English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Hỏi về sql ịnection  XML
  [Question]   Hỏi về sql ịnection 22/11/2010 20:19:16 (+0700) | #1 | 225368
hainm2090
Member
[Minus]    0    [Plus]
Joined: 10/09/2010 08:02:41
Messages: 8
Offline
[Profile] [PM]
Dạ em là newbie nên mong mấy đại ca chỉ dùm đừng xỉ nhục nha smilie
Em đang làm luận văn . Đề tài là làm cái firewall bằng C++,trong đó có chức năng phát hiện sql injection để báo cho admin.Theo mình nghĩ thì muốn làm vậy mình phải kiểm tra url nhập vào từ client.Nhưng mà làm sao để kiểm tra ,em xin mấy đại ca chỉ giáo ạ!!!
[Up] [Print Copy]
  [Question]   Hỏi về sql ịnection 23/11/2010 01:17:34 (+0700) | #2 | 225382
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

hainm2090 wrote:
Dạ em là newbie nên mong mấy đại ca chỉ dùm đừng xỉ nhục nha smilie
Em đang làm luận văn . Đề tài là làm cái firewall bằng C++,trong đó có chức năng phát hiện sql injection để báo cho admin.Theo mình nghĩ thì muốn làm vậy mình phải kiểm tra url nhập vào từ client.Nhưng mà làm sao để kiểm tra ,em xin mấy đại ca chỉ giáo ạ!!! 


URL nằm ở đâu và tường lửa dạng nào có thể kiểm tra URL? Tại sao firewall lại làm công tác "phát hiện" rồi "báo cho admin" là sao?

PS: nên tự tin mà gởi thảo luận + thắc mắc. Chẳng ai "xỉ nhục" bồ hết. Miễn sao bồ trình bày cho rõ ràng và chứng tỏ có quan tâm và cố gắng tìm giải pháp cho vấn đề của mình đặt ra (chớ không phải chỉ thảy một câu lên và chờ... sung rụng).
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Hỏi về sql ịnection 23/11/2010 10:52:06 (+0700) | #3 | 225401
PT2987
Member
[Minus]    0    [Plus]
Joined: 18/11/2010 21:56:12
Messages: 23
Offline
[Profile] [PM]

hainm2090 wrote:
Dạ em là newbie nên mong mấy đại ca chỉ dùm đừng xỉ nhục nha smilie
Em đang làm luận văn . Đề tài là làm cái firewall bằng C++,trong đó có chức năng phát hiện sql injection để báo cho admin.Theo mình nghĩ thì muốn làm vậy mình phải kiểm tra url nhập vào từ client.Nhưng mà làm sao để kiểm tra ,em xin mấy đại ca chỉ giáo ạ!!! 


Mình nghĩ bạn nên tìm hiểu xem SQL ịnection là cái gì ? và nó có liên quan gì tới firewall hay không?
càng học càng thấy mình ngu smilie
[Up] [Print Copy]
  [Question]   Hỏi về sql ịnection 23/11/2010 11:59:16 (+0700) | #4 | 225404
hainm2090
Member
[Minus]    0    [Plus]
Joined: 10/09/2010 08:02:41
Messages: 8
Offline
[Profile] [PM]
Đề tài của mình như sau :"Nghiên cứu phát hiện tấn công SQL Injection và DOS vào Cơ sở dữ liệu và bổ sung chức năng bảo vệ cho firewall mã nguồn mở".
Hiện giờ mình đang lo phần "Nghiên cứu phát hiện tấn công SQL Injection".Theo mình nghĩ là để phát hiện SQL Ịnection thì mình cần check URL gởi từ client trước khi sever xử lí trong database ,không biết mình nghĩ vậy có đúng không ,mong các đại ca chỉ giùm !!!
[Up] [Print Copy]
  [Question]   Hỏi về sql ịnection 25/11/2010 20:59:08 (+0700) | #5 | 225483
[Avatar]
 nhocbmt
Member
[Minus]    0    [Plus]
Joined: 26/06/2006 17:55:21
Messages: 75
Location: Ban Mê City
Offline
[Profile] [PM] [WWW]
"Phát hiện" và "ngăn chặn" khác nhau bạn ui ( mình nghĩ vậy ) smilie Bạn muốn firewall của bạn dùng để "phát hiện" thôi là là " phát hiện + ngăn chặn" luôn ?

SQL Injection hay DoS vào CSDL mình nghĩ nó cũng chỉ đi qua 2 đường POST và GET đến CSDL, bạn thử nghiên cứu firewall của bạn muốn nói và 2 cái method đó xem smilie

Chúc may mắn và thành công.

- Thân.
[Up] [Print Copy]
  [Question]   Hỏi về sql ịnection 25/11/2010 22:14:47 (+0700) | #6 | 225496
hainm2090
Member
[Minus]    0    [Plus]
Joined: 10/09/2010 08:02:41
Messages: 8
Offline
[Profile] [PM]
Giờ mình muốn làm sao kiểm tra được các parameter được gởi từ web client lên server đó bạn ,nhưng mình ko biết cách kiểm soát các parameter này ,bạn nào biết thì giúp mình với !!!
[Up] [Print Copy]
  [Question]   Hỏi về sql ịnection 26/11/2010 03:06:48 (+0700) | #7 | 225517
cloud_07
Member
[Minus]    0    [Plus]
Joined: 17/06/2009 23:41:38
Messages: 7
Offline
[Profile] [PM]
Firewall có chức năng bảo vệ mạng tin cậy khỏi các mạng không tin cậy, nó không phải là IPS để phát hiện tấn công và ngăn chặn tấn công.
Nó đơn giản chỉ là "cho phép" và "Không cho phép".
Với các firewall hoạt động ở tầng ứng dụng thì tất nhiên có thể ngăn chặn được một số ứng dụng chứ phát hiện tấn công thì lại khác hoàn toàn.
SQL injection liên quan đến việc lập trình cơ sở dữ liệu không an toàn, không thực hiện kiểm tra dữ liệu đưa lên từ người dùng, chưa phân quyền tốt cho việc truy nhập vào CSDL...
Để kiểm tra được các parameter được gởi từ web client lên server thì bạn cần sử dụng một bộ lọc như PHP input filter, HTML Safe hay HTML purifier để lọc các ký tự nhạy cảm trong các request từ client.
[Up] [Print Copy]
  [Question]   Hỏi về sql ịnection 26/11/2010 11:47:27 (+0700) | #8 | 225572
hainm2090
Member
[Minus]    0    [Plus]
Joined: 10/09/2010 08:02:41
Messages: 8
Offline
[Profile] [PM]
@ cloud_07 : À bạn ơi ,vấn đề của mình có thể coi là mình đang viết 1 chương trình bằng C++ ,trong đó mình cần phải kiểm tra được các parameter gởi lên từ web client (phương thức GET hoặc POST) .Nhưng mình ko biết làm sao để can thiệp vào và lấy được các parameter này ,bạn có cách nào ko chỉ mình dzới .
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|