Sziasztok!
Tudna segíteni valaki egy nagy tárhely szolgáltató support válaszának az értelmezésében?
Ezt a választ kaptam, hogy egy adott lekérdezésre (ami php-ban történt) miért bannolta az ip-met a szerverük:
"A szerver biztonságos üzemeltetése miatt szűrjük az olyan jellegű kéréseket ahol böngészőn keresztül próbálnak meg SQL parancsokat lefuttatni."
Sok dolgot láttam már, de sok évnyi fejlesztéssel a hátam mögött ezt nem sikerült értelmeznem. Mit takarhat a böngészőn keresztül futtatott sql parancs?
Köszi előre is!!!
- 1081 megtekintés
Hozzászólások
Szerintem arra gondolnak hogy rest helyett konkrét _torheto_ lekérdezések vannak az url-ben. Pl:
&Tablename=
&select=
&where= (mondjuk ezzel sok szépen megvalósított portált is kidobnak)
Konkrétum nincs a szerződésben?
----------------
symbolweb.hu
- A hozzászóláshoz be kell jelentkezni
Egy három mezőt tartalmazó űrlapról mennek be az adatok POST-tal.
De a küldött változók távolról sem hasonlítanak semmilyen SQL-es foglalt szóra.
(field_name, variable_name, type)
(na jó, a type igen, de azért ez annyira általános, hogy erre szűrni...)
Az első, amire gondoltam, hogy tuti sz*rul van beállítva a tűzfaluk, mert kisebb szolgáltatónál már jártam úgy, hogy ha a post-olt adatban szerepelt az a szó, hogy "and", akkor ugyanígy bannoltak. (persze mint utólag kiderült, arra nem gondoltak, ha valaki angol szöveget post-ol) Sok levelezgetés után vallották be, hogy még csak akkor tesztelték/konfigolták az új tűzfalat és az "and" fennakadt rajta.
De ez alapján a válasz alapján inkább úgy érzem, mintha nem akarnának érdemi választ adni.
(vagy tényleg valami olyanról van szó, amiről még nem hallottam)
Volt a válaszukban még egy mondat, ami jól bezavart :)
Abban az esetben ha az SQL query a phpMyAdmin felületén kerül végrehajtásra akkor természetesen nem kap érte kitiltást.
- A hozzászóláshoz be kell jelentkezni
Elég komoly céghez küldtem egy linket IT menedzsment témakörben: https://www.joelonsoftware.com/2001/01/18/big-macs-vs-the-naked-chef/
Hát nem fennakadt a pornó szűrőn!? :(
- A hozzászóláshoz be kell jelentkezni
mod_security
t
- A hozzászóláshoz be kell jelentkezni
Nem lehetséges, hogy egy JS, vagy jquery futtatna kliens oldalról SQL-t közvetlen a DB-ben?
Nyilván nem logikus ilyet csinálni, de kötelező körként ezt először zárjuk ki.
Ilyen esetben logikus lehet a ban, és a válasz is.
Szóval kizárt?
---
"A megoldásra kell koncentrálni nem a problémára."
- A hozzászóláshoz be kell jelentkezni
Pl egy login formon azt küldöd be username-nak, hogy
"buzika;DELETE FROM users;"
Mondjuk ilyen esetre phpmyadmint ne is tegyél fel, pff :)
- A hozzászóláshoz be kell jelentkezni
Oh. Yes. Little Bobby Tables, we call him.
Üdv,
Marci
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
Kb. most kezdeném el átpakolni a cuccaimat máshoz. Mert akkor ezek szerintem bármelyik, náluk futó szervert lehet dosolni, egy index.php?value=select * from persons kéréssel.
- A hozzászóláshoz be kell jelentkezni
Böngészőből is lehet SQL lekérdezéseket futtatni például node.js segítségével. Valami hasonló megoldás lehet blokkolva.
- A hozzászóláshoz be kell jelentkezni