SQL-инъекции | Клуб компьютерной безопасности
Vložit
- čas přidán 19. 04. 2024
- Наверняка, многие из вас слышали про утечки персональных данных. Их, как правило, хранят в базах данных. Существует целый ряд атак на базы данных, одной из которых является SQL-инъекция.
Суть её очень проста - каким-либо образом необходимо заставить сервер выполнить вредоносный (полезный атакующему) запрос к БД.
Боишься, что не знаком с базами данных и не поймешь лекцию? Не беда! Начнем изучение с объяснения основ БД - что это и как работает, далее научимся писать запросы к БД и начнем исследовать методы нахождения SQL-инъекций, а потом у вас будет возможность самим найти несколько SQL-инъекций.
Telegram: t.me/dscsgu
VK: dscsgu
Github: github.com/dsc-sgu
Сайт: dsc.sgu.ru - Věda a technologie
Видео не смотрел. Выдало в реках. Актуальность темы сомнительная. В проде (по моему опыту, естественно) все сидят либо на полноценных ORM, либо на micro-ORM, либо хоть как-то используют параметризируемые запросы ExecuteScalar(sql, new { p1=str1, p2=str2 }). Я удивлюсь, если этого недостаточно.
ORM (Object-Relational Mapping) може забезпечити певний рівень захисту від SQL-ін'єкцій шляхом параметризації запитів та інших методів. Однак, важливо також ретельно перевіряти вхідні дані та виконувати інші заходи безпеки на рівні додатку для повного захисту.
Видео стоило бы посмотреть, там про это говорилось)
По моему опыту SQL Injection до сих пор встречается в разных сайтах малого и среднего бизнеса написанного студентами. Да маловероятно, но такое существует.
Информация давалась исключительно в образовательных целях, чтобы рассказать студентам, что такое существует и таких элементарных уязвимостей надо избегать.
@@lsl0000 даже если атаковать сайты пет-проекты школьников после недельного курса по питону, х.й что получится, защита встроена на уровне orm функций. Ну мооожет сработает на сайтах, написанных и заброшенных 20 лет назад, но не думаю что это принесет выгоду хакеру.