rost - 26-4-2004 у 22:01
Десь місяць тому на семінарі MSDN Security Brifing лектор, відомий фахівець з питань
компютерної безпеки, наочно показав, як просто витягається датабазна інформація
з сайту, що видає прямі повідомлення про помилки з SQL-их баз. Панове, повірте мені
на слово, це значно простіше, ніж вважається. Тому першою, і найпростішою мірою
захисту сайту, що працює з базою має бути -- НІКОЛИ не допускати прямих
повідомлень про помилки в датабазі. Кожне таке повідомлення -- безцінна допомога
для гакерів. Слідування ції простій рекомендації, звичайно не знімає всіх проблем
безпеки інформації, але й не вимагає особливих зусиль від розробників.
А зараз, приклад, як не треба робити обробку помилок. Вважається, що великі
корпорації є просто параноїдальними в питаннях security. Це правда і тим не
менше...Нижче респонс, який я отримав при спробі зареєструватися на сайті в
Боїнга:
-------------------------------------------------------------------------
Diagnostics: Oracle Error Code = 0
Timed-out trying to get a connection to BOEINGMEDIA. The connection limit has been reached.
SQL = "select group_name from user_groups where user_id = _CF_:?_"
Query Parameter Value(s) -
Parameter #1 = 0
Data Source = "BOEINGMEDIA"
The error occurred while processing an element with a general identifier of (CFQUERY), occupying document position (12:1) to (12:58) in the template
file /boeingmedia/boeingmedia/Application.cfm.
MailTo: boeingmedia@boeing.com
DateTime: Mon Apr 26 12:32:03 2004
Browser: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)