27 Sty
2020
27 Sty
'20
12:59
Dnia 2020-01-27, o godz. 12:52:13 Tomasz Chiliński tomasz.chilinski@chilan.com napisał(a):
Swoją drogą niedawno w inetLMS/iLMS można było wykraść dane wszystkich klientów nie wykorzystując SQL injection, a po prostu podmieniają ID faktury w pasku adresu przeglądarki www, więc nawet SQL injection nie musi być jak widać potrzebny ;-)
Wektory ataku mogą być różne. SQL injection to tylko jeden z nich. Przy okazji szukam jakiegoś sensownego zabezpieczenia samego apache w warstwie 7 serwerem proxy z dobrymi filtrami "content type" najlepiej aktualizowanymi na bieżąco.
Krzysztof