Сергей Полаженко: "Security Testing: SQL Injection"
#1
Отправлено 24 мая 2011 - 00:35
SQL инъекции - что это, откуда корни, почему это важно? Место SQL инъекций в общей проблеме тестирования безопасности приложений.
Способы борьбы с SQL инъекциями:
- профилактика (безопасное программирование - safe coding);
- тестирование: обзор методов и средств (ручное + средства автоматизации по возможности);
- белый ящик
- серый ящик
- чёрный ящик
Доступна Презентация
Доступна Аудио запись
Testing: manual expert, automation junior
#2
Отправлено 28 мая 2011 - 08:46
Alex Toparenko (чьи координаты были указаны на упавшем узле) ответил по поводу "Открытая безопасность" и securitywiki так, что проект заморожен 4 года. И что надо переходить на http://www.wikisec.ru. Информационно наполнение http://www.wikisec.ru мне кажется меньшим, чем у http://securitywiki.ru. Сейчас это можно оценить лишь просмотрев кеш поисковых систем yandex и google. Например, переходим по http://www.google.ru...securitywiki.ru, а далее по ссылке Сохранённая копия. Или тоже самое делаем в Яндекс: http://yandex.ru/yan...ecuritywiki.ru.
Если поддерживать wikisec.ru, то хочется, чтобы этот узел не упал или, чтобы бекапы били доступны как у wikipedia: http://dumps.wikimedia.org/. С другой стороны, если регулярно писать, то проект вряд ли закроется.
Выражаю благодарность Сергею Полаженко за ссылку на securitywiki.ru и отличную презентацию.
По поводу презентации, есть там слайд с процентным распределением числа уязвимостей, мне кажется там большой кусок пирога выделен такой уязвимости как выполнение команд ОС и прочих команд. Неужели PHP-including и прямое выполнение команд ОС так распространены?
По поводу securitywiki, я то думал что ничего кроме xakep.ru, www.securitylab.ru, античата (и ещё пары публичных узлом) нет ничего открытого по безопасности. Оказалось, не все я видел.
#3
Отправлено 29 мая 2011 - 07:38
Хороший материал. Там в конце указана ссылка на http://securitywiki.ru. Этот узел был доступен дня 2 (позавчера и поза-позавчера), а вчера (27.05.2011) упал. Примечательно, что узел ссылается на проект "Открытая безопасность", якобы расположенный по адресу http://security.software-testing.ru. Но проекта http://security.software-testing.ru нет.
отправил вопрос хостеру - разберёмся, что там случилось, спасибо, что сообщили.
Alex Toparenko (чьи координаты были указаны на упавшем узле) ответил по поводу "Открытая безопасность" и securitywiki так, что проект заморожен 4 года. И что надо переходить на http://www.wikisec.ru. Информационно наполнение http://www.wikisec.ru мне кажется меньшим, чем у http://securitywiki.ru. Сейчас это можно оценить лишь просмотрев кеш поисковых систем yandex и google. Например, переходим по http://www.google.ru...securitywiki.ru, а далее по ссылке Сохранённая копия. Или тоже самое делаем в Яндекс: http://yandex.ru/yan...ecuritywiki.ru.
про wikisec сам не слышал, а securitywiki - там авторы поубавили свой пыл в наполнении ресурсов
Если поддерживать wikisec.ru, то хочется, чтобы этот узел не упал или, чтобы бекапы били доступны как у wikipedia: http://dumps.wikimedia.org/. С другой стороны, если регулярно писать, то проект вряд ли закроется.
не мой ресурс, надо поузнавать, что за он, по сути он копирует нашу идею, лучше бы к нам может присоединился... а так плодят сущности.
Выражаю благодарность Сергею Полаженко за ссылку на securitywiki.ru и отличную презентацию.
спасибо :)
По поводу презентации, есть там слайд с процентным распределением числа уязвимостей, мне кажется там большой кусок пирога выделен такой уязвимости как выполнение команд ОС и прочих команд. Неужели PHP-including и прямое выполнение команд ОС так распространены?
я ссылался на исследование securitylab.ru
По поводу securitywiki, я то думал что ничего кроме xakep.ru, www.securitylab.ru, античата (и ещё пары публичных узлом) нет ничего открытого по безопасности. Оказалось, не все я видел.
тема действительно специфиченая, ресурсов мало
IT-конференции: www.it-conf.ru
IT-тренинги в Беларуси: www.it-study.by
Количество пользователей, читающих эту тему: 0
0 пользователей, 0 гостей, 0 анонимных