Jump to content
  • Revista PROGRAMAR: Já está disponível a edição #60 da revista programar. Faz já o download aqui!

Sign in to follow this  
joao_info

SQL Driver Proxy

Recommended Posts

joao_info

Alguém sabe onde consigo arranjar informação sobre o SQL Driver Proxy ? é um proxy especifico para combater ataques SQL Injection que analisa as strings enviadas pelo URL de paginas web(por exemplo).

Agradecia desde já o tempo dispendido.

Share this post


Link to post
Share on other sites
apocsantos

Boa tarde,

Pesquisa no google que não faltam informações. De qualquer forma, bastou-me uma simples pesquisa para encontrar um, mas feito para ser utilizado em linguagem Java.

Porque motivo usar um SQL Driver Proxy, em vez de utilizares outras técnicas ?

Cordiais cumprimentos,

Apocsantos


"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

Share this post


Link to post
Share on other sites
joao_info

Porque o que está em estudo é mesmo esse proxy em especifico. OWASP fornece informação sobre esse proxy num dos powerpoints que fala sobre SQL injection. Eu encontrei outros proxy, mas o ideal era encontrar este em especifico, essa é a minha dificuldade. Esse proxy foi desenvolvido para combater SQL Injection, e eu estou a fazer um trabalho sobre esse ataque, e pretendia implementar esse proxy de modo a ver se o ataque é possível mesmo com a utilização do proxy.

Espero ter me feito entender :) Desde já, obrigado

Share this post


Link to post
Share on other sites
apocsantos

Boa tarde,

Acabei de ler o powerpoint que falas e o conceito é interessante, mas não "infalivel". Basicamente ele actua como um proxy, mas compara as query's que são enviadas ao SGBD com as querys que deveriam ser enviadas, fazendo assim a filtragem.

Podes implementar perfeitamente isto em PHP ou em qualquer outra linguagem, no entanto para que isso seja realmente "eficaz" tens de permitir que o SQL Driver Proxy "aprenda", pois basta que as querys variem a sua forma, com base nos inputs do utilizador e corres o risco de a aplicação não funcionar. Da mesma forma que um "atacante" pode perceber que existe um "motor de conhecimento", que permite ao SQL Driver Proxy aprender e simplesmente explora-lo em busca de falhas.

Lê o powerpoint que tudo o que precisas de saber está lá chapado!

Pessoalmente prefiro ter tudo o que diz respeito a tarefas com a base de dados numa só classe que actue como uma "database abstration layer", e se possivel ter tudo o que for possivel em Stored Procedures directamente no SGBD.

Cordiais cumprimentos,

Apocsantos


"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

Share this post


Link to post
Share on other sites
joao_info

Obrigado pela resposta. Vou rever mais uma vez o PowerPoint pois como está em inglês tive alguma dificuldade em perceber todos os conceitos em causa.

Obrigado pelo tempo despendido :)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.