Ir para o conteúdo
joao_info

SQL Driver Proxy

Mensagens Recomendadas

joao_info

Alguém sabe onde consigo arranjar informação sobre o SQL Driver Proxy ? é um proxy especifico para combater ataques SQL Injection que analisa as strings enviadas pelo URL de paginas web(por exemplo).

Agradecia desde já o tempo dispendido.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
apocsantos

Boa tarde,

Pesquisa no google que não faltam informações. De qualquer forma, bastou-me uma simples pesquisa para encontrar um, mas feito para ser utilizado em linguagem Java.

Porque motivo usar um SQL Driver Proxy, em vez de utilizares outras técnicas ?

Cordiais cumprimentos,

Apocsantos


"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

assinatura.jpg

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
joao_info

Porque o que está em estudo é mesmo esse proxy em especifico. OWASP fornece informação sobre esse proxy num dos powerpoints que fala sobre SQL injection. Eu encontrei outros proxy, mas o ideal era encontrar este em especifico, essa é a minha dificuldade. Esse proxy foi desenvolvido para combater SQL Injection, e eu estou a fazer um trabalho sobre esse ataque, e pretendia implementar esse proxy de modo a ver se o ataque é possível mesmo com a utilização do proxy.

Espero ter me feito entender :) Desde já, obrigado

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
apocsantos

Boa tarde,

Acabei de ler o powerpoint que falas e o conceito é interessante, mas não "infalivel". Basicamente ele actua como um proxy, mas compara as query's que são enviadas ao SGBD com as querys que deveriam ser enviadas, fazendo assim a filtragem.

Podes implementar perfeitamente isto em PHP ou em qualquer outra linguagem, no entanto para que isso seja realmente "eficaz" tens de permitir que o SQL Driver Proxy "aprenda", pois basta que as querys variem a sua forma, com base nos inputs do utilizador e corres o risco de a aplicação não funcionar. Da mesma forma que um "atacante" pode perceber que existe um "motor de conhecimento", que permite ao SQL Driver Proxy aprender e simplesmente explora-lo em busca de falhas.

Lê o powerpoint que tudo o que precisas de saber está lá chapado!

Pessoalmente prefiro ter tudo o que diz respeito a tarefas com a base de dados numa só classe que actue como uma "database abstration layer", e se possivel ter tudo o que for possivel em Stored Procedures directamente no SGBD.

Cordiais cumprimentos,

Apocsantos


"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

assinatura.jpg

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
joao_info

Obrigado pela resposta. Vou rever mais uma vez o PowerPoint pois como está em inglês tive alguma dificuldade em perceber todos os conceitos em causa.

Obrigado pelo tempo despendido :)

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!

Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.

Entrar Agora

×

Aviso Sobre Cookies

Ao usar este site você aceita os nossos Termos de Uso e Política de Privacidade. Este site usa cookies para disponibilizar funcionalidades personalizadas. Para mais informações visite esta página.