oleksandrblazhko
commented
1 year ago Оцінка = 7 балів. Дякую за активність!
Closed VIVAskAVIV closed 1 year ago
oleksandrblazhko
commented
1 year ago Оцінка = 7 балів. Дякую за активність!
Варіант 1. CVE-2022-4566 Запитання № 1
Вразливість знайдено у y_project RuoYi 4.7.5. https://ruoyi.vip/ RuoYi - Система управління повноваженнями на основі SpringBoot від кітайських авторів.
Споживачами даної бібліотеки є розробники на Java.
Запитання № 2 У y_project RuoYi 4.7.5 виявлено вразливість, класифіковану як критичну. Ця проблема впливає на невідому обробку файлу com/ruoyi/generator/controller/GenController. Маніпуляції призводять до впровадження sql. Назва патча 167970e5c4da7bb46217f576dc50622b83f32b40. Щоб вирішити цю проблему, рекомендується застосувати патч. Пов’язаний ідентифікатор цієї вразливості – VDB-215975.
Запитання № 3 Уразливий код: 'public static String SQL_REGEX ="select |insert |delete |update |drop |count |exec |chr |mid |master |truncate |char |and |declare ";'
Код після виправлення: 'public static String SQL_REGEX = "and |extractvalue|updatexml|exec |insert |select |delete |update |drop |count |chr |mid |master |truncate |char |declare |or |+|user()";'
Запитання № 4 У наш час Інтернет стає широко поширеною інформаційною інфраструктурою. Тоді як веб-додатки стали найбільш адекватним способом надання доступу до онлайн-сервісів через Інтернет. Веб-додатки стають широко поширеними у всіх видах комерційного, корпоративного бізнесу, установ, організацій, численних фінансових операцій та інших послуг на основі Інтернету. Вони часто зберігають цінну та конфіденційну інформацію, що робить їх хорошою мішенню для загроз проникнення, які можуть бути досягнуті шляхом впровадження бази даних. Якщо неавторизований користувач може отримати конфіденційну інформацію, надіславши зловмисний код і спричинивши простої та збитки для служб. Таким чином, безпека стала однією з головних проблем за останні роки, оскільки більшість веб-додатків страждають від уразливостей, які роблять їх привабливими цілями для атак безпеки. Однак важливо забезпечити захист веб-додатків від цільових SQLIA. Атака впровадження мови структурованих запитів (SQLIA) є найпоширенішою та шкідливою для онлайн-сервісів через веб-додатки. Ця атака використовує переваги довіри, що існує між користувачами та сервером, а також використовує функцію відсутності перевірки введення/виведення на сервері для відхилення шкідливих кодів. Крім того, SQLI — це техніка, яка загрожує рівню бази даних веб-додатку через наявну вразливість безпеки програми. Це вид атаки, який використовує переваги неправильного кодування через програму. Справді, згідно з Open Web Application Security Project (OWASP), SQLIA була віднесена до 10 найбільших уразливостей веб-додатків у 2013 році. SQLIA є поширеним і домінуючим класом серйозних атак на веб-додатки. Отже, можна легко надати розробнику незаконний доступ до основної бази даних у веб-додатку, таким чином отримати повний контроль над системою, що спричинило збитки для корпорацій у мільйони доларів. Збережені процедури — це підпрограми або колекції SQL-запитів або інструкцій, що зберігаються в базі даних, яка знаходиться в RDBMS. Збережені процедури (SP) є важливою частиною сучасних веб-додатків і зберігаються на стороні сервера, щоб вони могли бути доступними для всіх клієнтів. Крім того, атака SQL-ін’єкції збережених процедур є однією з серйозних атак, які створюють загрози базі даних у базовій базі даних, яка лежить в основі веб-додатків. У той час як атака може бути створена для виконання збережених процедур, які надаються конкретною базою даних, охоплюючи процедури, які мають справу з операційною системою. Це дослідження зосереджено на аналізі та вирішенні проблемних атак SQL-ін’єкцій, щоб виявити ці атаки в реальному середовищі за допомогою концепції динамічного позитивного забруднення та оцінки веб-додатку з урахуванням синтаксису для розробки техніки реального часу. Основним внеском цього дослідження є: розробка інструменту WASP, який був запропонований Halfond, 2008, для виявлення атак SQL-ін’єкцій у веб-додатках реального часу, оцінка точності результатів запропонованої методики на основі стандартних показників продуктивності ( хибнонегативні та хибнопозитивні), а також виконувати оцінку ефективності техніки в практиках на основі показників ефективності. Решта цієї статті організована таким чином: У розділі 2 представлено постановку проблеми дослідження. Розділ 3 розглядає та обговорює роботу, яка була виконана для боротьби з конкретними атаками. Надайте чіткий опис запропонованого дизайну в розділі 4. Впровадження та тестування запропонованого інструменту буде представлено та обговорено в розділі 5. Розділ 6 представляє емпіричну оцінку та аналіз запропонованого інструменту. І, нарешті, у розділі 7 буде наведено висновок і окреслено майбутню сферу застосування.