Защита от хакеров?

@Vodizzz · Регистрация: 26.06.2012

Author24 — интернет-сервис помощи студентам

Здравствуйте!

Хочу спросить

Мои страницы принимают какие-то значения из адресной строки. Как можно определить, что там не были переданы вредоносные параметры? Ведь как-то можно передать параметры, которые испортят всю мою программу на ASP?

@pl · 12.02.2007, 17:08

Построй логику скрипта так, чтобы он выбирал тот или иной путь выполнения в зависимости от параметров, но не использовал сами параметры или использовал их минимально с проверкой на допустимые значения.

@bazile · 12.02.2007, 18:11

Проверяй допустимость значения каждого параметра приводя их к безапасному виду, а неправильные значения игнорируй подставляя вместо них значения по умолчанию или выдавай соощение об ошибке. К примеру, если параметр это число, то приводи его к целому типу и если нужно проверяй что он входит в ожидаемый диапазон. Если это строка, то можно проверять наличие запрещеных символов (с помощью регулярных выражений), а также максимальную длину. Параметры которые ты не читаешь и не используешь принести вред твоему скрипту не могут. Кроме того многое зависит от того как ты используешь значения этого параметра. Если выводишь на страницу, то возможно сущестование XSS уязвимости, используеьш в sql запросе - sql injection уязвимость. И т.д.

12.02.2007, 19:54

Один из методов хакеров: С помощью параметров пытаются задать такую комбинацию, которая может привести к изменению SQL-запроса. Чтобы, например, спровоцировать ошибку. Если обработчик ошибки стандартный, то по генерируемому сообщению можно получить некоторую информацию об организации сайта и в дальнейшем использовать её для взлома. Реально 2 раза сам наблюдал такие попытки завалить сайты.
Защита актуальна и когда вы не хотите чтобы спам-роботы заполняли формы на Ваших сайтах.

Новые блоги и статьи
В чем отличие между INNER JOIN и OUTER JOIN bytestream 22.01.2025 В современных базах данных информация часто распределена между множеством взаимосвязанных таблиц, что делает операции объединения JOIN неотъемлемой частью работы с SQL. Эти операции позволяют. . .	Как сделать первую букву заглавной в JavaScript bytestream 22.01.2025 JavaScript предоставляет разработчикам множество инструментов для эффективной работы с текстовыми данными. Одной из часто встречающихся задач при обработке строк является преобразование первой буквы. . .	Что такое Big O нотация и алгоритмическая сложность bytestream 22.01.2025 Введение в алгоритмическую сложность В мире разработки программного обеспечения эффективность алгоритмов играет crucial роль в создании качественных приложений. Алгоритмическая сложность. . .	Как решать конфликты слияния (merge) в Git bytestream 22.01.2025 Конфликты слияния в системе контроля версий Git возникают в ситуациях, когда две или более ветки разработки содержат несовместимые изменения в одних и тех же участках кода. Эти конфликты представляют. . .	Как использовать регулярные выражения bytestream 22.01.2025 Регулярные выражения представляют собой мощный инструмент для работы с текстовыми данными, который позволяет осуществлять поиск, проверку и манипуляцию строками на основе определенных шаблонов. Этот. . .	Как выйти из Vim bytestream 22.01.2025 Vim (Vi IMproved) представляет собой один из самых влиятельных текстовых редакторов в истории компьютерной индустрии, эволюционировавший из своего предшественника Vi, созданного Биллом Джоем в 1976. . .
NoSQL базы данных: что это такое и какие существуют bytestream 22.01.2025 В современную эпоху цифровой трансформации объемы данных растут экспоненциально, создавая новые вызовы для традиционных систем управления базами данных. NoSQL (Not Only SQL) представляет собой. . .	Обновление исследования от команды MCM (январь 2025 г.) Programma_Boinc 22.01.2025 Обновление исследования от команды MCM (январь 2025 г. ) Мы продолжаем изучать молекулярные сигнатуры, связанные с раком легких, с текущим фокусом на GCM1, факторе транскрипции, участвующем в. . .	Как работать с Kafka в Go (Golang) bytestream 22.01.2025 Apache Kafka представляет собой распределенную платформу потоковой передачи данных, которая произвела революцию в области обработки событий и интеграции микросервисов. Эта система, изначально. . .	Как использовать RabbitMQ в Go (Golang) bytestream 22.01.2025 RabbitMQ представляет собой надежный и широко используемый брокер сообщений, который играет ключевую роль в построении современных распределенных систем и микросервисной архитектуры. В основе работы. . .	Как преобразовать список списков в простой список в Python bytestream 22.01.2025 При работе с Python разработчики часто сталкиваются с необходимостью обработки сложных структур данных, среди которых особое место занимают вложенные списки. Эти структуры представляют собой списки,. . .	Что такое GUID / UUID и как их создать bytestream 22.01.2025 В мире разработки программного обеспечения существует постоянная потребность в уникальной идентификации объектов, записей и ресурсов. Эта задача становится особенно актуальной в распределенных. . .

@Vodizzz 0 / 0 / 1 Регистрация: 26.06.2012 Сообщений: 275
		1
	Защита от хакеров? 12.02.2007, 16:41. Показов 2687. Ответов 3 Метки нет (Все метки) Здравствуйте! Хочу спросить Мои страницы принимают какие-то значения из адресной строки. Как можно определить, что там не были переданы вредоносные параметры? Ведь как-то можно передать параметры, которые испортят всю мою программу на ASP? 0

@pl 51 / 17 / 6 Регистрация: 18.05.2007 Сообщений: 1,322
	12.02.2007, 17:08	2
	Построй логику скрипта так, чтобы он выбирал тот или иной путь выполнения в зависимости от параметров, но не использовал сами параметры или использовал их минимально с проверкой на допустимые значения. 0

@bazile 86 / 62 / 69 Регистрация: 15.03.2007 Сообщений: 6,906
	12.02.2007, 18:11	3
	Проверяй допустимость значения каждого параметра приводя их к безапасному виду, а неправильные значения игнорируй подставляя вместо них значения по умолчанию или выдавай соощение об ошибке. К примеру, если параметр это число, то приводи его к целому типу и если нужно проверяй что он входит в ожидаемый диапазон. Если это строка, то можно проверять наличие запрещеных символов (с помощью регулярных выражений), а также максимальную длину. Параметры которые ты не читаешь и не используешь принести вред твоему скрипту не могут. Кроме того многое зависит от того как ты используешь значения этого параметра. Если выводишь на страницу, то возможно сущестование XSS уязвимости, используеьш в sql запросе - sql injection уязвимость. И т.д. 0

prosto
	12.02.2007, 19:54	4
	Один из методов хакеров: С помощью параметров пытаются задать такую комбинацию, которая может привести к изменению SQL-запроса. Чтобы, например, спровоцировать ошибку. Если обработчик ошибки стандартный, то по генерируемому сообщению можно получить некоторую информацию об организации сайта и в дальнейшем использовать её для взлома. Реально 2 раза сам наблюдал такие попытки завалить сайты. Защита актуальна и когда вы не хотите чтобы спам-роботы заполняли формы на Ваших сайтах.