Перейти к содержимому

Фотография

Сергей Полаженко: "Security Testing: SQL Injection"


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 2

#1 felix

felix

    Постоянный участник

  • Members
  • PipPipPip
  • 184 сообщений
  • ФИО:Зинатуллин Феликс
  • Город:Санкт-Петербург

Отправлено 24 мая 2011 - 00:35

Тестирование безопасности - определение, краткий обзор задач
SQL инъекции - что это, откуда корни, почему это важно? Место SQL инъекций в общей проблеме тестирования безопасности приложений.
Способы борьбы с SQL инъекциями:
- профилактика (безопасное программирование - safe coding);
- тестирование: обзор методов и средств (ручное + средства автоматизации по возможности);
- белый ящик
- серый ящик
- чёрный ящик

Доступна Презентация
Доступна Аудио запись
  • 0
http://live-in-felix.blogspot.com/
Testing: manual expert, automation junior

#2 owasp

owasp

    Активный участник

  • Members
  • PipPip
  • 87 сообщений

Отправлено 28 мая 2011 - 08:46

Хороший материал. Там в конце указана ссылка на http://securitywiki.ru. Этот узел был доступен дня 2 (позавчера и поза-позавчера), а вчера (27.05.2011) упал. Примечательно, что узел ссылается на проект "Открытая безопасность", якобы расположенный по адресу http://security.software-testing.ru. Но проекта http://security.software-testing.ru нет.

Alex Toparenko (чьи координаты были указаны на упавшем узле) ответил по поводу "Открытая безопасность" и securitywiki так, что проект заморожен 4 года. И что надо переходить на http://www.wikisec.ru. Информационно наполнение http://www.wikisec.ru мне кажется меньшим, чем у http://securitywiki.ru. Сейчас это можно оценить лишь просмотрев кеш поисковых систем yandex и google. Например, переходим по http://www.google.ru...securitywiki.ru, а далее по ссылке Сохранённая копия. Или тоже самое делаем в Яндекс: http://yandex.ru/yan...ecuritywiki.ru.

Если поддерживать wikisec.ru, то хочется, чтобы этот узел не упал или, чтобы бекапы били доступны как у wikipedia: http://dumps.wikimedia.org/. С другой стороны, если регулярно писать, то проект вряд ли закроется.

Выражаю благодарность Сергею Полаженко за ссылку на securitywiki.ru и отличную презентацию.
По поводу презентации, есть там слайд с процентным распределением числа уязвимостей, мне кажется там большой кусок пирога выделен такой уязвимости как выполнение команд ОС и прочих команд. Неужели PHP-including и прямое выполнение команд ОС так распространены?
По поводу securitywiki, я то думал что ничего кроме xakep.ru, www.securitylab.ru, античата (и ещё пары публичных узлом) нет ничего открытого по безопасности. Оказалось, не все я видел.
  • 0

#3 Spy

Spy

    Опытный участник

  • Members
  • PipPipPipPip
  • 378 сообщений
  • ФИО:Полаженко Сергей Владимирович
  • Город:Minsk, Belarus

Отправлено 29 мая 2011 - 07:38

Хороший материал. Там в конце указана ссылка на http://securitywiki.ru. Этот узел был доступен дня 2 (позавчера и поза-позавчера), а вчера (27.05.2011) упал. Примечательно, что узел ссылается на проект "Открытая безопасность", якобы расположенный по адресу http://security.software-testing.ru. Но проекта http://security.software-testing.ru нет.


отправил вопрос хостеру - разберёмся, что там случилось, спасибо, что сообщили.

Alex Toparenko (чьи координаты были указаны на упавшем узле) ответил по поводу "Открытая безопасность" и securitywiki так, что проект заморожен 4 года. И что надо переходить на http://www.wikisec.ru. Информационно наполнение http://www.wikisec.ru мне кажется меньшим, чем у http://securitywiki.ru. Сейчас это можно оценить лишь просмотрев кеш поисковых систем yandex и google. Например, переходим по http://www.google.ru...securitywiki.ru, а далее по ссылке Сохранённая копия. Или тоже самое делаем в Яндекс: http://yandex.ru/yan...ecuritywiki.ru.


про wikisec сам не слышал, а securitywiki - там авторы поубавили свой пыл в наполнении ресурсов

Если поддерживать wikisec.ru, то хочется, чтобы этот узел не упал или, чтобы бекапы били доступны как у wikipedia: http://dumps.wikimedia.org/. С другой стороны, если регулярно писать, то проект вряд ли закроется.


не мой ресурс, надо поузнавать, что за он, по сути он копирует нашу идею, лучше бы к нам может присоединился... а так плодят сущности.

Выражаю благодарность Сергею Полаженко за ссылку на securitywiki.ru и отличную презентацию.


спасибо :)

По поводу презентации, есть там слайд с процентным распределением числа уязвимостей, мне кажется там большой кусок пирога выделен такой уязвимости как выполнение команд ОС и прочих команд. Неужели PHP-including и прямое выполнение команд ОС так распространены?


я ссылался на исследование securitylab.ru

По поводу securitywiki, я то думал что ничего кроме xakep.ru, www.securitylab.ru, античата (и ещё пары публичных узлом) нет ничего открытого по безопасности. Оказалось, не все я видел.


тема действительно специфиченая, ресурсов мало
  • 0
Полаженко Сергей, проект "Тестирование безопасности"
IT-конференции: www.it-conf.ru
IT-тренинги в Беларуси: www.it-study.by


Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных