Отправляет email-рассылки с помощью сервиса Sendsay

Oxygen3 24h-365d

  Все выпуски  

Если хочешь быть здоров - защищайся!


Информационный Канал Subscribe.Ru

 - Брешь в системе защиты Shopfactory -
    Oxygen3 24h-365d, by Panda Software (http://www.viruslab.ru)

Мадрид, 7 марта 2003 - По данным информационного бюллетеня, опубликованного
по адресу http://lists.netsys.com/pipermail/full-disclosure/2003-March/004433.html,
система работы веб магазина - Shopfactory - позволяет изменять цены.

Основной проблемой Shopfactory является то, что действия, производимые со
стороны клиента, могут быть изменены пользователями. Цены на продукты
являются прерогативой программы-клиента, что позволяет покупателям
изменять их.

На сайте Shopfactory существуют три различные стадии, на которых
покупатели могут изменять цены: перед тем, как добавить продукт
в корзину; после его добавления или после обработки трансакции.

3D3, создатели Shopfactory, в настоящее время работают над созданием решения,
исключающего использование описанной бреши. Они разрабатыват новую версию
системы, корзина продуктов в которой находится на стороне сервера.


-----------------------------------------------

5 вирусов, наиболее часто обнаруживаемых Panda ActiveScan, бесплатным онлайновым
антивирусом
Panda Software: 1) Klez.I; 2) Enerkaz; 3) Elkern.C; 4) Nimda; 5)
Klez.C.

 - SQL атаки -
    Oxygen3 24h-365d, by Panda Software (http://www.viruslab.ru)

Мадрид, 10 марта 2003 - В целях упрощения управления информацией содержимое
многих веб сайтов хранится в базах данных. Сегодняшний выпуск Oxygen3 24h-365d
посвящен некоторым ошибкам при разработке сайтов. Данные ошибки  приводят к тому,
что
хакеры преодолевают системы защиты и получают доступ к окнфиденциальной
информации.

Язык структурированных запросов (SQL) - наиболее распространенный язык
работы с реляционными базами данных. Одной из наиболее часто используемых операций
является выполнение запроса SQL для фильтрации информации, хранящейся в базе
данных, и вывода ее пользователю. Например, при выполнении следующей SQL команды:

select name, surname from personal where name = 'Bob'

будут выведены те поля "name" и "surname" из таблицы personal, для которых значение
поля "name" совпадает с 'Bob'.

При создании динамических веб страниц очень часто применяется диалог с пользователем,
осуществляемый через заполнение форм и предназначенный для поиска строк при выполнении
SQL запроса. Поэтому, кроме прочей инфомации, такие формы могут содержать и вопрос
о имени пользователя и пароля для его верификации.

Проблема возникает, когда структура формы позволяет вводить в нее специальные
символы. Это может привести к тому, что будет введена особым образом составленная
строка, которая вызовет изменение SQL запроса. Данный факт означает, что
злоумышленник с помощью таких действий может обойти систему безопасности и
получить доступ к данным, хранящимся в базе. Например, одним из наиболее
популярных символов, используемых при проведении SQL атак, являются кавычки (').

Решение описанной проблемы заключается в фильтрации вводимых в формы данных и
запрете
ввода символов, изменяющих SQL запросы.

-----------------------------------------------

5 наиболее часто обнаруживаемых Panda ActiveScan, бесплатным онлайновым антивирусом
Panda Software, вирусов: 1)Klez.I; 2)Enerkaz; 3)Nimda; 4)Klez.C; 5)Sobig.


http://subscribe.ru/
E-mail: ask@subscribe.ru
Отписаться
Убрать рекламу

В избранное