Oracle in SQL injection

J

jurek1973

Guru

3. sep 2007

4.170

1.147

113

• 20. jun 2012

• #1

Testirati moram eno web aplikacijo, ki ima zadaj oracle bazo.
Pred nekaj meseci, kosem prvič testiral, je zadeva padla že ob loginu, z enostavnim SQL injectionom ')or 1=1;

Zdaj upam, da so te zadeve malo popravili, po drugi strani pa me zanima, če obstajajo
še kakšni enostavni "recepti" za "hekanje" ali pa sesuvanje šlampasto narejene web aplikacije na oraclu.

 

A

ales85

Guru

9. nov 2007

3.596

1.214

113

• 20. jun 2012

• #2

Če ti je aplikacija padla ob loginu z SQL injection to ni problem Oracle in oni nimajo ničesar za popravljati. Ti moraš sanirati SQL ukaze preden jih pošlješ strežniku.

Primer PHP je uporaba funkcije mysql_real_escape_string.

 

J

jurek1973

Guru

3. sep 2007

4.170

1.147

113

• 20. jun 2012

• #3

Vem, kaj morajo narediti.
Zanima me, če ne prečistijo uporabnikovega vnosa na pravilen način,
če recimo samo ' odstranijo iz vnosa, ali so še kakšne kombinacije, kjer bi lahko SQL zastokal?
Recimo da vnese %LIKE% ali kaj podobnega?

(To je pa tako, ko izbereš najcenejšega ponudnika)

 

KLuka

Fizikalc

7. sep 2007

1.710

0

36

• 20. jun 2012

• #4

vem da obstajajo orodja, ki ti sama testirajo spletno stran za ranljivosti, je pa vpr

primeri: (ampak jih sam še nisem preizkusil, vprašanje koliko so zmogljiva ..)

https://addons.mozilla.org/en-US/firefox/addon/sql-inject-me/
http://www.zubrag.com/tools/sql-injection-test.php