Як захиститись від мікро кібератак

Рет қаралды 11,033

Алекс про IT

Күн бұрын

Пікірлер: 90

@alex-kovalchuk Жыл бұрын

Реєструйтесь на програму Information and Cybersecurity management від SET University - bit.ly/3Gxa12n

@mgr818 Жыл бұрын

дякую, пішов шукати сайти без екранування, сподіваюся буде весело)

@phooeniixal 8 ай бұрын

Гарно пояснено важливі речі) Думаю деякі розробники про це дійсно не задумуються, а слід)

@asumptio Жыл бұрын

Дякую за відео та вашу працю! Слава Україні!

@takumi_senju Жыл бұрын

Дякуємо за роботу, більше відео про секюріті, більше!

@KyoriUA Жыл бұрын

Дуже актуальне відео та загалом вивчення баз даних , особливо після подій з Київстаром та не тільки...

@goosee980 Жыл бұрын

нещодавно задали це питання на захисті лаби й тут виходить відео на цю тему так ще й українською. дуже приємно та вчасно

@sergtsch87 Жыл бұрын

Дуже цікавий випуск та добрі пояснення. Дякую Вам, Алексе!

@smoloskyp Жыл бұрын

Дуже цікаве відео, не так давно я почав свій шлях в використанні SQL та створенні баз даних і був радий дізнатись про такі вразливості та головне як від них захиститись. Дякую за вашу працю!

@Костянтин_Нороха Жыл бұрын

test

@headsmanc0de Жыл бұрын

Чудовий контент, а для елюстрацій рекомендую спробувати excalidraw

@alex-kovalchuk Жыл бұрын

Дякую, спробую. Я зараз в процесі підшуковування хороших інструментів

@So0r Жыл бұрын

Дякую, гарний інструмент

@МаксимМаксим-р4у Жыл бұрын

Чудове відео. Продовжуй робити те що робиш!!!

@DmytroSemchuk Жыл бұрын

дуже дякую за відео, завжди хотів глянути як це виглядає

@yegormi3697 Жыл бұрын

Відос топ, все подивився, від ін'єкцій не захистився

@Elisey1 Жыл бұрын

Відео топове бажаю удачі

@nepster-forever Жыл бұрын

Дякую

@Andriy063 Жыл бұрын

на кожні типові мови є готові бібліотеки для взаємодії з бд не через голу SQL, а через синтаксичний цукор типу db->update(table, [key>value]) саме те для самописних проектів, і в ногу не стрелиш, і менше нечитабельного коду

@pavelognev108 Жыл бұрын

Ідея розповідати про основи безпеки в мене вже давно крутилася, але все ніяк руки не доходили створити блог... Можна почати з паролів, що мають містити &%$^@ і мінятися кожні х днів, про 2-factor vs 2-step authentication, про переваги і недоліки біометрії, симметрична і асимметрична криптографія... там цілу рубрику можна вести довго і пізнавально, далеко не лише розробникам.

@robotiksillya8363 Жыл бұрын

давай бiльше вiдео про security

@funkdefied Жыл бұрын

Малюнки сам робив?) Дуже файні😂

@alex-kovalchuk Жыл бұрын

Так, перші спроби ілюстрацій)

@ElMatadoros Жыл бұрын

@@alex-kovalchuk бекенд програміста завжди видно по малюнках. Сам так малюю 😂

@Pidvysotskyi_Oleksandr Жыл бұрын

Як що до ORM? Це хіба не рішення?

@alex-kovalchuk Жыл бұрын

ORM це рішення, але тоді сама ORM пише запит замість тебе що призводить до меншого контролю над виглядом запиту. Тому часто високонавантажені сервіси не використовують orm принаймні не всюди

@Pidvysotskyi_Oleksandr Жыл бұрын

@@alex-kovalchuk тобто це потрібно що б SQL запит був чіткішим? І оптимальнішим? І на нього витрачалося менше часу? Я особисто використовую Sequelize, то навіть складні запити з джоїнами і фільтрами і всяким різним, на виході він формує нормальний запит) принаймні я не бачу що там оптимізовувати

@Bilibuha Жыл бұрын

Ви користуєтеся Arc Browser? Просто цікаво:)

@alex-kovalchuk Жыл бұрын

Так, недавно пересів на нього. Покищо дуже подобається

@dethwing907 Жыл бұрын

Чекаю відео, як не лягти як Київстар

@OleksandrPanasiuk-h2e Жыл бұрын

Підскажіть, чи захищає Spring від sql ін'єкцій? Наприклад, якщо використовувати jpa repository для запису данних в базу.

@alex-kovalchuk Жыл бұрын

Так, Spring як і будь які інші orm доволі гарно захищають від таких вразливостей. Там треба дуже постаратись щоб вдалось написати код вразливий до sql інєкцій

@ВладиславСеменюк-п1о Жыл бұрын

Класне відео

@ivanzrobok7148 Жыл бұрын

Цікаве відео, дякую

@yuriymartsenyuk4777 Жыл бұрын

прошу розказати про це Київстару🥲

@asumptio Жыл бұрын

А з чого ти взяв, що їх взламали з подомогою SQL injection? =)

@TINY_CONSTRUCTION Жыл бұрын

Хм. Дійсно пишучи свою сторінку навіть не подумав про захист від такої загрози😅

@BendermoneyCorp Жыл бұрын

я новачок і юзаю монгу) маю іммунітет до цих ін'єкцій?

@alex-kovalchuk Жыл бұрын

Немає sql БД - немає sql ін'єкцій. Щоправда, тепер в тебе вразливість до NoSQL ін'єкцій 😅

@BendermoneyCorp Жыл бұрын

це ж треба знати назву бази та коллекції і як вона там зроблена з якими назвами)) @@alex-kovalchuk

@alex-kovalchuk Жыл бұрын

Часто такі таблиці як users, orders, comments однакові і тому це методом проб ламають

@bioplanet8436 Жыл бұрын

Так це київстар через це впав?

@alex-kovalchuk Жыл бұрын

Дуже сподіваюсь що не через мій відосик А взагалі механіка злому в Київстар суттєво складніша ніж те що я описував. У них немає таких дитячих вразливостей

@kostyiklocoja Жыл бұрын

а може не потрібно було пару років тому жлобитись на Bug Bounty?

@Andriy063 Жыл бұрын

там багаторівнева атака, включаючи інсайдерів в самій компанії

@artembazdyrev Жыл бұрын

Чому сік'юель якщо це ЕСк'юель. Вухо ріже. Це як Гугл читати гоогл

@pruchay Жыл бұрын

Є різні варіанти вимовлення SQL (/ˌɛsˌkjuːˈɛl/ або /ˈsiːkwəl/)

@НікітаПроворов Жыл бұрын

коли відео про те, як правильно вимовляти SQL

@alex-kovalchuk Жыл бұрын

Якось неправильно запам'ятав і постійно не так кажу. В сценарії ж англійською писав тому підказки не було 🥲

@НікітаПроворов Жыл бұрын

@@alex-kovalchuk це все добре, але як то правильно вимовляти?

@tireksik7193 Жыл бұрын

Еск'юель

@enigmatics-lives Жыл бұрын

@@tireksik7193секʼюель

@pruchay Жыл бұрын

@@НікітаПроворов одні говорять ес кю ель, інші сіквель

@13137713 11 ай бұрын

Тобто в джанґо з csrf я взагалі можу про це не паритись?

@alex-kovalchuk 11 ай бұрын

csrf з ін'єкцією не зв'язані, але так. Django займається екрануванням вхідних даних. Якщо не обходиш фреймворк, то все цілком захищено

@sergeyvoroshilo3860 Жыл бұрын

Аж дивно як це відео злилося з подіями київстару. Ми щось про Олексія не знаємо???🤔😅

@12MrRetro Жыл бұрын

Як в 2023 році написати код вразливим для sql ін'кцій? Ви згадали rust, там сама популярна бібліотека для спілкування з бд - sqlx, здавалося б, в цій бібліотеці пишеш прямі квері і підставляєш значення в них. А по-факту, система настільки захищена від них, що по запиту "sqlx sql injection", гугль майже нічого не знаходить😂 А от якщо дядько вирішив писати по голому залізу на расті комунікатор з бд, то цей дядько, напевно, буде самим розумним в кімнаті, і про таке не забуде😅

@alex-kovalchuk Жыл бұрын

Ну якщо постаратись можна написати вразливий код. Наприклад let query = format!("SELECT * FROM users WHERE name = '{}'", user_input); let rows = sqlx::query(&query).fetch_all(pool).await.unwrap();

@pavelognev108 Жыл бұрын

Чудово, залишилося ще вигадати, для чого нам бекенд на Rust...

@12MrRetro Жыл бұрын

@@pavelognev108 робота з бд може відбуватися не тільки для бекенду. Та і скільки серверів на с++ написано? Для чого? Бо хтось вирішив що так краще) Думаю, тут так само буде)

@olegx5979 Жыл бұрын

Порадьте будь ласка переносний роутер, зараз це актуально! Щоб із сімки роздавав вайфай коли мобільний телефон не тягне чи інші нюанси...

@smugasta Жыл бұрын

Оце було дуже пізнавально (ні, я не айтішник)

@vitaliyc1702 Жыл бұрын

Це плач душі. Це приклад як клепаються армії full-stack розробників, які роблять весь додаток швидко і навіть самі не розуміють трагедії що написали. Які запити до бази даних з фронта? Про що взагалі йде мова. Про Rest взагалі ніхто нічого не чув. Про принципи SOLID при побудові API теж ніхто не чув. Та взагалі при побудові будь яких додатків не має бути прив'язки до конкретних технологій. Фронт має передавати просто в параметрах запиту ту інфу яку треба зберегти. Бекенд має бути побудований настільки абстрактно що лише певний клас знає що під капотом mysql чи щось інше.

@alex-kovalchuk Жыл бұрын

Недавно бачив презентацію якогось фронтенд фреймворка де на слайдах sql запит формувався прямо на стороні клієнта. Типу при натисканні на кнопку робимо інсерт

@z.denchi Жыл бұрын

а я то думав тут буде password = password, а тут нічосі інфа!!😮

@ll1rro Жыл бұрын

якщо б розетка використовувала sql базу для зберігання товарів, вона б відповідала на ваші запити приблизно.. ніколи

@alex-kovalchuk Жыл бұрын

Якщо правильно налаштувати індекси, то для PostgreSQL об'єми розетки не важко перетравити. Той ж uber працює на MySQL

@12MrRetro Жыл бұрын

Так може, все ж таки, різниця в тому, використовувати дані які зберігаються в оперативній пам'яті і на диску? В принципі, in-memory sql баз данних окрім H2, майже не існує. (А h2 обганяє абсолютно всі бази данних взагалі, руйнуючі відразу два міфи: 1. Sql бази данних повільн, 2. Java повільна)

@12MrRetro Жыл бұрын

Сам убер використовує редіс для "швидкого доступу", будь-ласка, редіс це виключно in-memory key-value база данних. Живе вона тільки в оперативній пам'яті, ніколи ннікуди не зберігаючи своїх значення після закінчення життя додатку🤷‍♀️. Звичайно вона швидка.

@ll1rro Жыл бұрын

@@12MrRetro 👀👀а до чого тут взагалі in-memory. Ми спілкувалися щодо Sql/NoSql баз даних. І як існування h2 руйнує міф, що Sql бази данних повільні? Вибачте, але ви говорите незв'язані між собою та дискусією речі. Ваш коментар не має сенсу.

@oleksandr-petrovych Жыл бұрын

Ти не повіриш, але у нас навіть таблиця є з назвою goods в базі PostgreSQL. Насправді все побудовано на мікросервісах і кожна команда пише на своїй мові. Використовується PHP, Golang, C#, JS, Lua (це принаймі що я чув)

@artross7279 Жыл бұрын

SQL читається як "ЕС-к'ю-ел". "сі-к'ю-ел" це щось типу CQL (бозна, що воно таке).

@MasterSergius Жыл бұрын

Шкода, що Київстар не встиг подивитися це відео

@aldwynanoma9074 Жыл бұрын

Хоча відео і несе в собі базову(примітивну) інформацію і розраховане на нубиків, проте сам ролик інформативний і якісний. Новачки мають його зацінити.