Byla vydána verze 9.2 open source virtualizační platformy Proxmox VE (Proxmox Virtual Environment, Wikipedie) založené na Debianu. Přehled novinek v poznámkách k vydání a informačním videu.
Firefox 151 podporuje Web Serial API. Pro komunikaci s různými mikrokontroléry připojenými přes USB nebo sériové porty už není nutné spouštět Chrome nebo na Chromiu postavené webové prohlížeče.
Byla vydána nová stabilní verze 8.0 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 148. Přehled novinek i s náhledy v příspěvku na blogu.
Ve FreeBSD byla nalezena a opravena zranitelnost FatGid aneb CVE-2026-45250. Jedná se o lokální eskalaci práv. Neprivilegovaný uživatel se může stát rootem.
Společnost Flipper Devices oznámila Flipper One. Zcela nový Flipper postavený od nuly. Jedná se o open-source linuxovou platformu založenou na čipu Rockchip RK3576. Hledají se dobrovolníci pro pomoc s dokončením vývoje (ovladače, testování, tvorba modulů).
Vývojáři Wine oznámili vydání verze 2.0 knihovny vkd3d pro překlad volání Direct3D na Vulkan. Přehled novinek na GitLabu.
Společnost Red Hat oznámila vydání Red Hat Enterprise Linuxu (RHEL) 10.2 a 9.8. Vedle nových vlastností a oprav chyb přináší také aktualizaci ovladačů a předběžné ukázky budoucích technologií. Vypíchnout lze CLI AI asistenta goose. Podrobnosti v poznámkách k vydání (10.2 a 9.8).
Organizace Apache Software Foundation (ASF) vydala verzi 30 integrovaného vývojového prostředí a vývojové platformy napsané v Javě NetBeans (Wikipedie). Přehled novinek na GitHubu. Instalovat lze také ze Snapcraftu a Flathubu.
Byla vydána nová verze 7.0 svobodného open source redakčního systému WordPress. Kódové jméno Armstrong bylo vybráno na počest amerického jazzového trumpetisty a zpěváka Louise Armstronga (What A Wonderful World).
V Drupalu byla nalezena a opravena kritická zranitelnost SA-CORE-2026-004 (CVE-2026-9082). Útočník může provádět libovolné SQL dotazy na webech používajících databázi PostgreSQL.
6.5.2009 20:00
xkucf03 | skóre: 50
| blog: xkucf03
+1
String user_name = ...; String password = ...; // tak takto nie Query q1 = new Query ( "insert into users ( username, password ) values ( " + user_name + ", " + password + " );" ); // takto PreparedQuery q2 = new PreparedQuery ( "insert into users ( username, password ) values ( ?,? );" ); q2.setString ( 1, user_name ); q2.setString ( 2, password );Pokial bude v password nieco ako "foo ); drop from users; select ( 1", tak sa vykona:
insert into users ( username, foo ); drop from users; select ( 1 );... a mas problem
23.4.2009 10:50
kozzi | skóre: 55
| blog: vse_o_vsem
| Pacman (Bratrušov)
.
insert into users ( username, password ) values ( 1 ); // na toto povie fail drop table users; // toto s radostou vykona select 1foo);" // a toto zase zfailuje, to ti uz ale nepomoze
23.4.2009 11:54
kozzi | skóre: 55
| blog: vse_o_vsem
| Pacman (Bratrušov)
6.5.2009 20:04
xkucf03 | skóre: 50
| blog: xkucf03
Proč by ty systémové tabulky zahazoval, když si z nich může vyselektovat názvy těch uživatelských?
Rikat si "utocnik nezna nazvy tabulek, nemusim to zabezpecovat" - neni zrovna dobry pristup;))
Jinak nepovolene prihlaseni do jakehokoliv nezabezpeceneho systemu nemusis znat nazvy tabulek ani sloupcu.
napr.:
<tt>
SQL pro overeni hesla uzivatele (" SELECT user WHERE login = '"+login+"' AND passwd = '"+heslo+"';");
</tt>
pokud v promene heslo mas hodnoty:
' OR '1'='1
nebo si zkouset vybrat uzivatele ktereho chces
' OR 1 OFFSET 25 LIMIT 1 --
tak se prihlasis bez znalosti uzivatelskeho hesla - a nemusis znat zadny nazev tabulky ani sloupce.
Jak to s tím souvisí??
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
23.4.2009 09:23
PreparedStatement a PreparedCall, takže mi SQL injection nehrozí – hodnoty zadané uživatelem se tam zadávají jen jako hodnoty konkrétních parametrů, žádné skládání dotazu z jednotlivých částí.
6.5.2009 20:16
xkucf03 | skóre: 50
| blog: xkucf03
Pokud je ošéfovaná komunikace server -> databáze
Tak ta z principu ošéfovaná být musí, protože přes ni tečou všechna (i citlivá) data.
Jestli hashovat nebo ne, jsem se zabýval v blogu. 
Hashovat mi přijde přirozenější až v DB (je to na jednom místě), ale není to až tak zásadní otázka.
BTW: četl už někdo tyhle zdrojáky? Ke změně hesla tam používám DB funkci, která ověří i to původní heslo -- ten systém by měl být odolný i proti jakkoli zkompromitované (a zpackané) porezentační vrstvě (PHP), ale rád bych, kdyby to po mě ještě někdo přečetl
6.5.2009 20:08
xkucf03 | skóre: 50
| blog: xkucf03
O tom to přece není. Heslo může být všeliaké i když nehashujeme, nebo to ani nemusí být heslo, ale třeba řetězec k vyhledání.
Jediné spolehlivé řešení je, neskládat SQL dotaz/příkaz, nelepit ho z kousků textu -- mít jeden odladěný dotaz s otazníky, za které se pak dosadí* proměnné (v Javě PreparedStatement, v PHP tohle umí PDO)
*) pomocí zvláštní funkce, ne nahrazením textu
co se vstupů týče, osobně např. dbám na escapování uvozovek atd. atd.
To znamená co? Že ty texty od uživatele escapuješ a pak je třeba uložíš do DB? IMHO je lepší pracovat s daty, tak* jak přišly od uživatele a do databáze ukládat čistá data, tedy bez jakéhokoli escapování. Důvody:
*) mluvím teď o ošetření nebezpečných znaků (pro SQL, HTML), ne o kontrolách typu, že e-mail musí vyhovovat regulárnímu výrazu, nebo že text má nějakou maximální délku.
**) mám tu čest pracovat s jednou pěkně zfušovanou aplikací, která neumí UTF-8 a soudruhy z DDR nenapadlo nic lepšího, než ty znaky escapovat na HTML entity. Ono jim to hezky funguje když se text zobrazuje na webu, to by si toho člověk ani nevšiml, ale jakmile se ten text pošle elektronickou poštou (což se s e-maily běžně dělá) mimo ten systém, máme problém – příjemce vidí HTML entity tam, kde žádné HTML nemá, co dělat (např. předmět mailu).
Data je samozřejmě žádoucí ukládat (tedy zařídit aby byla ve výsledku uložena) tak, jak přišla od uživatele
S tím souhlasím…
což v SQL příkazu, kde jsou tato data ohraničena apostrofy, lze zařídit již zmíněným escapováním případných apostrofů v datech
…a s tímhle už ne. Data od uživatele především vůbec není vhodné vkládat přímo do SQL dotazu, protože právě tím si potenciálně zaděláváte na všechny problémy označované jako SQL injection. Pokud data od dotazu oddělíte, nemusíte escapovat nic a neriskujete, že jednou někde něco přehlédnete a vystavíte se tím útoku.
Jinak co se vstupů týče, osobně např. dbám na escapování uvozovek atd. atd.
A to je právě špatně, je to zbytečně komplikované a sebemenší chybička se může vymstít. Hodnoty parametrů prostě nemají v SQL dotazu co dělat. Je to jen historický relikt z dob, kdy PHP rozhraní pro MySQL neumělo pracovat s parametrizovanými dotazy. Ale i to už dost dlouho parametry oddělit umí (pro jiné databáze to šlo i dříve), takže není důvod si zbytečně přidělávat práci a navíc ještě zvyšovat riziko.
Názvy tabulek a sloupců se dají ověřit správně sestaveným selectem. Když tabulka/sloupec neexistuje, select skončí s chybou a vyskočí internal server error. Když existuje, tak se stránka načte. A pokud je ten web opravdu hodně blbě napsaný, šlo by nechat si hlavičky všech tabulek vypsat.
Vkladat se da pres jakykoliv uzivatelsky vstup, ktery se pak vklada do SQL dotazu - tozn. moznosti je spousta:
- URL parametry
- data ve formulari
- http headery (cookies a jakekoliv dalsi)
... doporucuju si koupit nejakou knihu o bezpecnosti webovych aplikaci - SQL injection je jen jedna moznost utoku, ale existuje mnoho dalsich.
Celé to ale předpokládá, že vstup zadaný (jakýmkoli způsobem) uživatelem bude použit jako součást SQL dotazu, což je samo o sobě naprosto zásadní chyba. Přitom dnes už i PHP rozhraní pro MySQL už (konečně) umožňuje se tomu vyhnout. Jenže autoři skriptů si (většinou) nechtějí "přidělávat práci" s bindováním parametrů a dál tvrdošíjně cpu uživatelské vstupy přímo do dotazu.
Takže SQL injection lze v drtivé většině případů velmi snadno a zcela univerzálně předejít a pokud to někdo odmítá udělat, protože "takhle to přeci psal vždycky", případně "takhle to přeci dělají všichni" nebo "takhle to dělá Franta Vomáčka ve své knize", je to jen jeho hloupost.
Tiskni
Sdílej:
