The Diary

Вторник, 9 Март 2004

Подготовката през почти целият ден за лекцията по мрежова сигурност имаше значение. Лекцията мина доста добре (не само според мен). Говорех за принципите за писане на сигурен код и методите за постигането на тези принципи. Малко се притеснявах, че времето е твърде много, но се оказа, че наистина има много неща, който не бяха казани. С помоща на Пенчев, ManiaX-а и fliflop всичко беше изяснено с примери и мисля, че на хората им стана ясно за какво говорим. През вторият час говорихме за SQL Injection и Shell injection.

Хубавото на тези курсове е че дори ние като преподавателски екип, винаги можем да научим нещо ново един от друг. Аз например не знаех, че в mysql може да има user defined functions (UDF), който са компилирани и са в shared библиотеки. Още един интересен вектор за атака ако имаш възможност да дефинираш такива функции и можеш да си качиш .so файла по някакъв начин на сървъра.

Приятна изненада беше снегът, който валеше след като излязохме от ФМИ. При идването ми беше гаден дъжд.

Коментари

Както споменах на лекцията всъщност, UDF-и има във *всеки* SQL сървър (или engine, или както го наречеш). Tова включва дори емулации на SQL синтаксис като JetSQL (по-печално-известна на повечето хора като MS Access), но не и чисти *интерфейси* към database драйвери, като примерно Borland Database Engine, Microsoft Data Access Components или Perl DBI.

Написа Петър Пенчев (www) на 11-Mar-2004 07:14

---

Disclaimer: Except where otherwise noted all opinions expressed here are personal
opinions of the author and do not reflect official opinions of my employer or
any other person, company or organization associated with the author.

Copyright: Except where otherwise noted the content of this site is licensed under a
Creative Commons Attribution License. Текстът на договора за ползване на български
Copyright (cc) 2003-2011 Georgi Chorbadzhiyski. Some rights reserved.
Comments, texts and pictures not signed by me are property of their respective owners.