|
|
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
вадяchpashaпочему это проблема? пусть вбивает что хочет и пусть томкэт ругается на все, что вбито не правильно. если юзеру хочется вбивать руками правильно, пусть воспользуется любым из доступных онлайн url-encoder-ов. главное чтоб твой софт правильные url-ы формировал.тут такая вещь , что ломятся все кому не лень и подбирают все возможные комбинации. если сервер отвечает страницей с ошибкой - это не просто информация, а дополнительная инфа для атакующего. и если там ответ кошки - область для атаки сокращается многократно. верно мыслишь, это называется security misconfiguration почитай: https://www.owasp.org/index.php/Securing_tomcat https://tomcat.apache.org/tomcat-9.0-doc/security-howto.html ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 20:09 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
mayton, спасибо за инфу, но пока это чисто спортивный интерес и для общего развития. пока для общего доступа только рекламная html страница, всё остальное под логином, который выдаётся. ну и плюс телега. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 20:12 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
Дмитрий Мух, что-то уже читал. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 20:15 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
вадячисто спортивный интерес и для общего развития для общего развития на OWASP есть... и про Static Application Security Testing (SAST): https://www.owasp.org/index.php/Source_Code_Analysis_Tools и про Dynamic Application Security Testing (DAST): https://www.owasp.org/index.php/Category:Vulnerability_Scanning_Tools ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 20:17 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
Дмитрий Мух, интересно. взял на заметку ну и в тему :) - хранимки тоже элемент защиты. 99,99% ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 20:25 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
вадя, ну да, один из вариантов защиты от SQL инъекций: https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html насчёт 99,99% - смотря как реализовать... в статье это упоминается ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 20:38 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
Вот. Под сонар тоже что-то есть https://www.sonarqube.org/features/security/ ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 20:42 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
Дмитрий Мухнасчёт 99,99% - смотря как реализовать... в статье это упоминаетсяв ветке mysql как то был поэтому поводу трёп, привели пример "слома" - если постараться писавшему хранимку сделать так чтоб взлавымающий знал что там и как и очень старался - то получался вариант просто загружающий проц. это и есть 0.01%. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 20:55 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
Это другой класс атаки. Оснванный на создании искусственной перегрузки ресурсов. Фиксится наблюдением на частотой реквестов и троттлингом. Сюда-же в помощь может быть балансировщик и аварийный размыкатель. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 21:08 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
вадя, предпочту следовать рекомендациям OWASP, а не вашему трёпу в ветке mysql :) и другим советую.. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 21:42 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
Дмитрий Мухпредпочту следовать рекомендациям OWASP, а не вашему трёпу в ветке mysql :) и другим советую..ну там специалисты пробовали, а не простые дилетанты. ну и я сам пытался - инъекции не катят даже для PREPARE..... уж я пытался... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 21:49 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
Дмитрий Мух, можешь предложить вариант - проверю ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 21:50 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
Дмитрий Мухпредпочту следовать рекомендациям OWASP,я бы не стал следовать этим рекомендациям. потому как заявляют одно для всего, но даже ну упоминают о какой субд идёт речь, надо сказать что это уже вызывает сомнения в их знаниях. могу утверждать, что в mysql можно динамически создавать sql-запрос, без боязни заполучить инъекции. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 22:14 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
вадяДмитрий Мух, интересно. взял на заметку ну и в тему :) - хранимки тоже элемент защиты. 99,99% ну вообщем что и ожидалось от вади-скрытая реклама мертвых хранимок) вадя изучи Spring data и забудь ты эти хранимки уже насовсем) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 22:19 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
asv79ну вообщем что и ожидалось от вади-скрытая реклама мертвых хранимок) вадя изучи Spring data и забудь ты эти хранимки уже насовсем)не лезь туда, где ничего не знаешь ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 22:23 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
вадя, можешь утверждать всё что угодно, я свое мнение выссказал тебе так хочется меня переубедить, или что? :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 22:39 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
Дмитрий Мухможешь утверждать всё что угодно, я свое мнение выссказал тебе так хочется меня переубедить, или что? :)я утверждаю на основе личной практики , а ты на основе чужих высказываний? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 22:41 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
Дмитрий Мух, я проверял динамический sql в хранимке. а ты? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 22:43 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
вадя, почитай ради любопытства о том, что есть Open Web Application Security Project (OWASP) как они собирают данные об уязвимостях, как проверяют честно скажу, что к тому что ты там проверял, у меня никакого доверия нету ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 22:50 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
вадяна основе личной практики чувак, мы Level 1 PCI DSS compliant регулярный аудит, ревью, тесты то, что ты там когда-то в форуме mysql потрепался и что-то типа проверил - это не та практика, что должна применятся, для обеспечения должного уровня безопасности ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 22:57 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
Дмитрий Мухпочитай ради любопытства о том, что есть Open Web Application Security Project (OWASP) как они собирают данные об уязвимостях, как проверяют честно скажу, что к тому что ты там проверял, у меня никакого доверия нетуя прочитал, а ты мостак переобуваться - не можешь доказать сказанное - не говори. Дмитрий Мухрегулярный аудит, ревью, тестыдак я и проводил тесты для хранимок. тебе привести код хранимки? и входной параметр для взлома? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 23:12 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
Дмитрий Мух, пока я вижу только голословные утверждения и ничего более. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 23:14 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
вадя, а вот переходить на личности и пытаться брать на слабо - совсем не обязательно :) что ты прочитал об OWASP? как они собирают данные об уязвимостях? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 23:15 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
вадяДмитрий Мух, пока я вижу только голословные утверждения и ничего более.такой твой характер ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 23:18 |
|
||
|
Как победить ошибку
|
|||
|---|---|---|---|
|
#18+
Дмитрий Мухчто ты прочитал об OWASP? как они собирают данные об уязвимостях?я на собесе? Дмитрий Муха вот переходить на личности и пытаться брать на слабо - совсем не обязательно :)ну а как погасить бездоказательные высказывания? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.09.2019, 23:19 |
|
||
|
|
start [/forum/topic.php?fid=59&msg=39858855&tid=2121134]: |
0ms |
get settings: |
10ms |
get forum list: |
13ms |
check forum access: |
5ms |
check topic access: |
5ms |
track hit: |
44ms |
get topic data: |
10ms |
get forum data: |
2ms |
get page messages: |
57ms |
get tp. blocked users: |
1ms |
| others: | 244ms |
| total: | 391ms |
| 0 / 0 |
