Форум Рідного Міста

Про допомогу гакерам

rost - 26-4-2004 у 22:01

Десь місяць тому на семінарі MSDN Security Brifing лектор, відомий фахівець з питань компютерної безпеки, наочно показав, як просто витягається датабазна інформація з сайту, що видає прямі повідомлення про помилки з SQL-их баз. Панове, повірте мені на слово, це значно простіше, ніж вважається. Тому першою, і найпростішою мірою захисту сайту, що працює з базою має бути -- НІКОЛИ не допускати прямих повідомлень про помилки в датабазі. Кожне таке повідомлення -- безцінна допомога для гакерів. Слідування ції простій рекомендації, звичайно не знімає всіх проблем безпеки інформації, але й не вимагає особливих зусиль від розробників.

А зараз, приклад, як не треба робити обробку помилок. Вважається, що великі корпорації є просто параноїдальними в питаннях security. Це правда і тим не менше...Нижче респонс, який я отримав при спробі зареєструватися на сайті в Боїнга:
-------------------------------------------------------------------------
Diagnostics: Oracle Error Code = 0
Timed-out trying to get a connection to BOEINGMEDIA. The connection limit has been reached.


SQL = "select group_name from user_groups where user_id = _CF_:?_"

Query Parameter Value(s) -

Parameter #1 = 0

Data Source = "BOEINGMEDIA"


The error occurred while processing an element with a general identifier of (CFQUERY), occupying document position (12:1) to (12:58) in the template file /boeingmedia/boeingmedia/Application.cfm.

MailTo: boeingmedia@boeing.com
DateTime: Mon Apr 26 12:32:03 2004
Browser: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)