W 2006 roku przygotowaliśmy na własne potrzeby raport o zagrożeniach wynikających z używania komunikatorów (w szczególności Gadu-Gadu) w instytucjach o podwyższonym poziomie ryzyka (Banki, Instytcje Finansowe). (więcej…)
W tej części artykułu zostaną omówione aspekty eksploitowania podatnej aplikacji na wybranych przykładach. Zostanie przedstawiony zarówno exploit wykorzystujący błędy przez zastosowanie tehnik Blind SQL Injection, jak też klasycznego SQL Injection. Opisane zostaną algorytmy działania. (więcej…)
W tej części zajmiemy się analizą wybranych fragmentów kodu PHP/MySQL i opiszemy co jest nieprawidłowego w prezentowanych aplikacjach. Pokażemy przykładową tabelę bazy danych oraz kilka skryptów PHP. (więcej…)
Techniki omijania walidacji danych wejściowych oraz wyjściowych są bardzo do siebie zbliżone. Systemy wykrywania włamań bazujące na sygnaturach są zawodne i można je oszukać.
W tej części artukułu opisane zostaną metody wykrywania podatności na ataki typu SQL Injection. Po zidentyfikowaniu nieprawidłowości w działaniu aplikacji zobaczymy w jaki sposób przygotować się do głównej fazy ataku na podstawie zebranych informacji. (więcej…)
Seria artykułów poświęcona atakom SQL Injection, w dość obszerny sposób omawia zagadnienia związane z tą klasą ataków na aplikacje. Postaramy się zilustrować częste błędy programistyczne/implementacyjne oraz ciekawe sposoby ataków i przykładów błędnie napisanego kodu. W tej części zostaną opisane podstawowe zagadnienia. (więcej…)
Copyright © 2009 - 2012 VenturoLab – Professional Security Services
