[Owasp-brazilian] validação de banco de dados

Fernando Cima fcima at microsoft.com
Mon Dec 28 09:10:35 EST 2009


Oi Marcelo,

Qual seria a ameaça que você quer evitar?

Se eu entendi direito a sua idéia, isso não seria proteção nenhuma contra por exemplo um SQL injection ou CSRF, ou cenários onde o servidor Web foi comprometido.

Abraços,

- Fernando Cima

From: owasp-brazilian-bounces at lists.owasp.org [mailto:owasp-brazilian-bounces at lists.owasp.org] On Behalf Of marcelojunior at superig.com.br
Sent: segunda-feira, 28 de dezembro de 2009 11:06
To: owasp-brazilian at lists.owasp.org
Subject: Re: [Owasp-brazilian] validação de banco de dados

Olá chará,

Por páginas eu me referi à todas as webpages (asp´s ou php´s) da internet ou extranet que fazem interação com a base (input, exclude, edit)...
O link do projeto me deu novas idéias...o produto é muito bacana! Obrigado pela dica.
É uma outra abordagem, mas que pode levar-nos à resultado parecido...
Com o produto eu consigo listar quais são as interações permitidas e isso limitaria bastante as "sql statements" que não são conhecidas e portanto não poderíam partir das páginas legítimas, apesar de não garantir de fato a procedência da query e nem inserir verificadores na base para "check" posterior como havíamos pensado.

Abs. Marcelo Jr.

Marcelo M. Fleury escreveu:

"geração de hash em todas as páginas que interagem com o banco,

garantindo que somente as transações "legais" oriundas dessas páginas

possam ter a capacidade de gera-la" O que seriam essas paginas ?



Existe um projeto chamado GreenSQL que é inclusive open source, veja:

http://www.greensql.net/



Traz o conceito de firewall para a camada de dados, apesar de não ter

ele em produção, achei fantástico o seu propósito. Se você partir para

uma solução caseira, acredito que além dos hash's que são difíceis de

manter e com uma maior custo computacional, seria legal pensar em

regex, claro sempre atento para as maneiras de bypassar as

assinaturas,,, multiline, encoding(com acentos... tem um post

interessante do nash sobre isso aqui na lista).



[]s






-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20091228/628af2b3/attachment-0001.html 


More information about the Owasp-brazilian mailing list