mboost-dp1
newz.dk
Hmmm, jeg troede prepared statements og LINQ er beskyttet imod SQL-injections, sålænge man ikke bygger sin SQL dynamisk op med SQL. Og det er så nemt at bruge i .NET, så det undrer mig at så mange åbenbart stadig er sårbare. Det er lidt mere bøvlet at sikre sig i PHP, synes jeg.
#3 er vel sikkert i i et asp.net cms modul .. så de bare automatisk kun lige rammer denne.. ligesom de i sidste omgang tog en pokkers masse php joomla systemer.
Du, ligesom de fleste af de øvrige, er jo godt klar over det ikke lige er teknologien, der forårsager fejlen her, synes sådan set artiklen er ok - var fejl, hvis der stod, at der var fejl i asp.net .. men korrekt nok sikkert at den rammer asp.net systemer..
Du, ligesom de fleste af de øvrige, er jo godt klar over det ikke lige er teknologien, der forårsager fejlen her, synes sådan set artiklen er ok - var fejl, hvis der stod, at der var fejl i asp.net .. men korrekt nok sikkert at den rammer asp.net systemer..
#4
Ja, men det har jo ikke nødvendigvis noget at gøre med ASP.NET. Derudover står der i kilden at der også blev angrebet old-skool ASP sider (dvs. VBScript).
(Og igen, der er intet i kilden der skriver at det er en SQL injection.)
Derudover så sikre .NET bla. mod de typiske SQL injections man ser i PHP verdenen, ved at database tilgang stort set kun er via. LINQ/EF i dag.
Ligeledes har ASP.NET MVC en række tiltag mod XSS angreb, som man heller ikke umiddelbart ser i andre teknologier.
Ja, men det har jo ikke nødvendigvis noget at gøre med ASP.NET. Derudover står der i kilden at der også blev angrebet old-skool ASP sider (dvs. VBScript).
(Og igen, der er intet i kilden der skriver at det er en SQL injection.)
Derudover så sikre .NET bla. mod de typiske SQL injections man ser i PHP verdenen, ved at database tilgang stort set kun er via. LINQ/EF i dag.
Ligeledes har ASP.NET MVC en række tiltag mod XSS angreb, som man heller ikke umiddelbart ser i andre teknologier.
Det er virkelig en dårligt skrevet artikel, hvis det handler om XSS injection. Det er jo KÆMPE forskel på SQL injection og XSS injection! Og asp.net er nok den platform der beskytter allermest mod SQL injection.
Jeg vil faktisk vove den påstand, at hvis en programmør har lavet noget asp.net code som er åben for SQL injection, så skal han fyres med det samme... ;-)
Jeg vil faktisk vove den påstand, at hvis en programmør har lavet noget asp.net code som er åben for SQL injection, så skal han fyres med det samme... ;-)
Det fremgår ikke i artiklen, som jeg har skrevet den fra, om det er sql eller xss attack. Jeg kan også se i de kommentar der er blevet skrevet til artiklen, at folk er forvirret over, om det er sql injection eller xss. Hvad der fremgår i artiklen er det der står i nyheden, som i kan læse her i newz.dk. Nyheden er lige så "informativ" som artiklen den er skrevet ud fra.
Jeg må også ærlig indrømme, at jeg havde ikke regnet med at min nyhed var kommet ud i den tilstand som den er skrevet i. Jeg har det sådan, at hvis jeg indsender en nyhed, så kan man godt skrive kortfattet hvad det handler om. Nu når jeg står for ansvaret til denne nyhed, så vil jeg da lige se om jeg kan grave noget mere frem. (:
God weekend.
God weekend.
Artiklen omhandler JavaScript kode der bliver injectet.budder (8) skrev:Det fremgår ikke i artiklen, som jeg har skrevet den fra, om det er sql eller xss attack.
Det er XSS. Når der ikke står noget specifikt omkring SQL injection, så er det ikke et SQL injection angreb.
Jeg har indsendt en rettelse til min artikel, da jeg har fået flere oplysninger via denne artikel, hvor der er blevet lavet et interview med CEO for Armorize:
http://www.darkreading.com/database-security/16790...
http://www.darkreading.com/database-security/16790...
#7 Ja tak. Jeg gad godt se den nød der kunne afvikle et drop igennem et SQLConnection fill. :)
Edit: Det er desuden også misvisende at de skriver web pages med store bogstaver, da man så refererer til de nye ASP.Net Web Pages, som bruger Razor syntaksen und so...
Edit2: ... men det er selvfølgelig i petitesse-afdelingen. :)
Edit: Det er desuden også misvisende at de skriver web pages med store bogstaver, da man så refererer til de nye ASP.Net Web Pages, som bruger Razor syntaksen und so...
Edit2: ... men det er selvfølgelig i petitesse-afdelingen. :)
#hvad er det
Der er lidt flere detaljer her:
http://www.net-security.org/article.php?id=1641
Og der er lidt om LizaMoon her:
http://blogs.cisco.com/security/lizamoon-much-ado-...
http://www.teamshatter.com/topics/general/team-sha...
Der er SQL injection - ikke XSS.
Og det er ikke en speciel app som f.eks. et CMS de går efter - de prøver bare nogle millioner web sites og ser hvor der er bid.
Tilsyneladende er der kun blevet gået efter ASP.NET+SQLServer og ASP+SQLServer, men tilsvarende angreb kunne laves på alle andre kombinationer af server side teknologi og database.
Der er lidt flere detaljer her:
http://www.net-security.org/article.php?id=1641
Og der er lidt om LizaMoon her:
http://blogs.cisco.com/security/lizamoon-much-ado-...
http://www.teamshatter.com/topics/general/team-sha...
Der er SQL injection - ikke XSS.
Og det er ikke en speciel app som f.eks. et CMS de går efter - de prøver bare nogle millioner web sites og ser hvor der er bid.
Tilsyneladende er der kun blevet gået efter ASP.NET+SQLServer og ASP+SQLServer, men tilsvarende angreb kunne laves på alle andre kombinationer af server side teknologi og database.
atke (1) skrev:Hmmm, jeg troede prepared statements og LINQ er beskyttet imod SQL-injections, sålænge man ikke bygger sin SQL dynamisk op med SQL.
Det gør det også.
atke (1) skrev:Og det er så nemt at bruge i .NET, så det undrer mig at så mange åbenbart stadig er sårbare.
Kendt citat "Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning.".
atke (1) skrev:Det er lidt mere bøvlet at sikre sig i PHP, synes jeg.
Med mysqli og PDO er det lige så nemt i PHP som med parameters i .NET.
Windcape (5) skrev:Derudover så sikre .NET bla. mod de typiske SQL injections man ser i PHP verdenen, ved at database tilgang stort set kun er via. LINQ/EF i dag.
.NET har eksisteret i 9 år.
LINQ to EF har kun eksisteret i 3 år.
Det er nok lidt optimistisk at tro at alle ASP.NET web apps bruger LINQ to EF idag.
Derudover er der stadig en lang række ting som L2E stadig ikke gør særlig godt / slet ikke kan. Men ja, så længe man aldrig opbygger sin SQL direkte ved hjælp af input fra klienten, hvilket der for i øvrigt ikke er nogen grund til, når man nu har DbParameter, så slipper man helt for problemstillingen.
Det afhænger af virksomheden.Hubert (21) skrev:Er det realistisk at udviklere har kunne få lov til at rette de første 6 års sites til?
Derudover skifter man jo nogen gange database lag, for at optimere f.eks. performance, hvilket bliver nødvendigt hvis ens site er blevet meget større i løbet af de første par år.
Men hvor meget refactoring man får lov til, er et firmapolitisk spørgsmål.
Windcape (22) skrev:Det afhænger af virksomheden.
Derudover skifter man jo nogen gange database lag, for at optimere f.eks. performance, hvilket bliver nødvendigt hvis ens site er blevet meget større i løbet af de første par år.
Men hvor meget refactoring man får lov til, er et firmapolitisk spørgsmål.
Jeg spørger mest af nysgerrighed. :)
Man kan vel nærmest sige at det ville være en fordel for virksomheden hvis deres site blev kompromitteret. Det ville da give mulighed for at få rettet op på nogle af de uheldigheder man har lavet tidligere. Og med en fornuftigt designet backend infrastruktur sker der ikke alverden alligevel.
Windcape (20) skrev:Men jeg vil mene at .NET verdenen har været bedre til at tage LINQ/EF til sig, end PHP verdenen har med mysqli/pdo.
Hvis du tager hele PHP verdenen: uden tvivl. Hvis du tager den del af PHP verdenen som har uddannlse og erfaring svarende til .NET verdenen: tror jeg ikke der er nogen større forskel.
PHP har den tvivlsomme ære af at have næsten 100% markeds andel i "kan du ikke give mig koderne til et sikkert login system" segmentet.
Windcape (22) skrev:...
Derudover skifter man jo nogen gange database lag, for at optimere f.eks. performance, hvilket bliver nødvendigt hvis ens site er blevet meget større i løbet af de første par år.
...
Hehe, optimistisk! Du får det til at lyde som om det faktisk kan lade sig gøre at skifte datalag på mange ASP.NET løsninger! En del af de folk der arbejder med ASP.NET er de samme folk som i sin tid arbejdede med ASP, folk der arbejder med det som var det et script sprog. Det er i hvert fald min erfaring med en del af de bureauer vi hjælper.
MFRaver (7) skrev:...
Jeg vil faktisk vove den påstand, at hvis en programmør har lavet noget asp.net code som er åben for SQL injection, så skal han fyres med det samme... ;-)
Enig, det er mange år siden dette blev en kendt teknik til at "hacke", så kom nu ind i kampen. Og det er ligemeget om du bruger php, ASP.NET, ASP.NET MVC osv osv.. om det er XSS eller SQL injection!
Kom nu ind i kampen!
Tænk på alle de ressourcer der bruges på at rette disse huller, bare fordi en eller anden idiot programmør ville spare lidt tid, eller ikke sætter sig ind i hvad det er for nogle valg han tager!
Og ja, jeg har også lavet XSS- og SQL injection huller, tilbage i år 2000i et stort CMS system, og ja, jeg var en idiot, men jeg blev klogere!
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund