 |
|
Кардинальный метод защиты от XSS и атак по подстановке SQL-запросов |
17.06.2010, 06:00
|
|
Познавший АНТИЧАТ
Регистрация: 24.04.2009
Сообщений: 1,730
С нами:
8973026
Репутация:
3256
|
|
Кардинальный метод защиты от XSS и атак по подстановке SQL-запросов
Ден Каминский (Dan Kaminsky), получивший известность обнаружением фундаментальной уязвимости в DNS, представил универсальную технику защиты от "SQL Injection" (подстановка SQL-запросов) и XSS (межсайтовый скриптинг) атак. Суть техники защиты от подстановки SQL-запросов в том, что при работе с пользовательскими данными в запросе к СУБД фигурируют не открытые данные, а строка в base64-представлении, в которой изначально отсутствуют спецсимволы. В отличие от традиционной практики анализа вводимых пользователем данных и экранирования опасных символов перед формированием запроса, метод Каминского по своей сути исключает человеческий фактор и возможность недосмотра при проверке.
Для наглядности рассмотрим пример. Допустим в программе имеется строка
$conn->query("select * from table where fname=$fname;");
в случае отсутствия должных проверок в переменной $fname может оказаться SQL-код, т.е. имеет место классическая "SQL Injection" уязвимость. Следуя методике Каминского, поменяв данную конструкцию на
$conn->query(eval(b('select * from table where fname=^^fname;')));
, где "b" - функция враппер для подстановки операций base64-кодирования для переменных, отмеченных через маркер "^^". В итоге к СУБД будет сформирован запрос:
select * from table where fname=b64d("VehHU.....=")
как видим, какое бы ни было содержимое переменной fname при обращении к СУБД оно будет всегда представлено валидной строкой, которая будет перекодирована из base64-представления уже силами СУБД.
Похожая техника предлагается и для защиты от XSS-атак, все выводимые на страницу блоки данных изначально поступают в base64-представлении и отображаются через задействование специального JavaScript-враппера, декодирующего base64-строку и выводящего блок в заданную позицию без его интерпретации браузером.
Пример с реализацией необходимых для осуществления защиты функций на языках PHP и JavaScript, а также дополнение к MySQL с функциями обработки строк base64 (в PostgreSQL поддержка base64 реализована через штатные функции encode/decode), доступны для свободной загрузки (http://recursion.com/interpolique.html). Презентацию с подробным описанием метода можно посмотреть http://www.scribd.com/doc/33001026/Interpolique.
17.06.2010
http://www.opennet.ru/opennews/art.shtml?num=26997
http://www.darkreading.com/database_security/security/app-security/showArticle.jhtml?articleID=225700088 |
|
|
17.06.2010, 06:20
|
|
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
С нами:
10018169
Репутация:
1680
|
|
На первый взгляд кажется глупо. Могу и ошибаться.
$conn->query(eval(b('select * from table where fname=^^fname;')));
опять таки это в КАЖДЫЙ запрос надо вставлять, а не проще тогда юзать real escape string для каждого запроса?
Вот было бы что-то глобальное, как например способ с .htaccess который полностью фильтрует весь сайт целиком, тогда было бы интереснее.
|
|
|
|
17.06.2010, 10:34
|
|
Познающий
Регистрация: 26.05.2010
Сообщений: 48
С нами:
8401088
Репутация:
19
|
|
оке. теперь горик-второй подождем это в бд
|
|
|
|
17.06.2010, 11:34
|
|
Познавший АНТИЧАТ
Регистрация: 16.11.2004
Сообщений: 1,257
С нами:
11305766
Репутация:
454
|
|
защита от ламо-кодеров ценой увеличения CPU time
|
|
|
|
17.06.2010, 11:39
|
|
Постоянный
Регистрация: 16.04.2008
Сообщений: 889
С нами:
9510146
Репутация:
1550
|
|
почему многие считают, что проще написать такую страшную обертку, чем просто заюзать пару простых стандартных функций.Тем более, строки, числа, другие входные данные надо обрабатывать по-разному.
|
|
|
|
17.06.2010, 11:45
|
|
Leaders of Antichat - Level 4
Регистрация: 02.06.2005
Сообщений: 1,411
С нами:
11020706
Репутация:
4693
|
|
Мда, ну и глупость этот чел предложил.
__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..
Мой блог: http://qwazar.ru/.
|
|
|
|
17.06.2010, 13:45
|
|
Голос разума
Регистрация: 27.09.2006
Сообщений: 529
С нами:
10326626
Репутация:
1617
|
|
А че за функция b() ТО, искал искал ,так и не нашел , че за врапер, просто там еще eval добавляется, мож там еще испонения кода гденить есть ?*
__________________
Бойтесь своих желаний. Они могут исполниться....
...О-о-о-о, ушами не услышать, глазами не понять!
|
|
|
|
17.06.2010, 14:08
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
С нами:
9649706
Репутация:
3338
|
|
Хыыыыыыыыы!!!! Особые обстоятельства детектед!!! Ми просто смотрю в будущее
|
|
|
|
17.06.2010, 14:11
|
|
Reservists Of Antichat - Level 6
Регистрация: 20.08.2008
Сообщений: 328
С нами:
9328706
Репутация:
1503
|
|
я что то совсем не понял! =(
select * from table where fname=b64d("VehHU.....=")
получается, что я ему отправляю запрос вида
select * from table where fname=b64d("Jw==")
после преобразования получится один фиг
select * from table where fname='
? =\
UPDATE:
все, понял
которая будет перекодирована из base64-представления уже силами СУБД.
т.е. помимо использования функций в пхп, еще нужно переписать сорцы всех субд?
З.Ы. Этот треш на равне с БолдженОС прямо... каникулы чтоли такие
__________________
You may say I'm a dreamer
But I'm not the only one
Последний раз редактировалось Twoster; 17.06.2010 в 14:14..
|
|
|
|
17.06.2010, 14:15
|
|
Флудер
Регистрация: 08.11.2004
Сообщений: 3,395
С нами:
11317286
Репутация:
3876
|
|
Метод оказался слишком кардинальным для Античата :\
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
