LINUXSOFT.cz
Nazwa użytkownika: Hasło:     
    CZ UK PL

> Komentarze :: Poradna SQL injection

SQL injection 5.12.2005 15:46
Newim
Jeden moudry clovek rikal "Nedelej co neumis". Programatori tohoto portalu by si toto meli vzit k srdci... Pro volne chvilky doporucuji aby si programatori nechali vysvetlit vyraz SQL Injection. Btw: Byt vami, nemazu databazi a podivam se na seznam tabulek.
Re: SQL injection 5.12.2005 16:19
Dal Horinek
Nikdo neni dokonaly. Ani to nejde. Je to stejne jako s nekonecnem - to je dokonalost pro cloveka. Proto by tato chyba ci omyl mel byt slusne programatoru oznamen.
Navic timto nikdo nepostresta ty programatory, ale uzivatele, kteri maji na tomto portalu zajem o informace.
Je pekne, ze jste objevil chybu, smekam klobouk, jste asi dobry, ale proc to delate cele komunite? Vsem ctenarum tohoto portalu?
Re: SQL injection 5.12.2005 18:46
Aleš Hakl

Opraveno, osobne bych predchozim programatorum doporucil totez (a mozna bych v souvislosti s timhle doporucil autorum PHP aby to huleni trosku omezili).

Re: SQL injection 5.12.2005 18:55
František Hucek
Je opravdu zvlastni, ze nedlouho pote, co odesel programator ktery jako posledni na linuxsoftu delal, ktery videl kody, tim padem i bugy ktere misty i on sam udelal, ci ktere tu zustali po programatorech predchazejicich, nekdo naky takovy bug zneuzije.. Zvlaste kdyz odchod nebyl zrovna bezproblemovy, tj, kdyz mi nekdo da po zkusebni dobe na stul vypoved a oznami mi, ze uz nastoupil jinde, bez toho aby dodelal to co ma rozdelano a bez toho aby radne ukoncil pracovni pomer.. Davame ted z logu serveru dohromady, jestli utocnik sel prave po teto chybe, tj. o ni vedel, ci se na ni metodou pokus/omyl nejak dostal.. Uvidime na co prijdeme a dle toho pak budu postupovat..
Re: SQL injection 5.12.2005 22:17
Karel Reichart
Teď je mi jasné proč jsem odpoledne nemohl najít "půlku" stránek. To se stane vždy, když to člověk nejméně potřebuje. Jeden kolega sháněl informace o Linuxu. Tak jsem mu chtěl ukázat nejlepší stránky z informacemi a ejhle... Doufám že se vše podaří zprovoznit velmi brzy, abychom my nevědomí měli opět možnost brouzdat a shánět cenné informace. Tak hodně štěstí.
Re: SQL injection 6.12.2005 00:48
Ondřej Čečák

V dobu, kdy jste psal prispevek, by melo byt vse OK. Co se tyce utoku, tak se na adresu utocnika da sarkasticky poznamenat "Jeden moudry clovek rikal "Nedelej co neumis." ... ;)

Re: SQL injection 6.12.2005 08:18
MaReK Olšavský
Zeby skodicem by Pisko**t?? Nezdal se mi natolik dobrej, ale mozna zdani klamalo.
Re: SQL injection 6.12.2005 20:27
Pavel `Goldenfish' Kysilka
Zdravim,
pozadal me Frantisek Hucek o vyjadreni okolo teto diskuse. Linuxsoft jsem prvnich asi 10 mesicu programoval.
Nebudu se tady snazit hledat vinika, ale napisi co by bylo moznym duvodem, proto, aby nekdo tuto velmi necistou vec udelal.
Proc necistou ? Asi to nevite, ale chodi sem dost lidi, kterym tento web pomaha. A jsou zde i lide, kteri se o tento web staraji a misto toho, aby ho rozvijeli, tak budou kontrolovat, co se vlastne stalo a pujde to radove do dnu.
Opravoval jsem par veci na ruznych(i linuxovych) portalech a muzu rici, ze linuxsoft byl v hodne vecech vice nez prumerny, co se tyce programovani ve sve/me dobe. Tim, nechci nejak vychvalovat svoji osobu. Ciste porovnavam stav webu. I kdyz po mem odchodu se par veci mohlo zmenit. Nicmene je zajimave, ze se toto nestalo jiz drive, ale az najednou ted. A kazdy pocitacovy program ma alespon jednu chybu. Nebudu nad timto nejak polemizovat, kde se co stalo a nestalo a ci to byla vina. Vim, ze moje osoba je pro mnohe hodne kontroversni a obcas i nedokonala. A o kvalite nekterych(ne vsech) programatoru, co zde prosli, by se dalo hodne polemizovat.
Pojdme se zamerit spise na to, co tim dany utocnik myslel a o co se snazil. Spise bych to videl jako zamer nekoho uskodit. A nekoho, kdo v nejakem hackovani nema prilis zkusenosti.
Videl bych to jako velmi pravdepodobne sestreleni zevnitr. Kdo to je, to neodhadnu a ani nechci. Nicmene mazat/neumoznit pristup k zaznamum slouzici vsem mi pripada jako ubohost. Mozna nekdo chtel dokazat svoje v uvozovkach kvality. Utok hackera by vypadal jinak a co si budeme rikat, tak linuxsoft by byl velkou trofeji. Podstatne vetsi, nez jenom zmeny v databasi.
Pripada mi to, ze chce uvodni pisatel prispevku dokazovat, ze je dobry a skolit tu par lidi. Proc ne. Ale vybral si na to zrovna tu spatnou cestu. Mozna by to chtelo si precist neco o tom, zda je moudrost odeprit lidem neco, co jim pomaha a da se rici zdarma.
Pavel Kysilka - byvaly programator linuxsoft.cz
Zálohování 6.12.2005 08:49
Jan Němec

Sakra, chlapi, vy mě snad donutíte dělat to, co každý autor dělat měl, tj. zálohovat všechny své články :-)

Re: Zálohování 6.12.2005 09:55
Ondřej Čečák

Server se samozrejme zalohuje, databaze (ve ktere jsou ulozene clanky) dokonce kazdou hodinu.

Re: Zálohování 6.12.2005 15:07
Newim
Mno, kdyby jste se PORADNE podivali tak data ze vsech smazanych tabulek byly zkopirovany.
Re: Zálohování 6.12.2005 15:59
Ondřej Čečák

Vzdyt ano, myslis, ze tuhle diskuzi jsme prepsali z papiru? :)

Utocnik 6.12.2005 11:05
František Hucek

Tak jsme včera u lahodného moku U Zpěváčků s Alešem prohledávali logy, a našli jsme IP 84.244.83.151 které patří nějakému ADSLku od Bluetone (České Radiokomunikace) ze kterého ůtočník z Gmailu poprvné SQL injection na linuxsoftu zkoušel. Pak se připojoval z dalšího IP 212.158.128.159 od Bluetone a poté z IP 203.162.27.200 což je nějaká šílená proxy ve Vietnamu. Útočník si nejdříve myslel, že jedeme na MySQL, alespoň se tak tváří SQL příkazy.

Bohužel poskytovatel připojení nemůže poskytovat ůdaje o svých zákaznících na běžný dotaz. Toto upravuje Zákon o elektronických komunikacích §97 (3).

Teď se snažíme z logů linuxsoftu (2,2 GB dat) zjistit, jestli se jednalo o někoho, kdo opravdu tak dlouho skenoval web, až tuto chybu našel (málo pravděpodobné), či jestli se jednalo o informaci zevnitř, tj. nejpravděpodobněji od někoho kdo web spoluprogramoval, do kódů viděl, tj. věděl i o této chybě. Což vzhledem k tomu, že to vypadá, že útočník byl na dannou chybu upozorněn e-mailem (viz výše) se jeví jako pravděpodobné.

Jestli někdo "z venku" objeví svým důvtipem chybu v aplikaci, dobře to bych ještě pochopil.. Jinak na linuxsoftu se za 2 roky jeho existence vystřídali 3 programátoři kteří na něm dlouhodobě pracovali, další asi 3 kteří opravovali bugy, a další 1 který dostal přístup ke kódům s myšlenkou, že bude kódit.. Nebylo tomu tak, a dostal §53.. Jestli ale někdo zneužije informace které by osoby jenž k ním měli přístup chránit, což je i smluvně ošetřeno, tak je to celkem prasárna.. Které by se měla řešit jako problém pracovně-právní, popř. trestně-právní, toto např. dle Trestní zákon § 149, Trestní zákon § 152.

Určitý díl vinny beru také na sebe, tj. od počátku existence linuxsoftu kladu důraz aby se věci které chci zprovoznit (články, SW adresář, adresář skriptů, Shop..) rozběhli co nejdříve a ne až bude kód ideální, což by často trvalo do nekonečna..

kauza 12.12.2005 11:27
František Hucek
Takze popis pripadu vcetne prislusnych logu je na webu http://zakony-online.cz/.

KOMENTARZE
SQL injection 5.12.2005 15:46 Newim
|- Re: SQL injection 5.12.2005 16:19 Dal Horinek
|- Re: SQL injection 5.12.2005 18:46 Aleš Hakl
|- Re: SQL injection 5.12.2005 18:55 František Hucek
| |- Re: SQL injection 5.12.2005 22:17 Karel Reichart
| | L Re: SQL injection 6.12.2005 00:48 Ondřej Čečák
| L Re: SQL injection 6.12.2005 08:18 MaReK Olšavský
L Re: SQL injection 6.12.2005 20:27 Pavel `Goldenfish' Kysilka
Zálohování 6.12.2005 08:49 Jan Němec
L Re: Zálohování 6.12.2005 09:55 Ondřej Čečák
  L Re: Zálohování 6.12.2005 15:07 Newim
    L Re: Zálohování 6.12.2005 15:59 Ondřej Čečák
Utocnik 6.12.2005 11:05 František Hucek
kauza 12.12.2005 11:27 František Hucek
Tylko zarejestrowani użytkownicy mogą dopisywać komentarze.
> Szukanie oprogramowania
1. Pacman linux
Download: 4850x
2. FreeBSD
Download: 9044x
3. PCLinuxOS-2010
Download: 8541x
4. alcolix
Download: 10915x
5. Onebase Linux
Download: 9631x
6. Novell Linux Desktop
Download: 0x
7. KateOS
Download: 6219x

1. xinetd
Download: 2382x
2. RDGS
Download: 937x
3. spkg
Download: 4692x
4. LinPacker
Download: 9918x
5. VFU File Manager
Download: 3173x
6. LeftHand Mała Księgowość
Download: 7171x
7. MISU pyFotoResize
Download: 2775x
8. Lefthand CRM
Download: 3540x
9. MetadataExtractor
Download: 0x
10. RCP100
Download: 3087x
11. Predaj softveru
Download: 0x
12. MSH Free Autoresponder
Download: 0x
©Pavel Kysilka - 2003-2024 | mailatlinuxsoft.cz | Design: www.megadesign.cz