Microsoft ha presentato la beta di UrlScan filter 3.0, un tool per IIS 7 per la protezione contro attacchi di tipo SQL Injection
di Fabio Gozzo pubblicata il 26 Giugno 2008, alle 10:56 nel canale Sicurezza
Meno auto cinesi in Europa? La flotta di Finn in Germania aggiunge 5.000 auto MG, anche elettriche
Google Pixel 10: coloratissimi e con novità per le fotocamere! Ecco le immagini 'spoilerate'
'Irrealistico e dannoso', l'UE vorrebbe imporre le auto elettriche alle aziende e scoppia il caos
realme GT 7T scende di altri 50€: 7000mAh con ricarica a 120W, 50Mpixel OIS, tanta qualità a soli 399€ in 3 colori
Fastned apre una stazione di ricarica anche sull'autostarada tedesca
Ted Lasso 4: le riprese sono ufficialmente iniziate. Ecco la prima immagine con i protagonisti
Subaru porta la sua terza elettrica in Europa: arriva Uncharted
Milano blinda ZTL Quadrilatero della moda: nuove restrizioni, deroghe selettive e sanzioni automatiche
Super offerta smartwatch: Amazfit GTR 3 a 69€, ma il nuovo T-Rex 3 è il re dell'estate
Un ribasso inatteso e gradito: ecco il portatile tuttofare Lenovo con Core i5-1342H e 16GB RAM a soli 419€
Bose QuietComfort o QuietComfort Ultra? Scopri quale scegliere: entrambi in offerta su Amazon
Rifiuta Meta e sfida NVIDIA: la sudcoreana FuriosaAI ha conquistato LG con i suoi chip AI
Google l'ha rifatto: mostrato il design di Pixel 10 a settimane dal lancio
Auricolari Beats Studio Buds a 83€: cancellano il rumore, suonano da professionisti e funzionano anche sotto la pioggia
HP Elitebook Ultra G1i 14 è il notebook compatto, potente e robusto
Pensato per il professionista sempre in movimento, HP Elitebook Ultra G1i 14 abbina una piattaforma Intel Core Ultra 7 ad una costruzione robusta, riuscendo a mantenere...
Recensione REDMAGIC Astra Gaming Tablet: che spettacolo di tablet!
Il REDMAGIC Astra Gaming Tablet rappresenta una rivoluzione nel gaming portatile, combinando un display OLED da 9,06 pollici a 165Hz con il potente Snapdragon 8...
Dopo un mese, e 50 foto, cosa abbiamo capito della nuova Nintendo Switch 2
Dopo un mese di utilizzo intensivo e l'analisi di oltre 50 scatti, l'articolo offre una panoramica approfondita di Nintendo Switch 2. Vengono esaminate le caratteristiche...
Fujifilm X-E5: la Fuji X che tutti gli appassionati volevano
Dopo il fascino un po’ elitario della GFX100RF e le polemiche intorno a x Half, la nuova Fujifilm X-E5 riporta tutti d’accordo: una mirrorless compatta, leggera,...
Vi portiamo all'interno di uno dei più importanti centri di distribuzione Amazon in Italia
MXP6 è uno dei più recenti investimenti di Amazon sul territorio italiano, per la realizzazione di un capannone da 60.000 metri quadri alle porte di Novara, a due...
HPE Discover 2025: tra agenti intelligenti, infrastruttura AI-native e un futuro ibrido
Edge9 ha seguito da vicino HPE Discover 2025 con accesso esclusivo a keynote e interviste. Dalla Sphere di Las Vegas, la visione di un’infrastruttura AI-native e...
Nuova Ford Capri elettrica, la super prova: in viaggio, in città e in autostrada
Dopo diverse prove, da poche ore al volante, fino a un'intera settimana come prima auto, possiamo riportarvi tutti i dettagli e le impressioni sulla Ford Capri elettrica...
Roborock Saros Z70: un braccio meccanico per fare ordine in casa
Dotato di tutte le ultime innovazioni in tema di aspirazione della polvere e pulizia dei pavimenti di casa, Roborock Saros Z70 integra un braccio meccanico che promette...
Membro della European Hardware Association
HP Elitebook Ultra G1i 14 è il notebook compatto, potente e robusto
Microsoft Surface Pro 12 è il 2 in 1 più compatto e silenzioso
Recensione REDMAGIC Astra Gaming Tablet: che spettacolo di tablet! 
21 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoL'MVC non è che firmato Java ... E' un pattern utilizzabile su tutti i linguaggi OO ...
Il CMS che ho sviluppato in ASP.NET segue l'MVC ...
E sopratutto non è il pattern che ti risolve il problema.
Cioè che ti risolve il problema è evitare di mandare al DB un comando del tipo:
...WHERE Name='hacker' AND pwd='pippo' or 0=0--
bye
L'MVC non è che firmato Java ... E' un pattern utilizzabile su tutti i linguaggi OO ...
Il CMS che ho sviluppato in ASP.NET segue l'MVC ...
E sopratutto non è il pattern che ti risolve il problema.
Cioè che ti risolve il problema è evitare di mandare al DB un comando del tipo:
...WHERE Name='hacker' AND pwd='pippo' or 0=0--
bye
beh ovvio che MVC non è firmato Java, ho solo detto che JavaEE è pensato per usare questo pattern.
inoltre usando Java Persistence API non vedrai nemmeno l'ombra di codice SQL perchè le tuple del database sottostante sono mappate su oggetti.
con ogni probabilità anche in .NET c'è una cosa simile (e magari anche per PHP)
In Java credo esista qualcosa di analogo al LinQ ma non ricordo come si chiama
Ciò non toglie che indipendentemente dalla tecnologia, dal pattern di visualizzazione (MVC o no) che si sceglie, se sotto sotto si concatenano stringhe a mano per accedere al DB si sarà sempre aperti a questo tipo di bachi.
LinQ in realtà è una estensione del linguaggio C# che permette la formulazione dichiarativa di query su oggetti. Con l'ausilio dell'Entity Framework (che è un ORM come Hibernate o NHibernate e compagnia bella) si può accedere ai DB con una sintassi integrata al linguaggio.
"Cosa significa indipendenza dei dati?"
È una delle basi di un DBMS, non mi pare niente di nuovo quello che hai scritto.
Indipendenza dai dati
Non guardare dal punto di vista del DBMS, guarda dal punto di vista del linguaggio di programmazione.Se la tua query e'
string query = SELECT * FROM USER_PWD WHERE user=$1 and pass=$2;
allora a tutti gli effetti la tua query e' un dato. qui hai mischiato dati (una variabile stringa) con logica applicativa ( query SQL ).
Pur essendo un approccio molto comodo ( permette di costruirsi query dinamiche a piacere semplicemente formattando una stringa )
e' anche un approccio sensibile agli exploit ( modifichi una stringa, modifichi una query ).
sfruttando il pattern MVC il tuo applicativo ( o servlet che sia ) non conosce le QUERY non conosce il database non conosce i dati ma solo la logica e quindi e' meno a rischio.
Il mio prof di sicurezza alla domanda "se si utilizzano stored procedures si è immuni da attacchi sql injection" lui ha risposto che non è vero; Ha detto che, per esempio, in oracle era possibile iniettare funzioni del dbms nei parametri delle sp e quindi effettuare attacchi...
Non è un argomento stupido, e un altro analizzatore è ben accetto.
PS: per gli amanti di hibernate/nhibernate (tra cui io) avevo letto che è vero che si è più o meno immuni da sql injection, ma restano attacchi di HQL o come si chiama.
Quindi per me la soluzione è fare mooolta attenzione e sentirsi sempre attaccabili.
l'architettura non basta
ho fatto sql injection a piattaforme jsp.viceversa non sono riuscito ad aggredire alcune applicazioni php.
dipende molto da come viene scritto il sw non dal linguaggio o dall'architettura utilizzati.
usare stored procedure in oracle aiuta a difendersi ma non rende immuni. E' molto + efficace formattare i parametri in ingresso, magari.
buone iniezioni a tutti.
Esattamente!
Far passare delle sql injection o php injection su pagine create in php e' molto piu' facile che su delle java servlet con dietro una piattaforma middleware come websphere o weblogic.
Comunque, alla fine di tutto, si tratta di bilanciare spese e benefici. La sicurezza costa.
Sebbene hwupgrade sia un bel sito e abbia un bel forum, mandarlo in bancarotta per fare un forum con architettura J2EE non ha senso. Altro discorso per banche - assicurazioni - operatori di comunicazioni dove questo tipo di attacchi non devono assolutamente passare e gli investimenti sulla sicurezza sono almeno a 6 zeri.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".