forum.opennet.ru

Составление сообщения

Исходное сообщение

"Статистика уязвимостей web-приложений"
Отправлено Geol, 10-Сен-08 20:31

Не в коем случае не страдая лишьей беспечностью, всё таки позволю себе заметить, что все эти "уязвимости", по боьшей части являются таковыми только в глазах отделов маркетинга секьюрити компаний. Посмотрим:
Cross-Site Scripting, XSS - как правило обнаружение данной уязвимости обозначает, что путливое создание, запихав JavaScript в поле формы [почти] добилось выполнения дико хакерского скрипта window.alert('test');. И всё. Это при том, что даже максиум - кража админских кукисов, не гарантирует и вообще, при нормальной системе аутентификации, не предполагает перехват админского пароля. но если в форме можно передать "<", это уязвимость, ага.
SQL Injection - ровно то же самое. Это идиотизм, считать уязвимыми по причине SQL Injection те сайты, где данные из формы используются для запросов в бд операторами типа mysql_query("SELECT.... WHERE name=".$_POST('user_name');. это неважный стиль, но не вкаком разе не уязвимость.

Исходное сообщение
"Статистика уязвимостей web-приложений" Отправлено Geol, 10-Сен-08 20:31
Не в коем случае не страдая лишьей беспечностью, всё таки позволю себе заметить, что все эти "уязвимости", по боьшей части являются таковыми только в глазах отделов маркетинга секьюрити компаний. Посмотрим: Cross-Site Scripting, XSS - как правило обнаружение данной уязвимости обозначает, что путливое создание, запихав JavaScript в поле формы [почти] добилось выполнения дико хакерского скрипта window.alert('test');. И всё. Это при том, что даже максиум - кража админских кукисов, не гарантирует и вообще, при нормальной системе аутентификации, не предполагает перехват админского пароля. но если в форме можно передать "<", это уязвимость, ага. SQL Injection - ровно то же самое. Это идиотизм, считать уязвимыми по причине SQL Injection те сайты, где данные из формы используются для запросов в бд операторами типа mysql_query("SELECT.... WHERE name=".$_POST('user_name');. это неважный стиль, но не вкаком разе не уязвимость.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Не в коем случае не страдая лишьей беспечностью, всё таки позволю себе > заметить, что все эти "уязвимости", по боьшей части являются таковыми только > в глазах отделов маркетинга секьюрити компаний. Посмотрим: > Cross-Site Scripting, XSS - как правило обнаружение данной уязвимости обозначает, что путливое > создание, запихав JavaScript в поле формы [почти] добилось выполнения дико хакерского > скрипта window.alert('test');. И всё. Это при том, что даже максиум - > кража админских кукисов, не гарантирует и вообще, при нормальной системе аутентификации, > не предполагает перехват админского пароля. но если в форме можно передать > "<", это уязвимость, ага. > SQL Injection - ровно то же самое. Это идиотизм, считать уязвимыми по > причине SQL Injection те сайты, где данные из формы используются для > запросов в бд операторами типа mysql_query("SELECT.... WHERE name=".$_POST('user_name');. > это неважный стиль, но не вкаком разе не уязвимость.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру