Андрей Лисниченко "SQL Injection"
0 likes230 views
Доклад Андрея Лисниченко посвящен SQL-инъекциям, распространённой уязвимости в приложениях Java EE, и тому, как повысить качество и безопасность продукта. Он обсуждает инструменты для защиты от SQL-инъекций, рекомендуя использование ORM с параметризированными запросами. Также он делится личным опытом, подчеркивая важность проверки кода с помощью сканеров.
Андрей Лисниченко "SQL Injection"
- 1. www.luxoft.com SQL injection Andriy Lisnichenko 28 April 2016
- 2. www.luxoft.com SQL injection - что это? SQL - (англ. structured query language — «язык структурированных запросов») — формальный непроцедурный язык программирования, применяемый для создания, модификации и управления данными в произвольной реляционной базе данных Injection - Injection flaws, particularly SQL injection, are common in Java EE applications. Injection occurs when user-supplied data is sent to an interpreter as part of a command or query. The attacker’s hostile data tricks the interpreter into executing unintended commands or changing data.
- 3. www.luxoft.com О чем не будем сегодня говорить Опускаем обсуждение паттернов взлома программ. Не говорим о способах вычисления структуры БД. Валидацию входных параметров. Демонстрация SQL аттак.
- 4. www.luxoft.com О чем же доклад Как сделать продукт качественным и безопасным. Какие существуют для этого инструменты. Немного личного опыта.
- 6. www.luxoft.com OWASP Open Web Application Security Project https://www.owasp.org/index.php/Main_Page
- 9. www.luxoft.com Защитит ли нас от SQL injection использование различных ORM?
- 10. www.luxoft.com Использование ORM Плохой стиль – не рекомендую. List results = session.createQuery("from Orders as orders where orders.id = " + currentOrder.getId()).list(); List results = session.createSQLQuery("Select * from Books where author = " + book.getAuthor()).list();
- 11. www.luxoft.com Использование ORM Рекомендую. Query hqlQuery = session.createQuery("from Orders as orders where orders.id = ?"); List results = hqlQuery.setString(0, "123-ADB-567-QTWYTFDL").list(); Query hqlQuery = session.createQuery("from Employees as emp where emp.incentive > :incentive"); List results = hqlQuery.setLong("incentive", new Long(10000)).list(); List items = new ArrayList(); items.add("book"); items.add("clock"); items.add("ink"); List results = session.createQuery("from Cart as cart where cart.item in (:itemList)").setParameterList("itemList", items).list();
- 12. www.luxoft.com Использование ORM Query hqlQuery = session.createQuery("from Books as books where book.name = :name and book.author = :author"); List results = hqlQuery.setProperties(javaBean).list(); Query sqlQuery = session.createSQLQuery("Select * from Books where author = ?"); List results = sqlQuery.setString(0, "Charles Dickens").list();
- 13. www.luxoft.com Личный опыт Используйте сканер для проверки кода Разные сканеры дают «одинаковые» отчеты Хороший код = хороший отчет = качественный продукт Конкатенация строк в данном ракурсе - это зло
- 14. www.luxoft.com Спасибо за внимание Андрей Лисниченко AALisnichenko@luxoft.com