< HomePage | Снимки
<- Понеделник, 8 Март 2004 | Начална страница | Сряда, 10 Март 2004 ->
Вторник, 9 Март 2004

Подготовката през почти целият ден за лекцията по мрежова сигурност имаше значение. Лекцията мина доста добре (не само според мен). Говорех за принципите за писане на сигурен код и методите за постигането на тези принципи. Малко се притеснявах, че времето е твърде много, но се оказа, че наистина има много неща, който не бяха казани. С помоща на Пенчев, ManiaX-а и fliflop всичко беше изяснено с примери и мисля, че на хората им стана ясно за какво говорим. През вторият час говорихме за SQL Injection и Shell injection.

Хубавото на тези курсове е че дори ние като преподавателски екип, винаги можем да научим нещо ново един от друг. Аз например не знаех, че в mysql може да има user defined functions (UDF), който са компилирани и са в shared библиотеки. Още един интересен вектор за атака ако имаш възможност да дефинираш такива функции и можеш да си качиш .so файла по някакъв начин на сървъра.

Приятна изненада беше снегът, който валеше след като излязохме от ФМИ. При идването ми беше гаден дъжд.

[ Коментари: 1 ]
Коментари

Както споменах на лекцията всъщност, UDF-и има във *всеки* SQL сървър (или engine, или както го наречеш). Tова включва дори емулации на SQL синтаксис като JetSQL (по-печално-известна на повечето хора като MS Access), но не и чисти *интерфейси* към database драйвери, като примерно Borland Database Engine, Microsoft Data Access Components или Perl DBI.

Написа Петър Пенчев (www) на 11-Mar-2004 07:14