SQL Injection su URL, non su parametri

5

Dovrebbe WAF o qualsiasi metodo di protezione, bloccare SQLi su URL? (es. GET / test / url'or 1 = 1 -)

    
posta Ihab 24.06.2011 - 20:00
fonte

1 risposta

6

Sì. L'ultima versione di ModSecurity, 2.6.0, consente di disabilitare argomenti specifici in base alla regola. Ciò consentirà una sintonizzazione più semplice all'app per la rimozione dei falsi positivi (e poiché non è solo l'intero URI per regola ci saranno meno, anche se alcuni, falsi negativi).

Noterai che alcune app MVC / MVP si appoggiano al paradigma controller-action-id, che non usa parametri (eccetto l'URI come descrivi).

    
risposta data 24.06.2011 - 20:21
fonte

Leggi altre domande sui tag