https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:14:46 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/1132-troche-inne-or-11.html#c7842 https://archive.mroczna-zaloga.org/archives/1132-troche-inne-or-11.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1132 nospam@example.com (Paweł Goleń) Jak to nie? Tylko to nie jest błąd w Hibernate, ale w jego użyciu. W miejsce street atakujący może wstawić dowolny fragment zapytania i w efekcie zmodyfikować logikę jego działania, a co za tym idzie - rezultat. Jeśli chodzi o podejście związane z białą listą, to chodzi o walidację danych wejściowych. Ulica to może umiarkowanie dobry przykład (mimo wszystko może w niej wystąpić znak ' i będzie to "legalna" nazwa ulicy), ale już np. w przypadku kodu pocztowego bardzo łatwo stworzyć regułę walidacji tych danych i przepuszczać dalej tylko te przypadki, które do tej reguły pasują. Thu, 19 Jul 2012 22:05:42 +0200 https://archive.mroczna-zaloga.org/archives/1132-guid.html#c7842 https://archive.mroczna-zaloga.org/archives/1132-troche-inne-or-11.html#c7840 https://archive.mroczna-zaloga.org/archives/1132-troche-inne-or-11.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1132 nospam@example.com (CWE-564) Nie używam Hibernate, ale zgłoszenie CWE-564 nie wygląda na błąd. Zaproponowane tam zabezpieczenie przez whitelistę to nieporozumienie. Nawet nie bardzo sobie wyobrażam, jak to miałoby działać. Thu, 19 Jul 2012 13:04:45 +0200 https://archive.mroczna-zaloga.org/archives/1132-guid.html#c7840 https://archive.mroczna-zaloga.org/archives/1132-troche-inne-or-11.html#c7793 https://archive.mroczna-zaloga.org/archives/1132-troche-inne-or-11.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1132 nospam@example.com (Paweł Goleń) Ale jeśli masz komunikat błędu, to już to nie jest strzelanie w ciemno, prawda? :) Thu, 05 Jul 2012 20:41:55 +0200 https://archive.mroczna-zaloga.org/archives/1132-guid.html#c7793 https://archive.mroczna-zaloga.org/archives/1132-troche-inne-or-11.html#c7792 https://archive.mroczna-zaloga.org/archives/1132-troche-inne-or-11.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1132 nospam@example.com (timor) Jak najbardziej - ale jeśli cokolwiek się na tym znasz to wystarczy Ci jedna podstronkę z błędem by mieć punkt zaczepienia. Wiesz że jest podatność i że mogą być kolejne. Często też pomaga kiepska konfiguracja np. PHP i wypisanie ślicznego warninga o błędzie razem z zapytaniem, itp... Thu, 05 Jul 2012 17:32:28 +0200 https://archive.mroczna-zaloga.org/archives/1132-guid.html#c7792 https://archive.mroczna-zaloga.org/archives/1132-troche-inne-or-11.html#c7619 https://archive.mroczna-zaloga.org/archives/1132-troche-inne-or-11.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1132 nospam@example.com (Paweł Goleń) Z narzędziami automatycznymi jest czasem tak, że nawet jak coś trafią, to nie wiedzą, że trafiły. Nie twierdzę, że one są złe z założenia, ale czasami (często) trzeba im pomóc. Fri, 29 Jun 2012 14:33:49 +0200 https://archive.mroczna-zaloga.org/archives/1132-guid.html#c7619 https://archive.mroczna-zaloga.org/archives/1132-troche-inne-or-11.html#c7618 https://archive.mroczna-zaloga.org/archives/1132-troche-inne-or-11.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1132 nospam@example.com (timor) Co do strzelania na ślepo - są już całkiem sprawne narzędzia do automatyzacji. Nadal strzela się na ślepo ale jak z szybkostrzelnego karabinu maszynowego - więcej naboi i od czasu do czasu uda się coś trafić. Fri, 29 Jun 2012 09:55:09 +0200 https://archive.mroczna-zaloga.org/archives/1132-guid.html#c7618