Этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
Политика конфиденциальности
|
|
|
поиск дыры в безопасности
|
|||
|---|---|---|---|
|
#18+
seggg Может давайте пари (раз Вы такой мастер?). Я выставлю свой тестовый сервер наружу, даже сообщу Вам имя базы, таблицы, полей. А Вы попробуете что-нибудь записать. Попробуем? А народ посмотрит, кто ламер из нас seggg Это уже Ваша мысль "растеклась по древу" про возможный доступ к SQL-серверу напрямую (чего я категорически исключаю). Может давайте пари (раз Вы такой мастер?). Я выставлю свой тестовый сервер наружу, даже сообщу Вам имя базы, таблицы, полей. А Вы попробуете что-нибудь записать. Попробуем? А народ посмотрит, кто ламер из нас Даже если вы хотите предложить мне контракт на проведение аудита по безопасности вашего приложения, мне навряд ли будет это интересно - работа адова и достаточно скучная. Тратить на это время ради пари или мнения народа, мне не хочется. Так же не стоит забывать, что по текущему российскому законодательству это карается законом. В рамках бесплатной и дружественной помощи на форумах, вам был предложен полный список мер по выявлению причин. Повторю его здесь еще раз: включаем timestamp на таблице. Включаем логи в sql server profiler на данную базу. Не забываем писать логи в файл. Включаем полные логи в iis server. Синхронизируем время на iss сервере и на сервере баз данных (если это не один и тот же сервер). Ждем появления записи в вашей таблице. Анализируем логи в момент времени появления этой записи. Думаем и спрашиваем дальше. Возможно, рекомендация не выставлять sql server наружу была дана в легкой форме, но тем не менее вполне себе стандартная мера безопасности превентивного характера. Если сильно нужно выставлять, тогда надо ставить vpn, ограничивать файрволлом ну и т.д. Если вы хотите дальнейшей помощи, тогда напишите 20 - 30 предложений об особенностях вашей инфраструктуры: colocation/server sharing, sql server sharing, уровень доступа к sql server, хостятся ли другие клиенты на том же самом application server и sql server. Какого рода приложение - forum, oltp ну и прочее. Это если вы хотите решить вашу проблему. А если вы хотите поспорить на тему ламер ли я - отвечу вам просто: я - ламер. Не теряйте времени. Моего в том числе. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.11.2006, 19:19 |
|
||
|
поиск дыры в безопасности
|
|||
|---|---|---|---|
|
#18+
А сколько всего на вашем сайте страниц, где используется составление запросов в виде string? В них replace с ' на '' хоть где-нибудь делается? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.11.2006, 19:20 |
|
||
|
поиск дыры в безопасности
|
|||
|---|---|---|---|
|
#18+
c_RA_w: А сколько всего на вашем сайте страниц, где используется составление запросов в виде string? В них replace с ' на '' хоть где-нибудь делается? Сам сайт очень большой, но все страницы, которые вызывались, примерно, в то же время, что проходила запись в базу я проверил, везде стоит защита от SQL Injecting. Поэтому и ломаю голову.. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.11.2006, 20:33 |
|
||
|
поиск дыры в безопасности
|
|||
|---|---|---|---|
|
#18+
segggСам сайт очень большой, но все страницы, которые вызывались, примерно, в то же время, что проходила запись в базу я проверил, везде стоит защита от SQL Injecting. Поэтому и ломаю голову.. Как насчет появления и удаления строк в других таблицах? Создания новых таблиц, индексов, юзеров, хранимых процедур? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.11.2006, 20:59 |
|
||
|
поиск дыры в безопасности
|
|||
|---|---|---|---|
|
#18+
Как насчет появления и удаления строк в других таблицах? Создания новых таблиц, индексов, юзеров, хранимых процедур? Да, нет, ничего такого не замечено... Но это, скорее всего, говорит лишь о том, что такой задачи не ставилось. Спаммерам просто нужно было куда-нибудь писать ссылки на свою хрень, чтобы Google их видел и индексировал. Настроили свой робот и забыли, пошли другой сайт искать. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.11.2006, 21:38 |
|
||
|
поиск дыры в безопасности
|
|||
|---|---|---|---|
|
#18+
Ларчик открывался просто. Оказывается было на сервере два сайта использующих одну и туже базу данных.(В принципе, я сразу об этом подумал, знал, что у этого клиента есть несколько сайтов. Но посмотрел - на SQL-сервере для каждого сайта создана своя база, видимо, создать то создали, но потом решили юзать одну и туже). И на этом втором сервере была обычная форма без "кривых картинок", через которую и писали сообщения обычным POST. От сердца отлегло... Не SQL Injecting... Спасибо всем за участие в моей проблеме. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.11.2006, 23:09 |
|
||
|
|
start [/forum/topic.php?fid=18&msg=34128556&tid=1387576]: |
0ms |
get settings: |
5ms |
get forum list: |
8ms |
check forum access: |
2ms |
check topic access: |
2ms |
track hit: |
30ms |
get topic data: |
6ms |
get forum data: |
2ms |
get page messages: |
39ms |
get tp. blocked users: |
1ms |
| others: | 205ms |
| total: | 300ms |
| 0 / 0 |
