четверг, 16 октября 2008 г.

Выступление SQADays 2008

Нечаянно набрел в сети на видео. Весной участвовал в конференции братской хартии - специалистов по качеству ПО. Да, да это те самые люди, которые вместо bugtraq пишут bugtrack. С ошибкой в общем. Как оказалось, проблематика у нас, особенно в области Application Security достаточно сильно пересекается, как и инструментарий. Однако тестировщикам чаще верят на слово - не приходится ничего "доламывать" для обоснования затрат. Верят на слово. Оно и понятно - QA обычно часть процесса разработки, а не приходящие наёмники, мешающие сдать проект в срок.

Доклад общеметодический и достаточно нудный :)

Видео:



Презентация:

Sergey Gordeychik SQADays 2008
View SlideShare presentation or Upload your own. (tags: web security)

2 комментария:

Igor Orlov комментирует...

Здавствуйте, спасибо за отличный доклад. Меня как QA и аналитика веб приложения с точки зрения безопасности по совместительству заинтересовал следующий момент. В докладе Вы сказали что sql инъекции, к примеру, в рассматриваемом приложении не было, но она была на уровне БД, через ошибкт в хранимках, как я понял. Буду признателен за линк на описание подхода к выявлению такого рода инъекций. Интересует БД от Microsoft (MS SQL). Спасибо.

Sergey Gordeychik комментирует...

Если доступа к исходным кодам нет, то подход достаточно стандартный - фаззинг и анализ реакции. По обратной связи SQLi в хранимых процедурах мало отличается от других подобных багов.

Если есть доступ к исходному коду, то анализировать на предмет вызова динамического SQL, например в приведенном ниже примеры (первое с google) есть SQLi.


CREATE PROCEDURE myDynamicMode (@Column NVARCHAR(128), @Table NVARCHAR(128))



AS

DECLARE @SQL NVARCHAR(4000)

SET @SQL='SELECT '+@Column+' AS Mode FROM '+@Table+' GROUP BY '+@Column+' HAVING COUNT(*) =


EXEC(@SQL)