2019-11-09

November 2019 - OWASP Proactive C3: Secure Database Access

Några områden att beakta för säker databasaccess:

  1. Säkra SQL-frågor
  2. Säker konfiguration
  3. Säker autentisiering
  4. Säker kommunikation

Säkra SQL-frågor

Trots att de flesta känner till SQL injection så finns det ändå många fall där en applikation/webbplats är sårbar för det. Ofta kan man komma åt precis hela databasen genom att lämna ett enda hål öppet för SQL injection. Man undviker enkelt sårbarheten genom att parametrisera SQL-frågorna. Kolla på den här webbsidan för hur man gör det för de vanligaste programmeringsspråken:
Andra sätt är att validera indata och att hantera de specialtecken som skickas (ex. i PHP mysqli::real_escape_string).

Säker konfiguration

Kontrollera att databasens konfiguration är korrekt och att säkerhetskontroller är aktiverade. Sök nätet för att hitta det som gäller för din databas.

Säker autentisiering

All access till databasen ska vara autentiserad och gjord på ett säkert sätt.

Säker kommunikation

Använd säker kommunikation (autentisierad och krypterad) för all kommunikation med databasen.




Nyheter för månaden:
  • För att minska risken för att exponera sårbarheter kommer versionerna av olika mjukvaror att döljas och vilka uppdateringar som har gjorts kommer inte att publiceras. Uppdateringar av alla mjukvara sker kontinuerligt för att täppa till alla kända säkerhetshål.
  • Är man kund och behöver veta exakt vilken version som körs så skicka en fråga till supporten.