SQL Injection in Entity Framework

Questions and Answers

Wat is een methode in het Entity Framework waarmee je raw query's kunt uitvoeren?

FromSql

Waarom is direct de database aanvallen in een webapplicatie normaal gesproken niet mogelijk?

De database is normaal niet rechtstreeks benaderbaar

Waarom wordt source code analyse vaak gebruikt in software security lessen?

Om te bepalen waar user input vandaan komt en of er validatie op wordt toegepast

Waarom zijn andere soorten applicaties met een relationele database ook kwetsbaar voor SQL injection?

Als de user input onvoldoende wordt gecontroleerd

Wat is een belangrijk aspect dat je kunt ontdekken door zoeken in de source code van een applicatie?

Waar een query richting de database wordt gedaan

Wat doen pentest tools die als 'black box' werken juist niet?

Kijken naar de source code

Wat is volgens de tekst een noodzakelijke kennis voor softwarebeveiliging?

Kennis van databases en SQL

Waarom is het belangrijk om de vertaling naar taal/framework onafhankelijkheid te begrijpen?

Om kwetsbaarheden in een programmeertaal te kunnen identificeren

Wat is de focus van vandaag volgens de tekst met betrekking tot webapplicaties?

Server-side webapplicaties met SQL-injectie

Waarom is basiskennis van HTML en CSS belangrijk voor het begrijpen van source code?

Om de broncode van webapplicaties te begrijpen

Welk framework wordt specifiek gebruikt voor de webapplicatie in dit blok?

ASP.NET MVC Core (C#)

Waarom is kennis van databases en SQL nodig voor source code analyse volgens de tekst?

Zonder deze kennis begrijp je de broncode niet

Wat is het belangrijkste verschil tussen code-analyse en penetratietesten?

Penetratietesten zijn gericht op het afvuren van commando's op software, terwijl code-analyse gericht is op het begrijpen van de code zelf.

Waarom adviseert de OWASP testing guide om altijd de source code te gebruiken in een security review?

Om alle kwetsbaarheden te vinden die niet met penetratietesten gedetecteerd kunnen worden

Welke studenten hebben kennis van Objecten, UML en kunnen goed programmeren in Java en C#?

SE studenten

Wat wordt aangeraden voor een security review volgens de OWASP testing guide?

Altijd source code gebruiken als deze beschikbaar is

Wat is een van de belangrijkste verschillen tussen NSE studenten en ISM studenten op het gebied van voorkennis?

NSE studenten hebben kennis van databases uit het 1e half jaar, terwijl ISM studenten alleen technische kennis hebben uit het 1e half jaar.

Welke studenten hebben alleen technische kennis uit het 1e half jaar zonder objectgeoriënteerd programmeren en databases?

ISM studenten