"SQL-Injection-Angriffe mit neuen Angriffsmustern"


#1

mehr…


#2

“neue Angriffsmuster”, “Entwicklungen es in den letzten Monaten”,
das klingt alles so dynamisch,
ist die Abwehr zumindest im Falle von von Java nicht einfach ein sauberes Formularkonzept und dann Ruhe für alle Zeiten?

im Link sind einige Angriffsversuche konkret aufgezählt (versucht), aber alllzu deutlich wird das für mich nicht,
sollten das direkt eingetippte URLs an den Server sein?

zum Ende hin deutlich:
[inline]http:// (trageted_site) /search/(trageted_site).idq?[…]&HTMLQueryForm=%2Fsearch.htm&MyQuery=new&GO= [… wohl SQL][/inline]

was nützt es hier zu diskutieren, welche Art SQL dort angegeben wird, ob alt oder neue Tricks,
dass überhaupt jegliches SQL in der URL möglich ist, dass der Server darauf reagiert, ist doch ein einfacher Top-Level-Fehler, korrigieren und fertig?

es wird doch hoffentlich niemand versuchen dort bestimmtes SQL bewußt zu erlauben, nur einzelne Tricks zu umgehen?
schlauer als die Hacker im Akzeptieren von SQL zu sein? verrücktes Spiel mit dem Feuer


#3

Was ist das denn für ein schlechter Artikel?

die Informationen über Säulen in Tabellen liefert

Haben die das durch google translate gejagt?

Neue Angriffsvektoren habe ich da auch nicht gefunden. Die dort beschriebenen Methoden sind wahrscheinlich alle in sqlmap implementiert.

Prepared Statements sind das Mittel der Wahl gegen SQL-Injection. Solange man das konsequent macht, ist SQL-Injection kein Thema.