К нам прилетел баг от одного AI powered сканара безопасности, который нашел SQL injection примерно в следующем коде:
string sql = “insert into tablename (column)”;
string values = “”;
for (int i = 0; i < count; i++) {
values += “ select @p” + i.ToString();
parameters.Add(“@p” + i.ToString(), data[i]);
}
Database.ExecuteSQL(sql + value, parameters);Я: здесь нет уязвимости.
Безопасники: сканер видит канкатинацию строк в запросе и поэтому рапортует ошибку.
Мне кажется даже статическим анализом можно понять, что тут нет уязвимости, а уж AI powered обязан не просто искать конкатинацию, а хоть немного использовать интеллект.
Сейчас везде достаточно поставить шильдик ИИ, и не обязательно ничего особого делать. Маркетинг!
Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку уже лайкнули 1 человек
Паника, что-то случилось!!! Ничего не найдено в комментариях. Срочно нужно что-то добавить, чтобы это место не оставалось пустым.
Хотите найти еще что-то интересное почитать? Можно попробовать отфильтровать заметки на блоге по категориям.
Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю
Copyright © 2026 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.
А здесь еще и копирайт поставлю: Professional Web Development.
На сайте используются Cookie. Если вы из ЕС или Калифорнии США, то вы должны согласиться с их использованием - Согласен. Если вы из нормальной страны, то вам пох.
Добавить Комментарий