Predavanje

OPOMBA: časi in dvorane predavanj so le informativni in se lahko do pričetka prireditve še spremenijo. Prireditev SIOUG 2009 (začetek: 20.09.2009, trajanje: 4 dni) Avtor Miro Javornik Soavtorji - Podjetje Ministrstvo za finance RS, UNPIS Naslov Kako zavarovati svoje Oracle sisteme pred vrivanjem SQL Opis Med najpogostejše zunanje napade na naše aplikacije sodi prav gotovo tudi vrivanje SQL, ko uporabnik med podatke vnosa poskuša vstaviti dele ali kar cele SQL stavke, s katerimi bi želel spremeniti delovanje poizvedbe, priti do podatkov do katerih ni upravičen, ali celo opraviti dejanje, ki ga ne bi smel. Občutljivost programov na vrivanje SQL je posledica načina programiranja poizvedb in ukazov, pri katerem se premalo zavedamo morebitnih varnostnih vidikov, še zlasti pa pomanjkljive kontrole vhodnih podatkov v aplikacijah. Če že lahko vplivamo na varnostno zavedanje programerjev v hiši, da se zmanjša oziroma odpravi ta slabost, pa to seveda ni mogoče pri uporabi že vgrajenih programskih paketov in pri kupljenih in zunaj razvitih aplikacijah. Pa tudi pri slednjih se da še kaj postoriti. Miro Javornik, CISA, CISM Naslov (ENG) How to protect our Oracle based systems against SQL injection Opis (ENG) SQL injection is recently one of the most popular attacks on our databases. Using this attack the malicious user tries to inject a part or even a whole SQL statement among entered data, with intent to change the query or SQL command execution in such a way to obtain a data he is not supposed to access or to perform an action, he is not allowed to do. The SQL injection vulnerability is due to a ?bad? programming practice, not thinking much about the possible security issues behind, and especially due to inadequate input data controls. If we can possibly influence on behaviour of our in-house programmers, to decrease or eliminate this vulnerability, this is not possible with the use of integrated program packages and with applications that were developed by outside providers. Even with those, there are still some possibilities for us. Jezik Slovenščina Področje 3. Upravljanje informacijskih sistemov Zahtevnost 3: Intermediate Začetek predavanja 21.09.2009 17:10 Konec predavanja 21.09.2009 17:50 Dvorana Evropa C