17. Способы борьбы Профилактика Обучение Дизайн приложения Code review Input validation Continues integration checks Тестирование Черным ящиком Белым ящиком Серым ящиком Fuzzy Автоматизированные инструменты
18. Способы борьбы: дизайн приложения не хранить секреты в открытом виде принцип минимальных привилегий использовать параметрезированные запросы использовать хранимые процедуры сообщения об ошибках не должны содержать служебной информации
23. Способы борьбы Профилактика Обучение Дизайн приложения Code review Input validation Continues integration checks Тестирование Черным ящиком Белым ящиком Серым ящиком Fuzzy Автоматизированные инструменты
24. Способы борьбы: code review Экспертиза исходных текстов, как метод тестирования безопасности и защищённости программных продуктов http://software-testing.ru/library/testing/security/109 http://securitywiki.ru/PraktikaJekspertizaIsxodnyxTekstov?v=oqu
26. Способы борьбы: code review Проверка входных данных Не использовать динамический sql (использовать хранимые процедуры и параметризированные запросы) Минимальные привилегии Секретные данные (поток данных)
27. Способы борьбы: code review Java EE– использовать PreparedStatement() .NET– использовать параметризованные запросы при помощи SqlCommand() or OleDbCommand() PHP– использоватьPDOс строго типизированными парамтризованными запросами (использованиеbindParam()) SQLite– использовать sqlite3_prepare() и т.п. https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
28. Способы борьбы Профилактика Обучение Дизайн приложения Code review Input validation Continues integration checks Тестирование Черным ящиком Белым ящиком Серым ящиком Fuzzy Автоматизированные инструменты
30. Способы борьбы: input validation Профилактика Обучение Дизайн приложения Code review Input validation Continues integration checks Тестирование Черным ящиком Белым ящиком Серым ящиком Fuzzy Автоматизированные инструменты Портрет типичного пользователя Dr. User Evil
31. Способы борьбы Профилактика Обучение Дизайн приложения Code review Input validation Continues integration checks Тестирование Черным ящиком Белым ящиком Серым ящиком Fuzzy Автоматизированные инструменты
32. Способы борьбы: Continues integration checks Microsoft FxCop "CA2100: Review SQL queries for security vulnerabilities“ Microsoft Source Code Analyzer for SQL Injection Microsoft Code Analysis Tool for .Net (CAT.NET)
33. Способы борьбы Профилактика Обучение Дизайн приложения Code review Input validation Continues integration checks Тестирование Черным ящиком Белым ящиком Серым ящиком Fuzzy Автоматизированные инструменты