ঢাকা আইআইএস জন্য Owl শুধু ঐ রানটাইম সম্পাদিত হচ্ছে সামনে SQLs চিহ্নিত. যে রানটাইম অ্যাপ্লিকেশন স্বয়ং-সুরক্ষা (শ্রুতিকটু) মডিউল বাস্তবায়ন করা হয়.
আপনার ওয়েব অ্যাপ্লিকেশন কোয়েরি এবং পোস্টে পরামিতি মাধ্যমে ইনপুট হচ্ছে. ইনপুট ক্রস সাইট স্ক্রিপ্টিং, এসকিউএল ইনজেকশন এবং অন্যান্য নিরাপত্তা ভঙ্গের উত্পাদন করতে পারে. এখন আমরা জানি WAF সীমাবদ্ধতা উপস্থিত রয়েছে যেমন প্রক্রিয়ায় দেশ পরিচালিত না কিন্তু নেটওয়ার্কের মধ্যে: 1. কিছু SSL- কি উপর নির্ভরশীল যখন ট্রাফিক এনক্রিপ্ট করা হতে পারে. সেই ডি এইচ ক্ষেত্রে 2. এটা নিশ্চিত হতে পারে না হ্যান্ডেল করতে পারে না, যা ব্যবহারকারী প্রক্রিয়া SQLs 3. অবিশুদ্ধ URL টি WAF 4. ডেভেলপার অ্যাপ্লিকেশনে একটি খিড়কি সেটিং মূর্খ পারে গরমিল চালানোর জন্য একটি ভিন্ন ব্যবহারকারী ব্যবহার করতে পারেন যেমন যা এসকিউএল স্টেটমেন্ট জন্য দায়ী (অতিরিক্ত ক্যোয়ারী পরামিতি দ্বারা সক্রিয় পরিশেষে ডেডিকেটেড অনিষ্টকারী কোড চালানোর জন্য). কিভাবে WAF যে জিনিসটা করতে পারেন? '
নিম্নলিখিত উদাহরণ নিন: //applicationHost/getData.aspx কোড = derpatment: ব্যবহারকারী ব্রাউজার বিভাগের http- র ব্যবহারকারীদের সম্বন্ধে জানতে-- এই HTTP অনুরোধ পাঠাচ্ছে. ? //applicationHost/getData.aspx কোড = কোম্পানী কিন্তু ব্যবহারকারীকে HTTP মত একটি ভিন্ন কোড মান মধ্যে ম্যানুয়ালি পরিবর্তন করতে পারেন. এ ছাড়াও বলে যে SQLs একটি থ্রেড পুল যে কিছু জেনেরিক ব্যবহারকারী ব্যবহার প্রামাণ দ্বারা মৃত্যুদন্ড কার্যকর করা হচ্ছে দেয়. 1. ডাটাবেজ টুল বলতে পারে না কে অনুরোধ সম্ভূত. 2. WAF জিনিসটা কিছু URL দিয়ে ভুল বাস্তবধর্মী হতে হবে.
শুধুমাত্র বিকল্প আপনি সঠিক এসকিউএল স্টেটমেন্ট যে অ্যাপ্লিকেশনটি নির্বাহ হয় ব্যবহারকারী বিবরণ (নাম ও IP) পরস্পরের সংঙ্গে সম্পর্কযুক্ত করা আছে হচ্ছে হয় বিন্দু যেখানে আবেদন প্রক্রিয়ার বাইরে এসকিউএল স্টেটমেন্ট পাঠাচ্ছে এ. যে বাস্তব এসকিউএল আবেদন পর ইনপুট প্রক্রিয়াকরণ সম্পন্ন হয়. কোন হিউরিস্টিক, কোন মিথ্যা ইতিবাচক. আইআইএস জন্য Owl সব এসকিউএল স্টেটমেন্ট এক্সপোজ নিশানা করা হয়
এই রিলিজে নতুন এ কি:.
সংস্করণ 1.3: <উল>
<লি> নিরীক্ষা ফাইল এখন অন্তর্ভুক্ত ব্যবহারকারী নাম
<লি> আইবিএম Guardium সঙ্গে ইন্টিগ্রেশন পাস আবেদন ব্যবহারকারী নাম
পাওয়া মন্তব্যসমূহ না