0 800 330 331
Увійти /
  • Відкриті торги
  • Безлотова
  • КЕП

32420000-3 Мережеве обладнання Шлюз захисту веб-додатків (WAF)

Завершена

2 392 340.00 UAH без ПДВ
мін. крок: 1% або 23 923.40 UAH
Період уточнення: 16.09.2019 09:53 - 23.09.2019 12:00
Відповідь надана

Уточнення вимоги щодо функціоналу

Номер: a56de56508aa42ee920a423021aac0b4
Пов'язаний елемент: Закупівля
Дата опублікування: 20.09.2019 10:12
Опис: Розділ “Функції захисту веб-додатків та сайтів” тенедерної документації визначає вимогу: “Видалення коментарів (наприклад, перетворення DELETE/**/FROM to DELETE FROM)”. Просимо пояснити який функціонал має виконувати обладнання, які коментарі та перетворення маються на увазі.
Відповідь: Виконання вимоги тендерної документації “Видалення коментарів (наприклад, перетворення DELETE/**/FROM to DELETE FROM)” забезпечує захист веб додатків від одного із поширених підвидів атаки SQL-ін'єкції, із застосуванням блокових коментарів в запитах до веб додатків. За допомогою таких коментарів можна реалізувати ігнорування частини запиту, заміну символ пробілу, обхід чорного списку слів (наприклад, Drop, Select, Delete та інші), визначати версію бази даних. Типи коментарів характерні для SQL-ін'єкцій наступні: • подвійний дефіс ( -- ) коментарі, що відповідають стандарту ANSI/ISO для SQL; • фігурні дужки ( { } ) - коментарі Informix до стандарту ANSI/ISO; • C-стиль ( /* . . . */ ) коментарі, що відповідають стандарту SQL-99. Наступні приклади демонструють застосування блокових коментарів для атаки типу SQL-ін'єкції: 1) DROP / * коментар * / sampletable 2) DR / ** / OP / * обходимо_чорний_список * / sampletable 3) SELECT / * заміна_пробілу * / password / / FROM / / Members 4) / *! MYSQL Special SQL * / : SELECT / *! 32302 1/0, * / 1 FROM tablename Це спеціальний синтаксис коментарів. Він дозволяє виявити версію MySQL. Таким чином, зазначена вимога означає, що обладнання повинно мати можливість забезпечити виявлення та видалення коментарів в запитах до веб додатків. Типи коментарів, це коментарі характерні для SQL-ін'єкцій: • подвійний дефіс ( -- ) коментарі, що відповідають стандарту ANSI/ISO для SQL; • фігурні дужки ( { } ) - коментарі Informix до стандарту ANSI/ISO; • C-стиль ( /* . . . */ ) коментарі, що відповідають стандарту SQL-99. Під терміном «перетворення» мається на увазі видалення в запитах до веб додатків коментарів характерних для SQL-ін'єкцій.
Дата відповіді: 23.09.2019 09:30