2011/9/9 Iancu Gheorghe <[email protected]>: > Salut > Am "mostenit" 4 siteuri care la o testare cu Havij s-au dovedit > vulnerabile msqli. > Ce metode se pot folosi pentru a elimina vulnerabilitarea , se > doreste o metoda globala nu rescrierea de la zero a siteurilor. > OMG, si mai e si vineri :)
IMHO, cel mai bine investit efort e sa se rescrie partile care se leaga la baza de date, folosindu-se bound parameters sau macar niste validari de bun simt ale variebilelor interpolate. Folosirea de chestii gen mod_security and friends care sa incerce sa ghiceasca in-flight daca e un injection attack sau nu sunt destul de hit-and-miss: bune daca vrei sa impresionezi un auditor ca uite dom'le ce de-a IDS-uri si IPS-uri avem, dar mai putin bune la capitolul "dormit linistit noaptea". http://bobby-tables.com/php.html are niste recomandari f. simple. PS: interesant Havij ala, mersi. -- Petre. _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
