|
From
|
pix <pix@rfc1925.net>
|
|
Date
|
Thu, 10 Jul 2003 16:00:58 +0200
|
|
Subject
|
Re: [hackmeeting] Secure WIN 2000
|
Elettrico wrote:
>sc379@interfree.it wrote:
>
>
>>2. La macchina che voglio assicurare č un server, con
>> installato S.O. WIN 2000 server. vi č un sito web, con
>> funzionalitą di e-commerce (scritto in sql)
>>
>>
>
>e' imporbabile che un sito di e-commerce sia scritto in sql. sql
>(structured query language) e' un linguaggio per interrogare il database
>(che immagino sia ms sql). il sito sara' scritto con un linguaggio
>server-side, immagino asp.
>probabilmente, considerando l'ambiente, ti conviene verificare i buchi
>di ms sql.
>le falle di sicurezza nelle query invece le devi testare a manina.
>
>
>
e dai......, se pontifichi fallo sul serio.
di falle nella sicurezza nelle query SQL ne trova poche di sicuro.
piu' probabile che ci siano errori di logica.
spesso le regole di integrita' referenziale non sono applicate.
ma si torna sempre alla cognizione del programmatore.
se vuoi un controesempio (mal)funzionante vai su www.sedoc.it e segui il
link verso i loro clienti e-commerce.
puoi ordinare salami nel negozio A, uscire, rientrare nel negozio B
(ferramenta) ordinare chiodi e trovare nel "carrello" chiodi e salami.
rimuovi i chiodi ed ordini salami al ferramenta.
e' solo un esempio, non si esaurisce qui il discorso e-commerce. dipende
anche da come il DB e le tabelle sono strutturate e linkate. se dovessi
farti un danno non attaccherei SQL o WIN ol FW, ma l' applicativo.
bye
pix
--
Network Working Group R. Callon, Editor
Request for Comments: 1925 IOOF
(1) It has to work.
Ross Callon
_______________________________________________
hackmeeting mailing list
hackmeeting@kyuzz.org
http://lists.kyuzz.org/mailman/listinfo/hackmeeting
![[<--]](/icons/prev.gif){kind=icon}
![[-->]](/icons/next.gif){kind=icon}