Comments 13
инъекции (SQL, XSS, XML, XXE, XPath, XQuery, Linq и т. п.),
Что такое «Linq-инъекция»?
0
В Dynamic Linq можно повлиять на построение запроса, если не проводить параметризацию, а собирать из строк типа такого:
Атакующий может передать туда
В результате это все развернется в
Еще вариант — какая-нибудь уязвимость в стороннем LINQ-провайдере, позволяющая инжекцию.
dataset.Where("allowed == 1 and code == \"" + user_entered_data + "\"");
Атакующий может передать туда
200" or allowed == 0 and code == "200
В результате это все развернется в
select ... from ... where allowed == 1 and code == "200" or allowed == 0 and code == "200"
Еще вариант — какая-нибудь уязвимость в стороннем LINQ-провайдере, позволяющая инжекцию.
+2
UFO just landed and posted this here
__ai_bkfoepld_validator
Снимите кота с клавиатуры.
+3
У вас в примерах кода используется http (UriComponents.HttpRequestUrl). Это просто безразличный к http/https парсер, или в рассматриваемом куске кода применяются http запросы?
0
Интересно про Padding Oracle и нестойкий CBC. Получается, что если мы хотим хранить на клиенте зашифрованные данные, ключ от которых есть только на сервере, то имеет смысл всегда добавлять к ним HMAC?
0
И еще такой вопрос: В Википедии написано, что TLS требует всегда проверять, что при дешифровании padding заполнен правильными данными. Чем опасно отсутствие такой проверки?
0
UFO just landed and posted this here
en.wikipedia.org/wiki/POODLE
«Even though TLS specifications require servers to check the padding, some implementations fail to validate it properly, which makes some servers vulnerable to POODLE even if they disable SSL 3.0.»
«Even though TLS specifications require servers to check the padding, some implementations fail to validate it properly, which makes some servers vulnerable to POODLE even if they disable SSL 3.0.»
0
Sign up to leave a comment.
Разработка защищенных банковских приложений: главные проблемы и как их избежать