|
|
Регистрация Восстановить пароль |
Регистрация | Задать вопрос |
Заплачу за решение |
Новые сообщения |
Сообщения за день |
Расширенный поиск |
Правила |
Всё прочитано |
|
|
Опции темы | Поиск в этой теме |
04.09.2011, 16:51 | #1 |
Регистрация: 04.09.2011
Сообщений: 9
|
Концепция реализации веб-интерфейса
Есть веб-интерфейс, через который пользователь взаимодействует с БД. Реализация интерфейса предполагает наличие в нем уязвимостей, например, возможность использования sql-инъекций для получения содержимого таблиц БД. Пользователь может получить исходный код интерфейса и внести изменения, чтобы закрыть уязвимость и затем скажем сохранить измененный код в отдельной таблице в БД.
Задача: необходимо автоматически проанализировать измененный код и принять решение закрыта уязвимость или нет. Вопрос: каким образом можно это реализовать? |
04.09.2011, 16:58 | #2 |
Старожил
Регистрация: 04.02.2009
Сообщений: 17,351
|
Сначала вопрос - зачем это?
Маньяк-самоучка
Utkin появился в результате деления на нуль. Осторожно! Альтернативная логика |
04.09.2011, 17:03 | #3 |
Регистрация: 04.09.2011
Сообщений: 9
|
|
04.09.2011, 19:08 | #4 |
Старожил
Регистрация: 04.02.2009
Сообщений: 17,351
|
Вы тогда можете сами попытаться использовать уязвимость. Если не получилось, значит не судьба... Пользователь системы ивсе сделал правильно.
Маньяк-самоучка
Utkin появился в результате деления на нуль. Осторожно! Альтернативная логика |
04.09.2011, 20:20 | #5 | |
Регистрация: 04.09.2011
Сообщений: 9
|
Цитата:
Это интерфейс для изучения уязвимостей. Сначала студент пробует использовать, потом должен закрыть уязвимость. Весь сок в том, чтобы автоматически проверить закрыл он или нет. |
|
04.09.2011, 20:44 | #6 |
Старожил
Регистрация: 04.02.2009
Сообщений: 17,351
|
Так я пишу - подготовьте набор уязвимостей и прогоните Вашу БД через них. Ну после того, как студент поправит интерфейс.
Маньяк-самоучка
Utkin появился в результате деления на нуль. Осторожно! Альтернативная логика |
04.09.2011, 20:53 | #7 |
Регистрация: 04.09.2011
Сообщений: 9
|
В том и вопрос. Вот он поправил и допустим добавил исправленный код в таблицу. А преподаватель должен должен видеть результат - исправил студент или нет. Не проверять сам, не вводить инъекцию, а уже видеть результат.
|
04.09.2011, 21:07 | #8 | |
Белик Виталий :)
Старожил
Регистрация: 23.07.2007
Сообщений: 57,097
|
Цитата:
Проще всего написать программу, пробивающую по таким уязвимостям, а не анализирующую код на наличие механизмов защиты, они ведь разные могут быть. Действительно, Уткин прав - есть БД с уязвимостями, запускай прогу и атакуй сайт, посылая ему всякие иньекции, и анализируй что он ответил, если то что в иньекции всплывет в ответе (например) то считай что уязвимость найдена.
I'm learning to live...
|
|
04.09.2011, 21:29 | #9 | |
Регистрация: 04.09.2011
Сообщений: 9
|
Цитата:
|
|
04.09.2011, 21:46 | #10 |
Белик Виталий :)
Старожил
Регистрация: 23.07.2007
Сообщений: 57,097
|
Скажи хотя бы на чем пишешь...
I'm learning to live...
|
|
Опции темы | Поиск в этой теме |
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Нужны люди для реализации веб-сервиса (онлайн рисовалка) | Dmitriy All | Фриланс | 0 | 13.03.2011 15:54 |
технология реализации административного интерфейса | allba | PHP | 1 | 21.02.2011 14:30 |
КОБ - Концепция Общественной Безопасности. | С.М.С | Свободное общение | 30 | 20.02.2011 20:28 |
Создаем команду для реализации веб-проекта | Dmitriy All | Фриланс | 0 | 09.01.2011 22:57 |
С+++ концепция | sofen.ru | Софт | 13 | 03.11.2010 19:00 |