/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Shopman = SQL inject ?
Fra : Povl H. Pedersen


Dato : 05-12-02 14:18

Jeg har ikke testet om shopman.dk har et SQL inject problem,
men i Mozilla på Mac OS X, da står nedenstående øverst på
forsiden. Er vi ikke enige om, at det tyder på at der måske
er problemer på sitet ?

Eller som minimum at det har været udsat for
sub-optimal test ?

<%@LANGUAGE="VBSCRIPT" CODEPAGE="1252"%> <% Dim rsRP Dim rsRP_numRows
Set rsRP = Server.CreateObject("ADODB.Recordset") rsRP.ActiveConnection
= MM_okconcepts_STRING rsRP.Source = "SELECT TOP 1 *, ShortDescription
as SD FROM Shopman_Products WHERE ImageURL IS NOT NULL ORDER BY newid()"
rsRP.CursorType = 0 rsRP.CursorLocation = 2 rsRP.LockType = 1
rsRP.Open() rsRP_numRows = 0 %> <% Dim rsGenerateKey Dim
rsGenerateKey_numRows Set rsGenerateKey =
Server.CreateObject("ADODB.Recordset") rsGenerateKey.ActiveConnection =
MM_okconcepts_STRING rsGenerateKey.Source = "{call
dbo.SP_Shopman_CreateKey}" rsGenerateKey.CursorType = 0
rsGenerateKey.CursorLocation = 2 rsGenerateKey.LockType = 1
rsGenerateKey.Open() rsGenerateKey_numRows = 0 %>



--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

 
 
Søren Christensen (05-12-2002)
Kommentar
Fra : Søren Christensen


Dato : 05-12-02 15:12


"Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local> wrote in message
news:slrnauukfm.u4.povlhp@povl-h-pedersens-computer.local...
> Jeg har ikke testet om shopman.dk har et SQL inject problem,
> men i Mozilla på Mac OS X, da står nedenstående øverst på
> forsiden. Er vi ikke enige om, at det tyder på at der måske
> er problemer på sitet ?
>
> Eller som minimum at det har været udsat for
> sub-optimal test ?

Sub optimal test og samtlige andre negative udsagnsord, navneord og
tillægsord man kan komme på.

Tydeligvis har de et mislykkedet setup med hensyn til eksekvering af deres
ASP (punkt 1 - de bruger ASP!).

Men den ASP der vises bruger Stored Procedures på SQL serveren - uden
parametre. Hvis de bruger samme teknik i andre dele af koden på sitet så kan
man ikke injecte SQL, med mindre de bygger SP kommandoen op i en
tekststreng.

Om man kan injecte SQL og under hvilken brugerkonto tør jeg ikke sige noget
om - det er iflg. CCU strafbart at udtale sig om. Jeg tør ikke en gang
skrive hvordan man kan undersøge det..

Personligt vil jeg dog ikke benytte shopman.dk til noget som helst.

--



Povl H. Pedersen (05-12-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 05-12-02 17:40

In article <3def5ee0$0$183$edfadb0f@dread14.news.tele.dk>, Søren Christensen wrote:
>
> "Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local> wrote in message
> news:slrnauukfm.u4.povlhp@povl-h-pedersens-computer.local...
>> Jeg har ikke testet om shopman.dk har et SQL inject problem,
>> men i Mozilla på Mac OS X, da står nedenstående øverst på
>> forsiden. Er vi ikke enige om, at det tyder på at der måske
>> er problemer på sitet ?
>>
>> Eller som minimum at det har været udsat for
>> sub-optimal test ?
>
> Sub optimal test og samtlige andre negative udsagnsord, navneord og
> tillægsord man kan komme på.

Jeg har testet IE + Mozilla på Windows, og ser ikke ASP koden.
Undrer mig over hvorfor det kun er Mozilla Mac OS X der viser den ?

Er sub-optimal et negativt ladet ord ? :)

> Tydeligvis har de et mislykkedet setup med hensyn til eksekvering af deres
> ASP (punkt 1 - de bruger ASP!).

Enig. Amatører Skriver Programmer. En dårlig ting på Internet.
>
> Men den ASP der vises bruger Stored Procedures på SQL serveren - uden
> parametre. Hvis de bruger samme teknik i andre dele af koden på sitet så kan
> man ikke injecte SQL, med mindre de bygger SP kommandoen op i en
> tekststreng.

Jeg læste det ikke i detaljer. Så bare, at der sendes SQL ud til
mig (SELECT), hvilket umiddelbart fik mig til at tænke på, at når
de sender kode ud til mig, så kan det være de også får kode
retur ?
>
> Om man kan injecte SQL og under hvilken brugerkonto tør jeg ikke sige noget
> om - det er iflg. CCU strafbart at udtale sig om. Jeg tør ikke en gang
> skrive hvordan man kan undersøge det..

Der er da mange links og artikler ude i byen der beskriver det.
>
> Personligt vil jeg dog ikke benytte shopman.dk til noget som helst.
>
Heller ikke mig. Hvis man køber varerne i Tyskland, som man reelt
gør gennem shopman, så kan man ligeså godt spare en del ekstra og
bestille på en tysksproget side.

--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

Søren Christensen (05-12-2002)
Kommentar
Fra : Søren Christensen


Dato : 05-12-02 18:31


"Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local> wrote in message
news:slrnauv0ap.ui.povlhp@povl-h-pedersens-computer.local...
> Jeg har testet IE + Mozilla på Windows, og ser ikke ASP koden.
> Undrer mig over hvorfor det kun er Mozilla Mac OS X der viser den ?

Den er der stadig - View Source viser den i IE. Jeg vil tro at har noget at
gøre med <% ... %> tegnene der gør at de ikke vises.

> Jeg læste det ikke i detaljer. Så bare, at der sendes SQL ud til
> mig (SELECT), hvilket umiddelbart fik mig til at tænke på, at når
> de sender kode ud til mig, så kan det være de også får kode
> retur ?

Det kunne man godt (man bør selvfølgelig ikke), men så skulle det være med
RDS og vil derfor kun virke i IE på Windows.

> Der er da mange links og artikler ude i byen der beskriver det.

Gider du at ringe til bedrageriafdelingen og fortælle dem det? Så kan det
være de dropper deres sigtelser mod mig..;)

--



Povl H. Pedersen (05-12-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 05-12-02 22:23

In article <3def8d70$0$204$edfadb0f@dread14.news.tele.dk>, Søren Christensen wrote:
>> Der er da mange links og artikler ude i byen der beskriver det.
>
> Gider du at ringe til bedrageriafdelingen og fortælle dem det? Så kan det
> være de dropper deres sigtelser mod mig..;)

Jeg mener at ComputerWorld for et par dage siden henviste til
www.nextgenss.com/papers/more_advanced_sql_injection.pdf

og 2 andre dokumenter.

De var i forvejen del af den dokumentation jeg på arbejde
har lavet for webudviklere. De skal vide hvad SQL inject
er for at være paranoide og undgå at deres kode bliver
sårbar.

--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

Stig Johansen (06-12-2002)
Kommentar
Fra : Stig Johansen


Dato : 06-12-02 08:49

Hej.


"Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local> wrote in message
news:slrnauvgtr.125.povlhp@povl-h-pedersens-computer.local...
> Jeg mener at ComputerWorld for et par dage siden henviste til
> www.nextgenss.com/papers/more_advanced_sql_injection.pdf

Tsk tsk, som om der kun findes M$ SQLServer i denne verden?

--

Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)




Ulrik Lunddahl (05-12-2002)
Kommentar
Fra : Ulrik Lunddahl


Dato : 05-12-02 22:27

"Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local> wrote:

> Enig. Amatører Skriver Programmer. En dårlig ting på Internet.

Hmmm...

- Hvordan blev arpanet til internet.
- Hvordan blev Linux til.

Hint - en amatør er en der udfører ulønnet arbejde, som regel er denne
person ganske habil til det han nu udfører.


--
Med Venlig Hilsen

Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar, George Antheil and now also Anders Hejlsberg



Povl H. Pedersen (06-12-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 06-12-02 23:55

In article <3defc4a7$0$47397$edfadb0f@dtext01.news.tele.dk>, Ulrik Lunddahl wrote:
> "Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local> wrote:
>
>> Enig. Amatører Skriver Programmer. En dårlig ting på Internet.
>
> Hmmm...
>
> - Hvordan blev arpanet til internet.
> - Hvordan blev Linux til.
>
> Hint - en amatør er en der udfører ulønnet arbejde, som regel er denne
> person ganske habil til det han nu udfører.

Som regel har disse amatører haft en teoretisk baggrund der har
givet dem et grundlag for det. Og spørgsmålet er, om man kan kalde
dem amatører. Er en hånværker lærling amatør ? Hvad med en svend ?
Han har stadig ikke fået sin Mester/masters titel.

Hvis alle ASP programmører minimum havde en bachelor i datalogi,
så ville jeg også føle mig mere tryg end ved at have nogle
copy/paste script kiddies til at lave infrastruktur.

Hos Microsoft opfandt disse script kiddies XOR kryptering (PWL
filer i Windows 95 og muligvis 98). Det er uacceptabelt. Så
er det lige meget om de arbejder for MS eller hjemme i garagen.
--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

Jesper Stocholm (07-12-2002)
Kommentar
Fra : Jesper Stocholm


Dato : 07-12-02 09:41

Povl H. Pedersen wrote :

> In article <3defc4a7$0$47397$edfadb0f@dtext01.news.tele.dk>, Ulrik
> Lunddahl wrote:
>> "Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local> wrote:
>>
>>> Enig. Amatører Skriver Programmer. En dårlig ting på Internet.
>>
>> Hmmm...
>>
>> - Hvordan blev arpanet til internet.
>> - Hvordan blev Linux til.
>>
>> Hint - en amatør er en der udfører ulønnet arbejde, som regel er
>> denne person ganske habil til det han nu udfører.

"opfinderne" af nogle af de mest grundlæggende protokoller anvendt på
Internet i dag, var/er i øvrigt ansat på bla. Berkeley og andre
universiteter, så jeg er nu heller ikke enig i Ulriks udtalelser.

> Hvis alle ASP programmører minimum havde en bachelor i datalogi,
> så ville jeg også føle mig mere tryg end ved at have nogle
> copy/paste script kiddies til at lave infrastruktur.

dvs alle ASP-programmører er script-kiddies ?

> Hos Microsoft opfandt disse script kiddies XOR kryptering (PWL
> filer i Windows 95 og muligvis 98). Det er uacceptabelt. Så
> er det lige meget om de arbejder for MS eller hjemme i garagen.

Nu ved jeg ikke lige, om det er korrekt, at MS har opfundet XOR, men hvad
er lige problemet med XOR-kryptering ?

Hint: jeg synes igen, at du er for generaliserende i dine udtalelser. Du
kan sagtens lave 100% beviseligt ubrydelig kryptering af data med XOR.

--
Jesper Stocholm - http://stocholm.dk
if you are competing with the darknet, you must compete on the darknet's
own terms: that is convenience and low cost rather than additional
security. ( http://crypto.stanford.edu/DRM2002/darknet5.doc )

Kasper Dupont (07-12-2002)
Kommentar
Fra : Kasper Dupont


Dato : 07-12-02 11:19

Jesper Stocholm wrote:
>
> Nu ved jeg ikke lige, om det er korrekt, at MS har opfundet XOR, men hvad
> er lige problemet med XOR-kryptering ?

Den diskution har vi haft før. En XOR kryptering kan kun være sikker
hvis nøglen er mindst lige så stor som beskeden. Hvis beskeden er
væsentligt større end nøglen falder krypteringen straks til jorden:

http://groups.google.com/groups?hl=en&lr=&ie=UTF-8&oe=UTF-8&th=191a1ce7aa27f26b&rnum=1

>
> Hint: jeg synes igen, at du er for generaliserende i dine udtalelser. Du
> kan sagtens lave 100% beviseligt ubrydelig kryptering af data med XOR.

Ja, hvis nøglen er mindst lige så stor som data. Men det er sjældent
praktisk anvendeligt.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";

Jesper Stocholm (07-12-2002)
Kommentar
Fra : Jesper Stocholm


Dato : 07-12-02 11:57

Kasper Dupont wrote :

> Jesper Stocholm wrote:
>>
>> Nu ved jeg ikke lige, om det er korrekt, at MS har opfundet XOR, men
>> hvad er lige problemet med XOR-kryptering ?
>
> Den diskution har vi haft før.

ja

> En XOR kryptering kan kun være sikker
> hvis nøglen er mindst lige så stor som beskeden.

ja

> Hvis beskeden er
> væsentligt større end nøglen falder krypteringen straks til jorden:

det er jo netop min pointe. Pouls udsagn er for generelt formuleret til
at det giver mening. (se mit svar til Poul)

>> Hint: jeg synes igen, at du er for generaliserende i dine udtalelser.
>> Du kan sagtens lave 100% beviseligt ubrydelig kryptering af data med
>> XOR.
>
> Ja, hvis nøglen er mindst lige så stor som data. Men det er sjældent
> praktisk anvendeligt.

det kommer da i høj grad an på, hvad den specifikke anvendelse er. Jydske
Bank anvender jo en variant af One-Time-Pads i deres Webbank [1], og her
er det jo i høj grad anvendeligt.

Hvis du og jeg kendte hinanden i den fysiske verden, så var der jo intet
i vejen for, at vi kunne udveksle en række one-time-pads og så bruge dem
i vores interne kommunikation via Internet.

[1] Jeg er klar over, at det ikke _helt_ er det samme

--
Jesper Stocholm - http://stocholm.dk - http://asp-faq.dk

** De andre siger, at han er 16 **
Svar venligst til gruppen og ikke til mig privat !

Kasper Dupont (07-12-2002)
Kommentar
Fra : Kasper Dupont


Dato : 07-12-02 12:26

Jesper Stocholm wrote:
>
> Kasper Dupont wrote :
> >
> > Ja, hvis nøglen er mindst lige så stor som data. Men det er sjældent
> > praktisk anvendeligt.
>
> det kommer da i høj grad an på, hvad den specifikke anvendelse er. Jydske
> Bank anvender jo en variant af One-Time-Pads i deres Webbank [1], og her
> er det jo i høj grad anvendeligt.

Det er One-Time-Passwords, hvilket ikke har noget med One-Time-Pads at
gøre.

>
> Hvis du og jeg kendte hinanden i den fysiske verden, så var der jo intet
> i vejen for, at vi kunne udveksle en række one-time-pads og så bruge dem
> i vores interne kommunikation via Internet.

Det er korrekt. En CD kan f.eks. bruges til at gemme 700MB one-time-pad.
Det skal naturligvis bruges med omtanke for at ikke blive brugt alt for
hurtigt.

>
> [1] Jeg er klar over, at det ikke _helt_ er det samme

Det er faktisk noget helt andet.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";

Jesper Stocholm (07-12-2002)
Kommentar
Fra : Jesper Stocholm


Dato : 07-12-02 13:04

Kasper Dupont wrote :

> Jesper Stocholm wrote:
>>
>> Kasper Dupont wrote :
>> >
>> > Ja, hvis nøglen er mindst lige så stor som data. Men det er
>> > sjældent praktisk anvendeligt.
>>
>> det kommer da i høj grad an på, hvad den specifikke anvendelse er.
>> Jydske Bank anvender jo en variant af One-Time-Pads i deres Webbank
>> [1], og her er det jo i høj grad anvendeligt.
>
> Det er One-Time-Passwords, hvilket ikke har noget med One-Time-Pads at
> gøre.

Ups ... jeg var måske lidt for hurtig ...

>> Hvis du og jeg kendte hinanden i den fysiske verden, så var der jo
>> intet i vejen for, at vi kunne udveksle en række one-time-pads og så
>> bruge dem i vores interne kommunikation via Internet.
>
> Det er korrekt. En CD kan f.eks. bruges til at gemme 700MB
> one-time-pad. Det skal naturligvis bruges med omtanke for at ikke
> blive brugt alt for hurtigt.
>
>>
>> [1] Jeg er klar over, at det ikke _helt_ er det samme
>
> Det er faktisk noget helt andet.

det kan jeg så forstå ... mine overvejelser om at det er _brugen_ af XOR
der kan være et problem og ikke selve algoritme mener jeg nu stadig
holder - trods mit lille fejlskud.



--
Jesper Stocholm - http://stocholm.dk - http://asp-faq.dk
Skriv venligst under det du svarer på og skær det overflødige væk.
Se evt hvorfor på http://www.usenet.dk/netikette/citatteknik.html
Svar venligt til gruppen og ikke til mig privat !

Povl H. Pedersen (07-12-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 07-12-02 11:40

In article <Xns92DD6277D634Aspamstocholmdk@130.226.1.34>, Jesper Stocholm wrote:
>> Hvis alle ASP programmører minimum havde en bachelor i datalogi,
>> så ville jeg også føle mig mere tryg end ved at have nogle
>> copy/paste script kiddies til at lave infrastruktur.
>
> dvs alle ASP-programmører er script-kiddies ?

Næh, men der er mange script kiddies der slår sig ned som ASP
programmører. Og de koster alle de seriøse i branchen. De koster
både et halvdårligt rygte + penge, da de vil arbejde for 50 kr +
gratis pizza og cola :)

Jeg har da også forstået på dig, at portningen af php til Windows
har resulteret i at dette sprog begynder at lide samme skæbne.

>> Hos Microsoft opfandt disse script kiddies XOR kryptering (PWL
>> filer i Windows 95 og muligvis 98). Det er uacceptabelt. Så
>> er det lige meget om de arbejder for MS eller hjemme i garagen.
>
> Nu ved jeg ikke lige, om det er korrekt, at MS har opfundet XOR, men hvad
> er lige problemet med XOR-kryptering ?

Når du nu laver en nøglering med alle brugerens passwords, så ønsker
man en stærk ubrydelig algoritme. Det er XOR ikke som den blev
anvendt hos MS. De har officielt sagt at det var en der var i
sommerferiepraktik der lavede det.

--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

Jesper Stocholm (07-12-2002)
Kommentar
Fra : Jesper Stocholm


Dato : 07-12-02 12:16

Povl H. Pedersen wrote :

> In article <Xns92DD6277D634Aspamstocholmdk@130.226.1.34>, Jesper
> Stocholm wrote:
>>> Hvis alle ASP programmører minimum havde en bachelor i datalogi,
>>> så ville jeg også føle mig mere tryg end ved at have nogle
>>> copy/paste script kiddies til at lave infrastruktur.
>>
>> dvs alle ASP-programmører er script-kiddies ?
>
> Næh, men der er mange script kiddies der slår sig ned som ASP
> programmører. Og de koster alle de seriøse i branchen. De koster
> både et halvdårligt rygte + penge, da de vil arbejde for 50 kr +
> gratis pizza og cola :)

Generelt spørgsmål: er der egentlig så mange af dem tilbage ?

> Jeg har da også forstået på dig, at portningen af php til Windows
> har resulteret i at dette sprog begynder at lide samme skæbne.

Jeg ved nu ikke om det er porteringen af PHP til Windows, der er skyld i
dette. Jeg tror mere, at det skyldes, at det er muligt at få et webhotel
for kr.1/md på en Linux-box med PHP. Windows-webhoteller koster generelt
noget mere at leje sig ind på. Jeg har - i tidernes morgen, så jeg ved
godt, at det nok er anderledes i dag - prøvet at installere Apache+PHP
etc på en Windows-boks, og det var bestemt ikke nogen nem handling.

Jeg tror også at det skyldes, at der sidder en masse unge lømler derude,
der er faldet over sslug.dk og har brændt en CD med RedHat på og nu ser
Linux som det eneste i verden [1]. Når nu disse finder ud af, at der kan
tjenes nogle nemme penge ved at lave hjemmesider i PHP, så kan du nok
tænke dig til konsekvensen :).

>>> Hos Microsoft opfandt disse script kiddies XOR kryptering (PWL
>>> filer i Windows 95 og muligvis 98). Det er uacceptabelt. Så
>>> er det lige meget om de arbejder for MS eller hjemme i garagen.
>>
>> Nu ved jeg ikke lige, om det er korrekt, at MS har opfundet XOR, men
>> hvad er lige problemet med XOR-kryptering ?
>
> Når du nu laver en nøglering med alle brugerens passwords, så ønsker
> man en stærk ubrydelig algoritme. Det er XOR ikke som den blev
> anvendt hos MS. De har officielt sagt at det var en der var i
> sommerferiepraktik der lavede det.

Nu kunne man jo argumentere for, at det her ikke er algoritmen (XOR) der
er problemet, men at den er anvendt på et forkert sted. Det tror jeg vi
er enige om.

For lige at gøre det klart igen: Jeg "faldt over dig", da jeg syntes, at
dine konklusioner var for generaliserende, og det synes jeg er synd -
specielt i en gruppe som denne. Normalt er niveauet på et relativt højt
intellektuelt niveau (bortset fra de tråde, hvor den røde "BØ-klud"
bliver viftet foran næsen på en række af skribenterne herinde :), men
dine udtalelser mener jeg giver grobund for religionskrige, og det er
lidt ærgeligt. Som udgangspunkt mener jeg ikke, at man kan klandre de
enkelte sprog noget - problemerne ligger i de programmører, der anvender
dem forkert [2]. ASP (eller VBScript,JScript som det retteligt er) er
fabelagtigt, hvis det anvendes korrekt. Ligeså er det med PHP. Hvis man
anvender VBScript i "randområderne" som fx Web-brug, så skal man dog
holde tungen noget lige i munden for at sikre sig "optimalt".

Det er rigtigt, at der findes en masse garage-programmører derude, og at
der nok pt. er en overvægt ifht brugere af ASP, men jeg mener ikke, at
det er "ASP's skyld". Ej heller mener jeg, at ASP medfører dårlig kode.


[1] Det er disse mennesker, der ynder at kaste om sig med udbrud
som "Linux RuleZ", MicroSucks, skriver "også" som "oxo" etc :)
[2] Guns don't kill people, people do ...
--
Jesper Stocholm - http://stocholm.dk

FAQ for dk.edb.internet.webdesign.serverside.asp : http://asp-faq.dk
Svar venligt til gruppen og ikke til mig privat !

Søren Christensen (07-12-2002)
Kommentar
Fra : Søren Christensen


Dato : 07-12-02 13:48


"Jesper Stocholm" <jespers@stocholm.invalid> wrote in message
news:Xns92DD7CB44F043spamstocholmdk@130.226.1.34...
> Povl H. Pedersen wrote :
>
> > Næh, men der er mange script kiddies der slår sig ned som ASP
> > programmører. Og de koster alle de seriøse i branchen. De koster
> > både et halvdårligt rygte + penge, da de vil arbejde for 50 kr +
> > gratis pizza og cola :)
>
> Generelt spørgsmål: er der egentlig så mange af dem tilbage ?

Jeg tror stadig der er mange af dem, men måske ikke i det professionelle
liv. Samtlige af de henvendelser jeg sendte ud
(http://www.snakeoil.dk/kommentarer/20021127-2) var til firmaer der enten
udføre ehandel, registerer følsom information eller er webbureauer. Enddog
var der en virksomhed som blærede sig med deres tunge cand. scient. dat'er.
Jeg tror ikke på at det er script kiddies der er problemet, men simpelthen
den manglende fokus på applikationssikkerhed - det ses bare tydeligere på
webbet da man her hurtigt kan ændre i parametrene og få fejl. Kigger man i
'almindeligt' software har jeg lidt på fornemmelsen at tilstanden er den
samme.

> [2] Guns don't kill people, people do ...

Men alligevel har vi en våbenlov. Måske skulle man også have en kodelov -
ihvertfald et eller andet der kan stille virksomhederne der bruger den
dårlige kode til regnskab. Det ville blive meget bureaukratisk, men ligesom
byggebranchen har tilsynsførende burde man måske også få det i webbranchen
(med auditør mulighed) - det vil ryde gevaldigt ud i klovnerierne.

--



Jesper Stocholm (07-12-2002)
Kommentar
Fra : Jesper Stocholm


Dato : 07-12-02 14:00

Søren Christensen wrote :

>
> "Jesper Stocholm" <jespers@stocholm.invalid> wrote in message
> news:Xns92DD7CB44F043spamstocholmdk@130.226.1.34...
>> Povl H. Pedersen wrote :
>>
>> > Næh, men der er mange script kiddies der slår sig ned som ASP
>> > programmører. Og de koster alle de seriøse i branchen. De koster
>> > både et halvdårligt rygte + penge, da de vil arbejde for 50 kr +
>> > gratis pizza og cola :)
>>
>> Generelt spørgsmål: er der egentlig så mange af dem tilbage ?
>
> Jeg tror stadig der er mange af dem, men måske ikke i det
> professionelle liv.

> Jeg tror ikke på at det er script kiddies der er problemet, men
> simpelthen den manglende fokus på applikationssikkerhed

der er vi enige ...

>> [2] Guns don't kill people, people do ...
>
> Men alligevel har vi en våbenlov. Måske skulle man også have en
> kodelov - ihvertfald et eller andet der kan stille virksomhederne der
> bruger den dårlige kode til regnskab. Det ville blive meget
> bureaukratisk, men ligesom byggebranchen har tilsynsførende burde man
> måske også få det i webbranchen (med auditør mulighed) - det vil ryde
> gevaldigt ud i klovnerierne.

igen er vi enige ... jeg kunne godt tænke mig et regelsæt eller en eller
anden mærkningsordning som Smiley-tingen, så man som bruger kunne tage et
kvalificeret valg. Her sker der jo også en vurdering af renligheden i
virksomhederne. Det samme kunne sagtens tænkes i web-branchen også. Det
er ikke mit indtryk, at smiley-ordningen er alt for bureaukratisk -
simpelt sagt, så skal der jo blot ansættes nogle mennesker til at lave
kontrollerne.

--
Jesper Stocholm - http://stocholm.dk
** Citat: Jeg ønsker mig en pornofilm i adventsgave **

Svar til gruppen og ikke til mig privat !

Povl H. Pedersen (07-12-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 07-12-02 15:06

In article <3df1ee1c$0$205$edfadb0f@dread14.news.tele.dk>, Søren Christensen wrote:
>> [2] Guns don't kill people, people do ...
>
> Men alligevel har vi en våbenlov. Måske skulle man også have en kodelov -
> ihvertfald et eller andet der kan stille virksomhederne der bruger den
> dårlige kode til regnskab. Det ville blive meget bureaukratisk, men ligesom
> byggebranchen har tilsynsførende burde man måske også få det i webbranchen
> (med auditør mulighed) - det vil ryde gevaldigt ud i klovnerierne.

Persondataloven skulle bare have været brugt til at smide
Harald Nyborborgs direktør i fængsel en måneds tid.

Straframmen er 4 mdr.

--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

Arne Schwerdtfegger (07-12-2002)
Kommentar
Fra : Arne Schwerdtfegger


Dato : 07-12-02 15:45

"Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local> wrote in
news:slrnav402b.da.povlhp@povl-h-pedersens-computer.local:

> Persondataloven skulle bare have været brugt til at smide
> Harald Nyborborgs direktør i fængsel en måneds tid.
>
> Straframmen er 4 mdr.

Så længe vi har de folk der sidder i datatilsynet til at afgive kendelser
om den slags er det vist ikke særligt sandsynligt at der sker mere end et
'fyfy det må man ikke'.

--
Knud

Jesper Stocholm (05-12-2002)
Kommentar
Fra : Jesper Stocholm


Dato : 05-12-02 20:05

Søren Christensen wrote :

> Tydeligvis har de et mislykkedet setup med hensyn til eksekvering af
> deres ASP (punkt 1 - de bruger ASP!).

blot af interesse: er det specielt ASP du har set dig sur på - eller er det
scriptsprog generelt, dvs også PHP ?

--
Jesper Stocholm - http://stocholm.dk
Ny FAQ for dk.edb.internet.webdesign.serverside.asp : http://asp-faq.dk
Svar til gruppen og ikke til mig privat !

Povl H. Pedersen (05-12-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 05-12-02 22:32

In article <Xns92DBCC2F337C3spamstocholmdk@130.226.1.34>, Jesper Stocholm wrote:
> Søren Christensen wrote :
>
>> Tydeligvis har de et mislykkedet setup med hensyn til eksekvering af
>> deres ASP (punkt 1 - de bruger ASP!).
>
> blot af interesse: er det specielt ASP du har set dig sur på - eller er det
> scriptsprog generelt, dvs også PHP ?

Jeg vil tro at det er det samme som mig.

ASP programmører har typisk meget lidt erfaring, det er deres
første programmeringssprog. De har ikke læst/lært om input-validering,
buffer overflows, SQL inject m.m.

Folk der anvender andre script sprog har som hovedregel mere
erfaring, måske endog uddannelse fremfor at være selvlærte.
Den lidt højerer barrier-to-entry for andre sprog er med til
at gøre dette.

Der findes også gode ASP programmører, men som andel af
ASP programmørerne er det få. Det ASP kode jeg har set lavet
ude i byen af anerkendte webfirmaer har som hovedregel været
at for ringe kvalitet.

Hvem vælger teknologien ? Det er ofte web-bureauet som
vælger den teknologi hvor de kan få de billigste programmører,
og dermed mindst erfarne. Og gerne nogle freelancere der kan gå
for 100 kr/time eller mindre.

Så branchen har også en del af skylden. Men det kan være
svært at konkurrere med chefens søn rent primæssigt.
--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

Jesper Stocholm (05-12-2002)
Kommentar
Fra : Jesper Stocholm


Dato : 05-12-02 23:29

Povl H. Pedersen wrote :

> In article <Xns92DBCC2F337C3spamstocholmdk@130.226.1.34>, Jesper
> Stocholm wrote:
>> Søren Christensen wrote :
>>
>>> Tydeligvis har de et mislykkedet setup med hensyn til eksekvering af
>>> deres ASP (punkt 1 - de bruger ASP!).
>>
>> blot af interesse: er det specielt ASP du har set dig sur på - eller
>> er det scriptsprog generelt, dvs også PHP ?
>
> Jeg vil tro at det er det samme som mig.
>
> ASP programmører har typisk meget lidt erfaring,

Hvordan kan du vide det ? Jeg går ud fra, at du har noget statistisk materiale, der
understøtter dit udsagn ... altså udover at "den mængde ASP-kode jeg har set har været
noget crap".

> det er deres første programmeringssprog.

men sådan ser verden jo ikke længere ud. PHP læres nu også på flere
uddannelsesinstitutioner som første web-programmeringssprog, og den kode man ser dér er
bestemt heller ikke noget at råbe hurra for. Prøv at følge lidt med i .serverside-
grupperne i dk.-hierarkiet. Sikkerhedsmæssige overvejelser er nærmest ikke-eksisterende,
og det gælder ikke kun i .asp-gruppen. Det er mindst lige så udbredt som i .php- eller
hovedgruppen.

> De har ikke læst/lært om input-validering,
> buffer overflows, SQL inject m.m.

Hvad har det med ASP at gøre ? Det er jo udelukkende relevant i en diskussion om de
programmeringsmæssige evner ved folk, der sætter sig for at lave en hjemmeside - ikke
sproget selv.

> Folk der anvender andre script sprog har som hovedregel mere
> erfaring, måske endog uddannelse fremfor at være selvlærte.
> Den lidt højerer barrier-to-entry for andre sprog er med til
> at gøre dette.

Det er korrekt, at indlæringskurven for PHP nok må antages at være en smule stejlere end
for ASP, men der er efterhånden så mange nybegyndere "derude" der programmerer i PHP, at
det ikke rigtigt kan bruges som argument - med mindre du mener at rookie-php-
programmører nærmest pr. default er dygtigere end andre script-programmører.

> Der findes også gode ASP programmører, men som andel af
> ASP programmørerne er det få. Det ASP kode jeg har set lavet
> ude i byen af anerkendte webfirmaer har som hovedregel været
> at for ringe kvalitet.

Jeg er faktisk lidt overrasket over specielt Sørens udtalelse, da de fleste af
skribenterne herinde generelt er meget velfunderede i deres udtalelser om sikkerhed i
applikationer. Groft sagt synes jeg Sørens udtalelse er amatøragtig og tenderende imod
udsagn som "Fuck M$, Linux Rulez", og jeg havde faktisk forventet en smule mere af ham -
specielt efter at have læst hans korrespondance med firmaerne han advarede imod
sikkerhedshuller.

Jeg er enig med Søren så langt, at scriptsprog generelt er noget hø .. det være sig ASP,
PHP eller lignende. Men derfra og til at sige, at det ikke er muligt at bygge "sikre"
webapplikationer i ASP er der alt for langt. Selvfølgelig kan det lade sig gøre at
indbygge sikkerhed, input-validering etc - det er blot meget mere omstændigt end hvis
man havde mulighed for at lave tingene i "rigtige" programmeringssprog som c++, vb, c#,
Java eller lignende.

Dertil kommer, at dine udtalelser om, at

"ASP programmører har typisk meget lidt erfaring"

er en rød klud for de af os, der har valgt at fokusere på MS-programmering, men faktisk
prøver at gøre et godt stykke arbejde, forsøger så vidt det er muligt at få
sikkerhedsmæssige overvejelser ind i kravspecifikationer, og af og til siger nej til
opgaver, hvor der ikke vil betales for den nødvendige sikkerhed. Der findes masser af
uhyre kompetente ASP-programmører derude, der altid tænker "sikkerhed først", men fordi
der sidder en amatør ved Valus, så skal vi allesammen slås i hartkorn med dem - blot
fordi de tilfældigvis har valgt at lave deres slamkode i ASP.

Det er vel klart, at jeg ikke mener, at dette er rimeligt - specielt ikke i denne
gruppe, hvor jeg nok havde forventet nogle mere nuancerede udsagn.

--
Jesper Stocholm - http://stocholm.dk

Vil det sige, at ham Lars er et stort brød på 15 år ?

Søren Christensen (06-12-2002)
Kommentar
Fra : Søren Christensen


Dato : 06-12-02 00:58


"Jesper Stocholm" <jespers@stocholm.invalid> wrote in message
news:Xns92DBEEC45475spamstocholmdk@130.226.1.34...
> Povl H. Pedersen wrote :
>
> >>> Tydeligvis har de et mislykkedet setup med hensyn til eksekvering af
> >>> deres ASP (punkt 1 - de bruger ASP!).
> >>
> >> blot af interesse: er det specielt ASP du har set dig sur på - eller
> >> er det scriptsprog generelt, dvs også PHP ?

Alle sprog der ikke kompileres er noget hø! - synes jeg. Det er selvklart en
urealistisk holdning og jeg benytter mig ofte af script sprog, hovedsaglig
VBScript til installation, test eller andet 'kommandolinie' stuff. Hvis jeg
kan undgå det så gør jeg det, men det er i en realistisk verden ikke sådan
lige til (4 timer i C, 15 minuuter i VBScript - det kan man ikke forklare en
ikke IT kyndig boss der sidder på pengepungen).


> Jeg er faktisk lidt overrasket over specielt Sørens udtalelse, da de
fleste af
> skribenterne herinde generelt er meget velfunderede i deres udtalelser om
sikkerhed i
> applikationer. Groft sagt synes jeg Sørens udtalelse er amatøragtig og
tenderende imod
> udsagn som "Fuck M$, Linux Rulez", og jeg havde faktisk forventet en smule
mere af ham -
> specielt efter at have læst hans korrespondance med firmaerne han advarede
imod
> sikkerhedshuller.

Jeg er udelukkende MS$ mand.. Det er også derfor jeg tillader mig at
udtale mig negativt om ASP, VBS ol. Jeg har ingen væsentlig erfaring med
andre script sprog og ved ikke nok til at kunne svine dem til..

> Jeg er enig med Søren så langt, at scriptsprog generelt er noget hø .. det
være sig ASP,
> PHP eller lignende. Men derfra og til at sige, at det ikke er muligt at
bygge "sikre"
> webapplikationer i ASP er der alt for langt. Selvfølgelig kan det lade sig
gøre at
> indbygge sikkerhed, input-validering etc - det er blot meget mere
omstændigt end hvis
> uhyre kompetente ASP-programmører derude, der altid tænker "sikkerhed
først", men fordi
> der sidder en amatør ved Valus, så skal vi allesammen slås i hartkorn med
dem - blot
> fordi de tilfældigvis har valgt at lave deres slamkode i ASP.
>
> Det er vel klart, at jeg ikke mener, at dette er rimeligt - specielt ikke
i denne
> gruppe, hvor jeg nok havde forventet nogle mere nuancerede udsagn.

Vi ser nok ret ens på sagen. Problemet er ikke så meget sprogene eller
teknologien, selvom de er lavet i en tid hvor sikkerhed ikke var primær
overvejelse.
Jeg tror det er webbranchen og dennes holdning der klart er problemet. Man
har i 'goldrush' perioden fokuseret ekstremt meget på penge og kun penge.
Hermed har man tiltrukket en stor masse af folk som ikke er 'fødte'
teknikere og som udelukkende har haft fokus på at kunne sige: jeg tjener
40.000 om måneden, er webprogrammør, går med smarte briller, har en profil
på dating og besidder 5% ejerandele i et eller andet tivoliselskab.

Til disse folk har man haft brug for 'let', ikke videnskabeligt litteratur
som de kan lære over en weekend i sommerhuset på vestkysten. Det er her det
fundamentale problem er - som jeg ser det.
Meget af denne lette litteratur er skrevet af forfattere med så ringe
kodetekniske evner at der burde indføres censur. Næsten samtlige bøger
skrevet om ASP (hvorledes man kan fylde 500 sider op med ASP programmering
er mig en stor gåde) indeholder så ringe kode at man tager sig dybt til
skridtet. Hvor mange steder har man ikke set:

Dim strSQL
Dim dbCon
Dim strConnect

strConnect = "..en eller ande ODBC driver, selvom man burde bruge
OLEDB;user=sa;pwd=;"
dbCon.Open strConnect

strSQL = "SELECT * FROM User WHERE ID=" & Request("ID")

.....osv osv...

Dette ædes åbenbart råt af vores kære programmør med de smarte briller og
den stramme kone og så skal det jo gå galt. Tag som et eksempel William
Vaughns bog: http://www.vb2themax.com/HtmlDoc.asp?Table=Books&ID=5000
( nu har det website rettet deres SQL injection fejl så jeg tør godt linke
til det). I de uddrag jeg har set fra bogen tages der overhovedet ikke
hensyn til sikkerhed, og kode som vist ovenfor er gennemgående. Selv da jeg
henvendte mig til forfatteren (som en gang var meget respekteret som ADO
guru i VB verdnen) blev jeg mødt med irritation og ligegyldighed (og jeg var
endda flink i min henvendelse til ham).

Sådanne ting bliver sluges uhæmmet af folk der godt selv ved at de måske
ikke burde have titlen 'programmør', fordi det står i en bog og så må det
være rigtigt.

Jeg tror desværre ikke vi slipper af med denne tilstand før man vågner op
og anskuer sikkerhed som det primære i enhver udvilkingssituation. Det gør
man bare ikke nu og tendensen er desværre tydelig at applikationssikkerhed
er for dyrt, især nu hvor branchen er fyldt med arbejdsløse programmører, og
tumpede HR folk der ansætter efter filosofien 'hans profil passe fint ind i
vored corporate miljø så ham må vi have' i stedet for filisofien 'ok han
lugter lidt og køn er han sgu ikke men han kan kode - det har vi set under
interviewet'.

Om man vil tro det eller ej så; 4 af de virksomheder der rettede deres hul
pga min 'grovkornet' henvendelse rettede kun problemet på den URL jeg gav
dem. De undersøgte ikke om resten af deres applikation måske kunne lide
under samme problem og derfor er deres lort stadig hullet som en si. Der har
fået mig til at give helt op, jeg nægter at udsætte mig selv for flere
trusler og er glad for at jeg snart skal i kommunal aktivering så jeg kan
lugte lidt den friske luft mens jeg presser pap.

--



Andreas Plesner Jaco~ (06-12-2002)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 06-12-02 09:26

In article <3defe815$0$221$edfadb0f@dread14.news.tele.dk>, Søren Christensen wrote:
>
>> >>> Tydeligvis har de et mislykkedet setup med hensyn til eksekvering af
>> >>> deres ASP (punkt 1 - de bruger ASP!).
>> >>
>> >> blot af interesse: er det specielt ASP du har set dig sur på - eller
>> >> er det scriptsprog generelt, dvs også PHP ?
>
> Alle sprog der ikke kompileres er noget hø!

Rent sikkerhedsmæssigt er det da en noget forskruet udtalelse. Med
compilede sprog ender du blot med andre sikkerhedshuller. Derudover er
et compilet sprog ingen beskyttelse mod eksempelvis SQL injection.

--
Andreas Plesner Jacobsen | <kira> Ada, the only language written to milspec.
| <Mikster> <shudder>

Søren Christensen (06-12-2002)
Kommentar
Fra : Søren Christensen


Dato : 06-12-02 11:02


"Andreas Plesner Jacobsen" <apj@daarligstil.dk> > > Alle sprog der ikke
kompileres er noget hø!
>
> Rent sikkerhedsmæssigt er det da en noget forskruet udtalelse. Med
> compilede sprog ender du blot med andre sikkerhedshuller. Derudover er
> et compilet sprog ingen beskyttelse mod eksempelvis SQL injection.
>

Sikkerhedsmæssigt set, helt bestemt. Det var mest af alt en personlig
holdning.



Povl H. Pedersen (07-12-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 07-12-02 00:02

In article <3df07622$0$162$edfadb0f@dread14.news.tele.dk>, Søren Christensen wrote:
>
> "Andreas Plesner Jacobsen" <apj@daarligstil.dk> > > Alle sprog der ikke
> kompileres er noget hø!
>>
>> Rent sikkerhedsmæssigt er det da en noget forskruet udtalelse. Med
>> compilede sprog ender du blot med andre sikkerhedshuller. Derudover er
>> et compilet sprog ingen beskyttelse mod eksempelvis SQL injection.
>
> Sikkerhedsmæssigt set, helt bestemt. Det var mest af alt en personlig
> holdning.

Perl er ikke noget hø. Perl er et fremragende scriptsprog.
Det er en hybrid af fortolket og compilet, og man kan dumpe
JIT kompilet kode til en fil.

--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

Jesper Stocholm (06-12-2002)
Kommentar
Fra : Jesper Stocholm


Dato : 06-12-02 11:26

Andreas Plesner Jacobsen wrote :

> In article <3defe815$0$221$edfadb0f@dread14.news.tele.dk>, Søren
> Christensen wrote:
>>
>>> >>> Tydeligvis har de et mislykkedet setup med hensyn til
>>> >>> eksekvering af deres ASP (punkt 1 - de bruger ASP!).
>>> >>
>>> >> blot af interesse: er det specielt ASP du har set dig sur på -
>>> >> eller er det scriptsprog generelt, dvs også PHP ?
>>
>> Alle sprog der ikke kompileres er noget hø!
>
> Rent sikkerhedsmæssigt er det da en noget forskruet udtalelse. Med
> compilede sprog ender du blot med andre sikkerhedshuller. Derudover er
> et compilet sprog ingen beskyttelse mod eksempelvis SQL injection.

nej ... men de fleste tilfælde jeg har set, hvor sites var sårbare
overfor SQL-injection, var det fordi en overført integer variabel blev
udskiftet med en streng-variabel. I scriptsprog har du ikke mulighed for
at komme udenom dette uden eksplicit at teste den overførte variabels
datatype. I sprog med primitive datatyper vil dette selv uden tests blive
fanget allerede i applikationslaget, hvor streng-variablen vil blive
forkastet i det øjeblik den forsøges indlagt i den dertil erklærede
forventede integer-variabel.

I ASP skal man gøre noget lig følgende:

dim intVar
intVar = Request.QueryString("variabelfraURI")
if isNumeric(intVar) then
   strSQL = "DELETE FROM table2 WHERE id =" & intVar
end if

i fx c# vil det typisk foregå således:

int intV;
intV = Convert.ToInt32(Request.queryString["variabelfraURI"]);
string strSQL;
strSQL = "DELETE FROM table2 WHERE id= " + intV.ToString();

Dette kræver self. at man lægger variablen fra URI i en int-variabel, men
hvis man skal bruge variablen til andet end at smide i en SQL-streng, så
vil dette være typisk opførsel.

Jeg siger ikke, at man ved anvendelse af sprog med primitive datatyper
vil afhjælpe alle sikkerhedshuller, men det gør det imo noget sværere at
komme til at dumme sig, hvis man er lidt grøn udi i programmeringens
skønne kunst.



--
Jesper Stocholm - http://stocholm.dk
if you are competing with the darknet, you must compete on the darknet's
own terms: that is convenience and low cost rather than additional
security. ( http://crypto.stanford.edu/DRM2002/darknet5.doc )

Andreas Plesner Jaco~ (06-12-2002)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 06-12-02 11:39

In article <Xns92DC745131E74spamstocholmdk@130.226.1.34>, Jesper Stocholm wrote:
>
> nej ... men de fleste tilfælde jeg har set, hvor sites var sårbare
> overfor SQL-injection, var det fordi en overført integer variabel blev
> udskiftet med en streng-variabel. I scriptsprog har du ikke mulighed for
> at komme udenom dette uden eksplicit at teste den overførte variabels
> datatype. I sprog med primitive datatyper vil dette selv uden tests blive
> fanget allerede i applikationslaget, hvor streng-variablen vil blive
> forkastet i det øjeblik den forsøges indlagt i den dertil erklærede
> forventede integer-variabel.

Nu antager du for meget om dem der koder det. Hvis man skal bygge en SQL
statement i C ud fra nogle web-variable kan man jo sagtens bruge strcat
til at bygge den.

--
Andreas Plesner Jacobsen | To do two things at once is to do neither.
|    -- Publilius Syrus

Jesper Stocholm (06-12-2002)
Kommentar
Fra : Jesper Stocholm


Dato : 06-12-02 11:49

Andreas Plesner Jacobsen wrote :

> In article <Xns92DC745131E74spamstocholmdk@130.226.1.34>, Jesper
> Stocholm wrote:
>>
>> nej ... men de fleste tilfælde jeg har set, hvor sites var sårbare
>> overfor SQL-injection, var det fordi en overført integer variabel
>> blev udskiftet med en streng-variabel. I scriptsprog har du ikke
>> mulighed for at komme udenom dette uden eksplicit at teste den
>> overførte variabels datatype. I sprog med primitive datatyper vil
>> dette selv uden tests blive fanget allerede i applikationslaget, hvor
>> streng-variablen vil blive forkastet i det øjeblik den forsøges
>> indlagt i den dertil erklærede forventede integer-variabel.
>
> Nu antager du for meget om dem der koder det. Hvis man skal bygge en
> SQL statement i C ud fra nogle web-variable kan man jo sagtens bruge
> strcat til at bygge den.

hvis du læser lidt længere ned i mit indlæg, så står der:

>> Dette kræver self. at man lægger variablen fra URI i en int-variabel,
>> men hvis man skal bruge variablen til andet end at smide i en SQL-
>> streng, så vil dette være typisk opførsel.
>>
>> Jeg siger ikke, at man ved anvendelse af sprog med primitive datatyper
>> vil afhjælpe alle sikkerhedshuller, men det gør det imo noget sværere
>> at komme til at dumme sig, hvis man er lidt grøn udi i
>> programmeringens skønne kunst.

Jeg siger jo netop ikke, at den hellige grav er velbevaret - blot siger
jeg, at det vil ofte være en hjælp ifht anvendelse af sprog med primitive
datatyper. For at bruge Pouls ord, så vil chefens søn stadig være derude
... uanset hvad :)

Endelig har erfaring naturligvis også noget at sige. Man kunne måske
antage, at en person, der sætter sig til at skrive en komponent til
håndtering af data fra web i c, nok har lidt mere erfaring med
programmering end blot at skrive en "Hello World" applet i Java.

--
Jesper Stocholm - http://stocholm.dk - http://asp-faq.dk

** De andre siger, at han er 16 **
Svar venligst til gruppen og ikke til mig privat !

Søren Christensen (06-12-2002)
Kommentar
Fra : Søren Christensen


Dato : 06-12-02 12:52


"Jesper Stocholm" <jespers@stocholm.invalid> wrote in message
news:Xns92DC782B4A6B6spamstocholmdk@130.226.1.34...
> Andreas Plesner Jacobsen wrote :
>
> Jeg siger jo netop ikke, at den hellige grav er velbevaret - blot siger
> jeg, at det vil ofte være en hjælp ifht anvendelse af sprog med primitive
> datatyper. For at bruge Pouls ord, så vil chefens søn stadig være derude
> .. uanset hvad :)
>
> Endelig har erfaring naturligvis også noget at sige. Man kunne måske
> antage, at en person, der sætter sig til at skrive en komponent til
> håndtering af data fra web i c, nok har lidt mere erfaring med
> programmering end blot at skrive en "Hello World" applet i Java.

Måske, men man ser dog alligevel hver eneste dag buffer overflow fejl, som
regel i C kode. Her er det igen den urgamle tendens med at man ikke
validerer sine input variable.
Se på Code Red - simpel stack overflow i en ISAPI extension til IIS.

Det fik dog M$ op på mærkerne og deres 'Security
Initiative' virker rimelig lovende - dog ser det ud til at MS danmark ikke
fik fat i det helt fra starten
af..(http://www.microsoft.com/danmark/events.asp)

--



Jesper Stocholm (06-12-2002)
Kommentar
Fra : Jesper Stocholm


Dato : 06-12-02 13:49

Søren Christensen wrote :

> "Jesper Stocholm" <jespers@stocholm.invalid> wrote in message
> news:Xns92DC782B4A6B6spamstocholmdk@130.226.1.34...

>> Endelig har erfaring naturligvis også noget at sige. Man kunne måske
>> antage, at en person, der sætter sig til at skrive en komponent til
>> håndtering af data fra web i c, nok har lidt mere erfaring med
>> programmering end blot at skrive en "Hello World" applet i Java.
>
> Måske, men man ser dog alligevel hver eneste dag buffer overflow fejl,
> som regel i C kode. Her er det igen den urgamle tendens med at man
> ikke validerer sine input variable.
> Se på Code Red - simpel stack overflow i en ISAPI extension til IIS.

point taken ... :)

> Det fik dog M$ op på mærkerne og deres 'Security
> Initiative' virker rimelig lovende - dog ser det ud til at MS danmark
> ikke fik fat i det helt fra starten
> af..(http://www.microsoft.com/danmark/events.asp)

ja, det er trist at se - specielt som tidligere Microsoft-ansat. Jeg ved
med sikkerhed, at hullet på deres website blev meddelt dem for mindst et
år siden, og det gør det jo ikke på nogen måde mere rart.



--
Jesper Stocholm
http://stocholm.dk
http://asp.stocholm.dk
Svar til gruppen og ikke til mig privat pr. email :|

Søren Christensen (06-12-2002)
Kommentar
Fra : Søren Christensen


Dato : 06-12-02 13:53


"Jesper Stocholm" <spam200210@stocholm.dk> wrote in message
news:Xns92DC8CA001AFCspamstocholmdk@130.226.1.34...
> Søren Christensen wrote :
>
> ja, det er trist at se - specielt som tidligere Microsoft-ansat. Jeg ved
> med sikkerhed, at hullet på deres website blev meddelt dem for mindst et
> år siden, og det gør det jo ikke på nogen måde mere rart.
>

Prøv med for to år siden også...og halvandet år siden.. Men det er da rart
at de netop nu får rettet det..



Christian Laursen (06-12-2002)
Kommentar
Fra : Christian Laursen


Dato : 06-12-02 12:44

Jesper Stocholm <jespers@stocholm.invalid> writes:

> nej ... men de fleste tilfælde jeg har set, hvor sites var sårbare
> overfor SQL-injection, var det fordi en overført integer variabel blev
> udskiftet med en streng-variabel. I scriptsprog har du ikke mulighed for
> at komme udenom dette uden eksplicit at teste den overførte variabels
> datatype. I sprog med primitive datatyper vil dette selv uden tests blive
> fanget allerede i applikationslaget, hvor streng-variablen vil blive
> forkastet i det øjeblik den forsøges indlagt i den dertil erklærede
> forventede integer-variabel.

Man kan udover andre punkter, der er blevet nævnt i tråden undre sig over,
hvorfor folk i så stor stil overhovedet putter variabler ind i sql-sætninger.

De fleste anstændige databaser understøtter brugen af placeholders, som ikke
kun er hurtigere, men også forhindrer de fleste fejl, folk begår i forbindelse
med quoting af værdier og den slags.

I perl kan det fx. se således ud:

$db->do("SELECT col FROM table WHERE id=?", undef, $id);

Man bør naturligvis stadigvæk checke sit input, men ovenstående giver
ingen mulighed for SQL injection.

--
Med venlig hilsen
Christian Laursen

Søren Christensen (06-12-2002)
Kommentar
Fra : Søren Christensen


Dato : 06-12-02 12:56


"Christian Laursen" <xi@borderworlds.dk> wrote in message
news:m3smxbjrtf.fsf@borg.borderworlds.dk...
> Man kan udover andre punkter, der er blevet nævnt i tråden undre sig over,
> hvorfor folk i så stor stil overhovedet putter variabler ind i
sql-sætninger.
>
> De fleste anstændige databaser understøtter brugen af placeholders, som
ikke
> kun er hurtigere, men også forhindrer de fleste fejl, folk begår i
forbindelse
> med quoting af værdier og den slags.
>
> I perl kan det fx. se således ud:
>
> $db->do("SELECT col FROM table WHERE id=?", undef, $id);
>
> Man bør naturligvis stadigvæk checke sit input, men ovenstående giver
> ingen mulighed for SQL injection.

Eller i ASP bruge Stored Procedures med kommando objekter, der ikke alene er
ekstremt meget hurtigere, det sikre også en langt bedre struktur, gør
parametrene type stærke, renser dem for quoting mærkeligheder og giver
mulighed for finere adgangskontrol til selve databasen.

--



Povl H. Pedersen (07-12-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 07-12-02 00:11

In article <3df0907e$0$250$edfadb0f@dread14.news.tele.dk>, Søren Christensen wrote:
> "Christian Laursen" <xi@borderworlds.dk> wrote in message
> news:m3smxbjrtf.fsf@borg.borderworlds.dk...
>> De fleste anstændige databaser understøtter brugen af placeholders, som
> ikke
>> kun er hurtigere, men også forhindrer de fleste fejl, folk begår i
> forbindelse
>> med quoting af værdier og den slags.
>>
>> I perl kan det fx. se således ud:
>>
>> $db->do("SELECT col FROM table WHERE id=?", undef, $id);
>>
>> Man bør naturligvis stadigvæk checke sit input, men ovenstående giver
>> ingen mulighed for SQL injection.
>
> Eller i ASP bruge Stored Procedures med kommando objekter, der ikke alene er
> ekstremt meget hurtigere, det sikre også en langt bedre struktur, gør
> parametrene type stærke, renser dem for quoting mærkeligheder og giver
> mulighed for finere adgangskontrol til selve databasen.

Stored procedures har et kæmpeproblem som placeholders ikke har.
Og det er at de som hovedregel er meget databasespecifikke.

Oracle, og muligvis db2 kan klare Stored Procedures i Java.
Microsoft har deres sprog til SQL server, og jeg ved ikke med Access ?
MySQL / PostgreSQL er heller ikke ens.

Næh, placeholders er vejen hvis man vil have portabel kode.

Microsoft er sgu for dyr i software. Hvad koster en webserver
med en SQL server der skal på Internet ? Vi antager mere end
10 samtidige web-brugere. (Altså NT server + SQL til Internet).
En standard 2 CPU maskine.

Det er mere end mange firmaer betaler for en komplet webløsning.
--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

F.Larsen (07-12-2002)
Kommentar
Fra : F.Larsen


Dato : 07-12-02 00:20


"Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local> wrote in message
news:slrnav2bk3.17g.povlhp@povl-h-pedersens-computer.local...

> Microsoft er sgu for dyr i software. Hvad koster en webserver
> med en SQL server der skal på Internet ? Vi antager mere end
> 10 samtidige web-brugere. (Altså NT server + SQL til Internet).
> En standard 2 CPU maskine.

omkring de 100KKr i runde tal

--
Flemming
http://home.cbkn.dk/GranCanaria/
http://home.cbkn.dk/Spyware/





Søren Christensen (07-12-2002)
Kommentar
Fra : Søren Christensen


Dato : 07-12-02 01:59


"Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local> wrote in message

> Stored procedures har et kæmpeproblem som placeholders ikke har.
> Og det er at de som hovedregel er meget databasespecifikke.

Hvor ofte er det lige man skifter sin database ud? Hvis man så laver en
generelt system som kan 'bruges' på alle platforme med inline SQL og
scriptsprog bør man nok overveje an anden karriere end den som
systemarkitekt.

> Oracle, og muligvis db2 kan klare Stored Procedures i Java.
> Microsoft har deres sprog til SQL server, og jeg ved ikke med Access ?
> MySQL / PostgreSQL er heller ikke ens.

Du kan ikke sammenligne Access med nogen af de andre databaser du har
nævnt - access er en desktopmaskine med max to brugere samtidigt.

> Næh, placeholders er vejen hvis man vil have portabel kode.

- Og er portabel kode en god ting mht. skalering og sikkerhed? Hvis man
ønsker et så generaliseret websystem, så er det klart at udnyttelse af en
databasens eget indfødte sprog vanskeliggøres til det ubruglige og hvorfor
så bruge sådan en database?

> Microsoft er sgu for dyr i software. Hvad koster en webserver
> med en SQL server der skal på Internet ? Vi antager mere end
> 10 samtidige web-brugere. (Altså NT server + SQL til Internet).
> En standard 2 CPU maskine.

Hvad koster en DB2 og et Oracle setup i samme størrelse? Sidst jeg havde
noget med Oracle at gøre skulle jeg lægge 30K bare for at udvikle mod den -
jeg tør ikke tænke på hvad en Internet licens koster. DB2 kender jeg ikke
prisen på, men nok ikke billig.
Man kunne jo tjekke tpc prisen ud for websystemer, men da det udelukkende
er Microsoft produkter på Top 10 er det ikke så interessant
(http://www.tpc.org/tpcw/results/tpcw_perf_results.asp)
Hvis du mener MS er dyr i enterprise setups så tjek lige tpc-c endnu en
gang - i forhold til DB2, Oracle og de andre enterprise systemer er MS helt
klart den billigste.

Men OK, man har lavet et generaliseret system med script sprog og inline
SQL. Hvor mange ekstra kroner skal man punge ud med for at få en lignende
perfomance som ved DB2, SQL Server eller Oracle? Hvad skal man gøre når
fejlprocenten i eksekveringerne er stødt stigende med antallet af brugere -
bruge penge på konsulenter og ekstra hardware.

Så tror jeg nok hellere jeg vil lave det i C på en IIS med MSDE/MySQL fra
starten og så prutte den op med hardware når jeg har mere end fem hundrede
requests per sekund..

> Det er mere end mange firmaer betaler for en komplet webløsning.

Men disse firmaer har nok heller ikke det stor behov for funktionalitet, ej
heller får de meget mere end et par besøgende i minuttet. Så er et
enterprise setup lidt ligegyldigt.



Povl H. Pedersen (07-12-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 07-12-02 12:00

In article <3df1484e$0$135$edfadb0f@dread14.news.tele.dk>, Søren Christensen wrote:
>> Oracle, og muligvis db2 kan klare Stored Procedures i Java.
>> Microsoft har deres sprog til SQL server, og jeg ved ikke med Access ?
>> MySQL / PostgreSQL er heller ikke ens.
>
> Du kan ikke sammenligne Access med nogen af de andre databaser du har
> nævnt - access er en desktopmaskine med max to brugere samtidigt.

Dete r da en konkurrent til MySQL :)
>
>> Næh, placeholders er vejen hvis man vil have portabel kode.
>
> - Og er portabel kode en god ting mht. skalering og sikkerhed? Hvis man
> ønsker et så generaliseret websystem, så er det klart at udnyttelse af en
> databasens eget indfødte sprog vanskeliggøres til det ubruglige og hvorfor
> så bruge sådan en database?

Placeholders er godt hvis du skriver kode til en kunde. Medmindre
du siger at din løsning er så god , vigtig og betydningsfuld for
kunden at han skal anskaffe sig, og drive en database han ikke har
ekspertise i. Jeg er på en arbejdsplads hvor der skal være MEGET
væsentlige grunde til at anskaffe et produkt der ikke kan køre
med det valg af databasesoftware vi anvender i dag.

>> Microsoft er sgu for dyr i software. Hvad koster en webserver
>> med en SQL server der skal på Internet ? Vi antager mere end
>> 10 samtidige web-brugere. (Altså NT server + SQL til Internet).
>> En standard 2 CPU maskine.
>
> Hvad koster en DB2 og et Oracle setup i samme størrelse? Sidst jeg havde
> noget med Oracle at gøre skulle jeg lægge 30K bare for at udvikle mod den -
> jeg tør ikke tænke på hvad en Internet licens koster. DB2 kender jeg ikke
> prisen på, men nok ikke billig.

Du kan da downloade alle Oracle produkter fra deres website.
Vist nok ikke i enterprise versioner, men så som standard.
Og sidst vi ville ind i varmen dos dem, så mener jeg det kostede
15000 om året, inklusive diverse udviklerlicenser, 10 kursusdage
m.m. - Ikke en specielt dårlig pris.

Men lige nogle priser for sjov skyld til en 2 CPU maskine:
MS SQL server: $9998,-
Oracle: p.t. ingen priser på nettet. Gratis trial
Db2: $1529 x 2 = $3058 (Linux). Gratis trial

> Man kunne jo tjekke tpc prisen ud for websystemer, men da det udelukkende
> er Microsoft produkter på Top 10 er det ikke så interessant
> (http://www.tpc.org/tpcw/results/tpcw_perf_results.asp)
> Hvis du mener MS er dyr i enterprise setups så tjek lige tpc-c endnu en
> gang - i forhold til DB2, Oracle og de andre enterprise systemer er MS helt
> klart den billigste.

Det er sjældent at man opsætter n selvstændige maskine, håndfordeler
requests og data til de enkelte maskiner. TPC kan ikke bruges til
noget seriøst, men jeg er enig i at MS SQL performer i den bedre ende.

> Men OK, man har lavet et generaliseret system med script sprog og inline
> SQL. Hvor mange ekstra kroner skal man punge ud med for at få en lignende
> perfomance som ved DB2, SQL Server eller Oracle? Hvad skal man gøre når
> fejlprocenten i eksekveringerne er stødt stigende med antallet af brugere -
> bruge penge på konsulenter og ekstra hardware.
>
> Så tror jeg nok hellere jeg vil lave det i C på en IIS med MSDE/MySQL fra
> starten og så prutte den op med hardware når jeg har mere end fem hundrede
> requests per sekund..

Sådan skalerer tingene ikke helt.
>
>> Det er mere end mange firmaer betaler for en komplet webløsning.
>
> Men disse firmaer har nok heller ikke det stor behov for funktionalitet, ej
> heller får de meget mere end et par besøgende i minuttet. Så er et
> enterprise setup lidt ligegyldigt.

Enig. Der er nok ikke virksomheder i DK der har behov for et
enterprise setup udover måske webbanker.

--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

Søren Christensen (07-12-2002)
Kommentar
Fra : Søren Christensen


Dato : 07-12-02 13:29


"Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local> wrote in message
news:slrnav3l5p.d1.povlhp@povl-h-pedersens-computer.local...
> In article <3df1484e$0$135$edfadb0f@dread14.news.tele.dk>, Søren
Christensen wrote:
>
> Du kan da downloade alle Oracle produkter fra deres website.
> Vist nok ikke i enterprise versioner, men så som standard.
> Og sidst vi ville ind i varmen dos dem, så mener jeg det kostede
> 15000 om året, inklusive diverse udviklerlicenser, 10 kursusdage
> m.m. - Ikke en specielt dårlig pris.

Lyder meget rimeligt. Lidt ligesom MSDN hos MS - omkring $1800 om året for
en udviklerlicens til alle deres produkter, plus noget support der som regel
aldrig er god.

>
> Men lige nogle priser for sjov skyld til en 2 CPU maskine:
> MS SQL server: $9998,-
> Oracle: p.t. ingen priser på nettet. Gratis trial
> Db2: $1529 x 2 = $3058 (Linux). Gratis trial

Jeg skal lige have fat i din forhandler for jeg får disse priser:
(Enterprise baseret per processor)
MS SQL Server: $25.498,7 (amazon)
DB2: $25.000 (IBM online)

Så vi skal op i $50.000 størrelsen for at lægge softwaren på en 2CPU
maksine. Jeg skal altså høre nogle ret gode argumenter for at en 10 client
(pooled) licens ikke er god nok hvis jeg skal bare overveje at købe
enterprise ting..

> Enig. Der er nok ikke virksomheder i DK der har behov for et
> enterprise setup udover måske webbanker.

Men sjovt nok ser man jo SQL server ret mange steder. Jeg gad nok vide om
der virkelig er betalt licens for dem, eller om de bare er installeret fra
en MSDN CD. Jeg nægter at tro på at der er ret mange der har poolet client
adgangen til serveren og overholder licens tilgangen med de dertil
indbyggede værktøjer - men det er dog bare et skummelt gæt.



Povl H. Pedersen (07-12-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 07-12-02 15:13

In article <3df1ea65$0$139$edfadb0f@dread14.news.tele.dk>, Søren Christensen wrote:
>> Og sidst vi ville ind i varmen hos dem, så mener jeg det kostede
>> 15000 om året, inklusive diverse udviklerlicenser, 10 kursusdage
>> m.m. - Ikke en specielt dårlig pris.
>
> Lyder meget rimeligt. Lidt ligesom MSDN hos MS - omkring $1800 om året for
> en udviklerlicens til alle deres produkter, plus noget support der som regel
> aldrig er god.

Oracle kurserne var OK. Og ville være dyrere end abonnementet
hvis de kulle købes i løs handel.

>> Men lige nogle priser for sjov skyld til en 2 CPU maskine:
>> MS SQL server: $9998,-
>> Oracle: p.t. ingen priser på nettet. Gratis trial
>> Db2: $1529 x 2 = $3058 (Linux). Gratis trial
>
> Jeg skal lige have fat i din forhandler for jeg får disse priser:
> (Enterprise baseret per processor)
> MS SQL Server: $25.498,7 (amazon)
> DB2: $25.000 (IBM online)

Jeg brugte ikke enterprise versioner, men std. versioner. Og her
er der 50% rabat på Linux versionen.

> Så vi skal op i $50.000 størrelsen for at lægge softwaren på en 2CPU
> maksine. Jeg skal altså høre nogle ret gode argumenter for at en 10 client
> (pooled) licens ikke er god nok hvis jeg skal bare overveje at købe
> enterprise ting..

Prisen er høj, men så er det vel også med clustering, fail-over etc ?

>> Enig. Der er nok ikke virksomheder i DK der har behov for et
>> enterprise setup udover måske webbanker.
>
> Men sjovt nok ser man jo SQL server ret mange steder. Jeg gad nok vide om
> der virkelig er betalt licens for dem, eller om de bare er installeret fra
> en MSDN CD. Jeg nægter at tro på at der er ret mange der har poolet client
> adgangen til serveren og overholder licens tilgangen med de dertil
> indbyggede værktøjer - men det er dog bare et skummelt gæt.

En standard $5000/CPU er nok til en web licens. Og for 1-2 år siden
var prisen vist nok lidt lavere. Noget med 12000 kr for en SQL server
+ 25000 for en Internet licens. Begge dele pr. CPU.

Jeg er også langt fra sikker på, at hostingfirmaer har betalt
deres licens for SQL servere på Internet. Der skal mange penge
ind for at betale de 50-60000 kr som hardware + software
koster.
--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

Kent Friis (05-12-2002)
Kommentar
Fra : Kent Friis


Dato : 05-12-02 17:45

Den Thu, 5 Dec 2002 13:17:42 +0000 (UTC) skrev Povl H. Pedersen:
>Jeg har ikke testet om shopman.dk har et SQL inject problem,
>men i Mozilla på Mac OS X, da står nedenstående øverst på
>forsiden. Er vi ikke enige om, at det tyder på at der måske
>er problemer på sitet ?
>
>Eller som minimum at det har været udsat for
>sub-optimal test ?

Nej, det viser ikke noget som helst. Maskinen har været totalt
overbelastet, og har i perioder fået lov til at levere siderne som
statiske sider (uden at udføre ASP'en), bare for at kunderne skulle
få et svar overhovedet. Længere nede på siden var der faktisk (da
jeg var inde) beskeden "Vi beklager, siden er overbelastet, kig forbi
senere". Ikke optimalt, men dog pænere end "500-13 server too busy", som
den gav i starten.

(Jeg kender ham der har lavet siden, men jeg har ikke selv noget med
den at gøre, så jeg hverken kan eller vil udtale mig om sikkerheden).

Mvh
Kent
--
Exception 0E in module IFSMGR.VXD
Press control-alt-delete to reboot

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste