Концепция реализации веб-интерфейса - Помощь студентам

Ma7 · 04.09.2011, 16:51

Есть веб-интерфейс, через который пользователь взаимодействует с БД. Реализация интерфейса предполагает наличие в нем уязвимостей, например, возможность использования sql-инъекций для получения содержимого таблиц БД. Пользователь может получить исходный код интерфейса и внести изменения, чтобы закрыть уязвимость и затем скажем сохранить измененный код в отдельной таблице в БД.
Задача: необходимо автоматически проанализировать измененный код и принять решение закрыта уязвимость или нет.
Вопрос: каким образом можно это реализовать?

Utkin · 04.09.2011, 16:58

Сначала вопрос - зачем это?

Ma7 · 04.09.2011, 17:03

Цитата:

Сообщение от Utkin

Сначала вопрос - зачем это?

Задание в универе.

Utkin · 04.09.2011, 19:08

Вы тогда можете сами попытаться использовать уязвимость. Если не получилось, значит не судьба... Пользователь системы ивсе сделал правильно.

Ma7 · 04.09.2011, 20:20

Цитата:

Сообщение от Utkin

Вы тогда можете сами попытаться использовать уязвимость. Если не получилось, значит не судьба... Пользователь системы ивсе сделал правильно.

Пользователь в описании читать как студент.
Это интерфейс для изучения уязвимостей. Сначала студент пробует использовать, потом должен закрыть уязвимость. Весь сок в том, чтобы автоматически проверить закрыл он или нет.

Utkin · 04.09.2011, 20:44

Так я пишу - подготовьте набор уязвимостей и прогоните Вашу БД через них. Ну после того, как студент поправит интерфейс.

Ma7 · 04.09.2011, 20:53

Цитата:

Сообщение от Utkin

Так я пишу - подготовьте набор уязвимостей и прогоните Вашу БД через них. Ну после того, как студент поправит интерфейс.

В том и вопрос. Вот он поправил и допустим добавил исправленный код в таблицу. А преподаватель должен должен видеть результат - исправил студент или нет. Не проверять сам, не вводить инъекцию, а уже видеть результат.

Stilet · 04.09.2011, 21:07

Цитата:

А преподаватель должен должен видеть результат - исправил студент или нет.

Вообще-то это не такая простая задача... Тут тогда нужно четко знать какие уязвимости будут искаться.
Проще всего написать программу, пробивающую по таким уязвимостям, а не анализирующую код на наличие механизмов защиты, они ведь разные могут быть.
Действительно, Уткин прав - есть БД с уязвимостями, запускай прогу и атакуй сайт, посылая ему всякие иньекции, и анализируй что он ответил, если то что в иньекции всплывет в ответе (например) то считай что уязвимость найдена.

Ma7 · 04.09.2011, 21:29

Цитата:

Сообщение от Stilet

Вообще-то это не такая простая задача... Тут тогда нужно четко знать какие уязвимости будут искаться.
Проще всего написать программу, пробивающую по таким уязвимостям, а не анализирующую код на наличие механизмов защиты, они ведь разные могут быть.
Действительно, Уткин прав - есть БД с уязвимостями, запускай прогу и атакуй сайт, посылая ему всякие иньекции, и анализируй что он ответил, если то что в иньекции всплывет в ответе (например) то считай что уязвимость найдена.

Я согласен, что вариант с тестированием исправленного кода запросами даст лучший результат. Но как это сделать, что это за прога? Вообще не представляю..

Stilet · 04.09.2011, 21:46

Скажи хотя бы на чем пишешь...

04.09.2011, 16:51	#1
Ma7 Регистрация: 04.09.2011 Сообщений: 9	Концепция реализации веб-интерфейса Есть веб-интерфейс, через который пользователь взаимодействует с БД. Реализация интерфейса предполагает наличие в нем уязвимостей, например, возможность использования sql-инъекций для получения содержимого таблиц БД. Пользователь может получить исходный код интерфейса и внести изменения, чтобы закрыть уязвимость и затем скажем сохранить измененный код в отдельной таблице в БД. Задача: необходимо автоматически проанализировать измененный код и принять решение закрыта уязвимость или нет. Вопрос: каким образом можно это реализовать?

04.09.2011, 16:58	#2
Utkin Старожил Регистрация: 04.02.2009 Сообщений: 17,351	Сначала вопрос - зачем это? Маньяк-самоучка Utkin появился в результате деления на нуль. Осторожно! Альтернативная логика

04.09.2011, 19:08	#4
Utkin Старожил Регистрация: 04.02.2009 Сообщений: 17,351	Вы тогда можете сами попытаться использовать уязвимость. Если не получилось, значит не судьба... Пользователь системы ивсе сделал правильно. Маньяк-самоучка Utkin появился в результате деления на нуль. Осторожно! Альтернативная логика

04.09.2011, 20:44	#6
Utkin Старожил Регистрация: 04.02.2009 Сообщений: 17,351	Так я пишу - подготовьте набор уязвимостей и прогоните Вашу БД через них. Ну после того, как студент поправит интерфейс. Маньяк-самоучка Utkin появился в результате деления на нуль. Осторожно! Альтернативная логика

04.09.2011, 21:46	#10
Stilet Белик Виталий :) Старожил Регистрация: 23.07.2007 Сообщений: 57,097	Скажи хотя бы на чем пишешь... I'm learning to live...

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Нужны люди для реализации веб-сервиса (онлайн рисовалка)	Dmitriy All	Фриланс	0	13.03.2011 15:54
технология реализации административного интерфейса	allba	PHP	1	21.02.2011 14:30
КОБ - Концепция Общественной Безопасности.	С.М.С	Свободное общение	30	20.02.2011 20:28
Создаем команду для реализации веб-проекта	Dmitriy All	Фриланс	0	09.01.2011 22:57
С+++ концепция	sofen.ru	Софт	13	03.11.2010 19:00