit.. Nebylo tomu tak, a dostal §53.. Jestli ale někdo zneužije informace které by osoby jenž k ním měli přístup chránit, což je i smluvně ošetřeno, tak je to celkem prasárna.. Které by se měla řešit jako problém pracovně-právní, popř. trestně-právní, toto např. dle Trestní zákon § 149, Trestní zákon § 152. Určitý díl vinny beru také na sebe, tj. od počátku existence linuxsoftu kladu důraz aby se věci které chci zprovoznit (články, SW adresář, adresář skriptů, Shop..) rozběhli co nejdříve a ne až bude kód ideální, což by často trvalo do nekonečna..

kauza (link)	12.12.2005 11:27 František Hucek (TEAM)
Věk: ( ~52 let)
Takze popis pripadu vcetne prislusnych logu je na webu http://zakony-online.cz/.

DISKUZE

SQL injection

5.12.2005 15:46

Newim

Re: SQL injection

5.12.2005 16:19

Dal Horinek

Re: SQL injection

5.12.2005 18:46

Aleš Hakl

Re: SQL injection

5.12.2005 18:55

František Hucek

Re: SQL injection

5.12.2005 22:17

Karel Reichart

Re: SQL injection

6.12.2005 00:48

Ondřej Čečák

Re: SQL injection

6.12.2005 08:18

MaReK Olšavský

Re: SQL injection

6.12.2005 20:27

Pavel `Goldenfish' Kysilka

Zálohování

6.12.2005 08:49

Jan Němec

Re: Zálohování

6.12.2005 09:55

Ondřej Čečák

Re: Zálohování

6.12.2005 15:07

Newim

Re: Zálohování

6.12.2005 15:59

Ondřej Čečák

Utocnik

6.12.2005 11:05

František Hucek

kauza

12.12.2005 11:27

František Hucek

Příspívat do diskuze mohou pouze registrovaní uživatelé.

Vyhledávání software

Vyhledávání článků

Rozšířené vyhledávání

Linux News

28.11.2018 23:56 /František Kučera
Prosincový sraz spolku OpenAlt se koná ve středu 5.12.2018 od 16:00 na adrese Zikova 1903/4, Praha 6. Tentokrát navštívíme organizaci CESNET. Na programu jsou dvě přednášky: Distribuované úložiště Ceph (Michal Strnad) a Plně šifrovaný disk na moderním systému (Ondřej Caletka). Následně se přesuneme do některé z nedalekých restaurací, kde budeme pokračovat v diskusi.
Komentářů: 1

12.11.2018 21:28 /Redakce Linuxsoft.cz
22. listopadu 2018 se koná v Praze na Karlově náměstí již pátý ročník konference s tématem Datová centra pro business, která nabídne odpovědi na aktuální a často řešené otázky: Jaké jsou aktuální trendy v oblasti datových center a jak je optimálně využít pro vlastní prospěch? Jak si zajistit odpovídající služby datových center? Podle jakých kritérií vybírat dodavatele služeb? Jak volit vhodné součásti infrastruktury při budování či rozšiřování vlastního datového centra? Jak efektivně datové centrum spravovat? Jak co nejlépe eliminovat možná rizika? apod. Příznivci LinuxSoftu mohou při registraci uplatnit kód LIN350, který jim přinese zvýhodněné vstupné s 50% slevou.
Přidat komentář

6.11.2018 2:04 /František Kučera
Říjnový pražský sraz spolku OpenAlt se koná v listopadu – již tento čtvrtek – 8. 11. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma umění a technologie, IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

4.10.2018 21:30 /Ondřej Čečák
LinuxDays 2018 již tento víkend, registrace je otevřená.
Přidat komentář

18.9.2018 23:30 /František Kučera
Zářijový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 20. 9. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

9.9.2018 14:15 /Redakce Linuxsoft.cz
20.9.2018 proběhne v pražském Kongresovém centru Vavruška konference Mobilní řešení pro business. Návštěvníci si vyslechnou mimo jiné přednášky na témata: Nejdůležitější aktuální trendy v oblasti mobilních technologií, správa a zabezpečení mobilních zařízení ve firmách, jak mobilně přistupovat k informačnímu systému firmy, kdy se vyplatí používat odolná mobilní zařízení nebo jak zabezpečit mobilní komunikaci.
Přidat komentář

12.8.2018 16:58 /František Kučera
Srpnový pražský sraz spolku OpenAlt se koná ve čtvrtek – 16. 8. 2018 od 19:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát jsou tématem srazu databáze prezentaci svého projektu si pro nás připravil Standa Dzik. Dále bude prostor, abychom probrali nápady na využití IoT a sítě The Things Network, případně další témata.
Přidat komentář

16.7.2018 1:05 /František Kučera
Červencový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 19. 7. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát bude přednáška na téma: automatizační nástroj Ansible, kterou si připravil Martin Vicián.
Přidat komentář

Více ... Přidat zprávičku

Poslední diskuze

31.7.2023 14:13 / Linda Graham
iPhone Services

30.11.2022 9:32 / Kyle McDermott
Hosting download unavailable

13.12.2018 10:57 / Jan Mareš
Re: zavináč

2.12.2018 23:56 / František Kučera
Sraz

5.10.2018 17:12 / Jakub Kuljovsky
Re: Jaký kurz a software by jste doporučili pro začínajcího kodéra?

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2024) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze