|
|
 | Spørgsmål om kategorisering af metoder (ha~
Fra : Rune Jensen |
Dato : 07-06-08 15:15 |
|
Hej, gruppe,
Jeg er ved at skrive en lille artikel omkring forskellige former for
scanning for sårbarheder på hjemmesider - samt egentlig injection og
mildere hackerangreb. Selv om jeg kender til en del metoder, sådan som
XSS-scripting, SQL-injection, alm. spamforsøg mv. så er jeg ikke helt
tilfreds med artiklen, og søger derfor lidt hjælp/research for at
kunne skrive den færdig.
Er der nogen, som kan komme med en hjælp til kategorisering af de
metoder, som bruges til at scanne for sårbarheder eller lave
injection... en lille forklaring med afgrænsning af hver metode, ville
være alle tiders. Hvis nogen af jer sikkerhedsnørder ville kigge på
teksten for faktuelle fejl, ville det også være dejligt
Artiklen er her: http://runejensen.dk/artikler/querystring_angreb.asp
MVH
Rune Jensen
| |
 Rune Jensen (07-06-2008)
| Kommentar
Fra : Rune Jensen |
Dato : 07-06-08 15:56 |
|
On 7 Jun., 23:14, Rune Jensen <runeofdenm...@gmail.com> wrote:
> Er der nogen, som kan komme med en hjælp til kategorisering af de
> metoder,
Jeg er i gang med at undersøge parameterized queries (som jeg lige
skal have tygget mig igennem). Spørgsmålet er, om en whitelisting af
querystring er nødvendig, hvis man bruger parameterized queries... Men
PQ virker jo kun til SQL-injection, så en whitelisting af querystring
vil vel tage sårbarhedsscanninger generelt og XSS-scripting-angreb
(lader til det, udfra min statistik)? Findes der flere former for
angreb, man skal beskytte sig imod?
MVH
Rune Jensen
| |
Michael Zedeler (08-06-2008)
| Kommentar
Fra : Michael Zedeler |
Dato : 08-06-08 19:30 |
|
Rune Jensen wrote:
> On 7 Jun., 23:14, Rune Jensen <runeofdenm...@gmail.com> wrote:
>
>> Er der nogen, som kan komme med en hjælp til kategorisering af de
>> metoder,
>
> Jeg er i gang med at undersøge parameterized queries (som jeg lige
> skal have tygget mig igennem). Spørgsmålet er, om en whitelisting af
> querystring er nødvendig, hvis man bruger parameterized queries...
Det kommer stærkt an på hvad du mener med "whitelisting". Hvis det
betyder at man checker det input, der kommer, så er svaret ja.
> Men
> PQ virker jo kun til SQL-injection, så en whitelisting af querystring
> vil vel tage sårbarhedsscanninger generelt og XSS-scripting-angreb
> (lader til det, udfra min statistik)? Findes der flere former for
> angreb, man skal beskytte sig imod?
SQL-injection-angreb er kun en delmængde af det, jeg ville kalde for
out-of-band-angreb. Altså angreb der ikke følder en given protokol. Et
eksempel på et andet out-of-band-angreb, der ikke er SQL-injection er
buffer overflow. Out of band-angreb kan man (nærmest pr. definition)
beskytte sig imod noget der sikrer at modparten overholder den protokol,
der benyttes.
Man kan indvende at det er misbrug af begrebet out of band når jeg
kalder SQL-injection for et out of band-angreb, da nogen vil insistere
på at det skal være en officiel, velkendt protokol, man ikke overholder.
Mvh. Michael.
| |
Michael Christensen (17-06-2008)
| Kommentar
Fra : Michael Christensen |
Dato : 17-06-08 04:20 |
|
On 7 Jun., 23:14, Rune Jensen <runeofdenm...@gmail.com> wrote:
Måske du kan finde noget på www.owasp.org. Se på top10 listen.
Venlig hilsen
Michael Christensen
| |
Martin (19-06-2008)
| Kommentar
Fra : Martin |
Dato : 19-06-08 10:20 |
|
Rune Jensen wrote:
> Hvis nogen af jer sikkerhedsnørder ville kigge på
> teksten for faktuelle fejl, ville det også være dejligt
f.eks. Blog-scripts eller CMSser
Content Management Systemsser
Et CMS,
flere CMS,
alle CMS'erne
Eller rettere, CMS er jo ikke et dansk ord, så det kan ikke rigtig bøjes :)
| |
Allan Olesen (19-06-2008)
| Kommentar
Fra : Allan Olesen |
Dato : 19-06-08 18:56 |
|
Martin wrote:
> Et CMS,
> flere CMS,
> alle CMS'erne
Det lyder som en lidt inkonsekvent bøjning. Der ville være mere
sammenhæng i een af de to nedenstående:
Et CMS,
flere CMS,
alle CMS
Et CMS,
flere CMS'er,
alle CMS'erne
--
Allan Olesen
| |
Rune Jensen (19-06-2008)
| Kommentar
Fra : Rune Jensen |
Dato : 19-06-08 19:13 |
|
On 17 Jun., 12:19, Michael Christensen <mich...@mathx.dk> wrote:
> Måske du kan finde noget på www.owasp.org. Se på top10 listen.
Det ligner et forholdsvist uskrevet blad, men interessant, ja, bare
der kom en anelse mere indhold. Top 10-listen virker så ikke;)
MVH
Rune Jensen
| |
Rune Jensen (19-06-2008)
| Kommentar
Fra : Rune Jensen |
Dato : 19-06-08 19:34 |
|
On 19 Jun., 19:56, Allan Olesen <usenet.2007.al...@spamcheck.dk>
wrote:
> Martin wrote:
> > Et CMS,
> > flere CMS,
> > alle CMS'erne
>
> Det lyder som en lidt inkonsekvent bøjning. Der ville være mere
> sammenhæng i een af de to nedenstående:
>
> Et CMS,
> flere CMS,
> alle CMS
>
> Et CMS,
> flere CMS'er,
> alle CMS'erne
Ar, det hører til i dk.retstavning.flueerotik
Siden er fuld af stavefejl og slåfejl, fordi jeg har koncentreret mig
om koden og selve indholdet (og så fordi jeg skriver fra en bærbar,
som ikke er ret hurtig i opfattelsen). Selvfølgelig skal det rettes,
og det bliver det, når jeg går i gang med den store overhaling, hvor
jeg også skal have rettet navigeringssystemet til, det er nemlig også
noget juks.
Men stavefejlen er næppe en fejl, som gør, man ikke forstår det.
Jeg tænkte først og fremmest på egentlige (teknisk) misinformation.
Det er det, jeg vil rette først og fremmest. Men på den anden side, så
tror jeg mine spørgsmål er for omfattende/dækker for mange emner på
samme tid, det er svært at svare specifikt på (har jeg på
fornemmeren), så jeg må vel igennem research, for at kunne pinpointe
mine problemer bedre.
God week-end, og tak for svarene, vender sikkert tilbage.
;)
MVH
Rune Jensen
| |
Rune Jensen (19-06-2008)
| Kommentar
Fra : Rune Jensen |
Dato : 19-06-08 19:59 |
|
On 8 Jun., 20:30, Michael Zedeler <mich...@zedeler.dk> wrote:
> Rune Jensen wrote:
> > Jeg er i gang med at undersøge parameterized queries (som jeg lige
> > skal have tygget mig igennem). Spørgsmålet er, om en whitelisting af
> > querystring er nødvendig, hvis man bruger parameterized queries...
>
> Det kommer stærkt an på hvad du mener med "whitelisting". Hvis det
> betyder at man checker det input, der kommer, så er svaret ja.
Jeg whitelister på hele querystring, hvilket vil sige jeg læser
querystring i toppen af dokumentet, og kun tegn, som følger et pattern
slipper igennem. Det har taget alt indtil nu, men så har jeg heller
ikke database, og SQL-injection kan jo også foregå via POST (så vidt
jeg nu ved)...?
> SQL-injection-angreb er kun en delmængde af det, jeg ville kalde for
> out-of-band-angreb. Altså angreb der ikke følder en given protokol. Et
> eksempel på et andet out-of-band-angreb, der ikke er SQL-injection er
> buffer overflow. Out of band-angreb kan man (nærmest pr. definition)
> beskytte sig imod noget der sikrer at modparten overholder den protokol,
> der benyttes.
Jeg har læst lidt om buffer-overflow, men den ryger på listen over
emner, som skal læses op på. Har du et eksempel på det, evt. link?
PS. Mit problem (eller et af dem) er nok, jeg har mest interesseret
mig for, hvordan der angribes og hvordan man beskytter sig, ikke for
den tekniske side af sagen, som hvordan det kan lade sig gøre i det
hele taget at lave de angreb, f.eks. koderne og fremgangsmåden bag SQL-
injection og XSS-scripting mv. Derfor er det ikke sikkert, mine
spørgsmål er præcise nok, og det er også grunden til, jeg ikke er
sikker på, der ikke er misinformation/sammenblanding af begreber i
artiklen.
Tak for svarene, og god week-end også
;)
MVH
Rune Jensen
| |
Michael Zedeler (20-06-2008)
| Kommentar
Fra : Michael Zedeler |
Dato : 20-06-08 22:19 |
|
Rune Jensen wrote:
> On 8 Jun., 20:30, Michael Zedeler <mich...@zedeler.dk> wrote:
>> Rune Jensen wrote:
>
>>> Jeg er i gang med at undersøge parameterized queries (som jeg lige
>>> skal have tygget mig igennem). Spørgsmålet er, om en whitelisting af
>>> querystring er nødvendig, hvis man bruger parameterized queries...
>> Det kommer stærkt an på hvad du mener med "whitelisting". Hvis det
>> betyder at man checker det input, der kommer, så er svaret ja.
>
> Jeg whitelister på hele querystring, hvilket vil sige jeg læser
> querystring i toppen af dokumentet, og kun tegn, som følger et pattern
> slipper igennem. Det har taget alt indtil nu, men så har jeg heller
> ikke database, og SQL-injection kan jo også foregå via POST (så vidt
> jeg nu ved)...?
SQL-injection kan foretages overalt hvor der er en applikation der
bruger noget data, man sender til den i forbindelse med en forespørgsel,
så svaret er "ja". Man kan også lave SQL-injection-angreb i cookies og
alt muligt andet.
>> SQL-injection-angreb er kun en delmængde af det, jeg ville kalde for
>> out-of-band-angreb. Altså angreb der ikke følder en given protokol. Et
>> eksempel på et andet out-of-band-angreb, der ikke er SQL-injection er
>> buffer overflow. Out of band-angreb kan man (nærmest pr. definition)
>> beskytte sig imod noget der sikrer at modparten overholder den protokol,
>> der benyttes.
>
> Jeg har læst lidt om buffer-overflow, men den ryger på listen over
> emner, som skal læses op på. Har du et eksempel på det, evt. link?
Nej, men jeg er sikker på at Google kan diske op med nogen.
> PS. Mit problem (eller et af dem) er nok, jeg har mest interesseret
> mig for, hvordan der angribes og hvordan man beskytter sig, ikke for
> den tekniske side af sagen, som hvordan det kan lade sig gøre i det
> hele taget at lave de angreb, f.eks. koderne og fremgangsmåden bag SQL-
> injection og XSS-scripting mv.
I mine øjne er din mulighed for at forstå hvordan direkte afhængig af
hvor godt du forstår hvorfor. Hvis du ikke forstår hvorfor, bliver det
en temmelig halvkvædet vise, du skal kaste dig ud i.
Hvis det drejer sig om en opgave i forbindelse med et studie så foreslår
jeg at du finder et simpelt script med nogle SQL-injection-huller i og
analyserer det indtil du er 100% sikker på hvad det er, der går galt.
Når først man har det på plads, er det trivielt at udlede vilkårligt
mange eksempler på injection-angreb.
Mvh. Michael.
| |
N/A (20-06-2008)
| Kommentar
Fra : N/A |
Dato : 20-06-08 22:19 |
|
| |
N/A (20-06-2008)
| Kommentar
Fra : N/A |
Dato : 20-06-08 22:19 |
|
| |
|
|