15
SQL Injection 100% real
Hace unos días un cliente nos reportó comportamientos extraños en su aplicación, la aplicación en cuestión estaba desarrollada en una tecnología ya en desuso hoy en día (ASP con ODBC), incluso en ocasiones le habíamos propuesto migrar la solución a una tecnología más moderna y adecuada que permitiese una mayor velocidad de ejecución, una mejor experiencia de usuario y un mantenimiento más eficiente (ASP.NET 3.5, AJAX, Silverlight). Pero la aplicación en cuestión, además de haberse quedado unos cuantos años en el tiempo, poseía un serio defecto de programación, quizás cuando fue desarrollada no eran muy comunes los ataques de SQL Injection y quizás fue también un milagro que hasta ese momento la aplicación no haya sido atacada, pero la situación había cambiado ese día, la aplicación que armaba cadenas de texto SQL concatenando sentencias, campos y datos enviados por el usuario de la forma más inocente estaba siendo atacada.
Mas:
http://www.programandoamedianoche.com/2008/07/sql-injection-100-real/
Do you like this article? Share It!
Post comment
Buscar en DbRunas
Descargar versiones libres recomendadas actualizadas
Revistas
Manuales
Recursos
Archivo diario de noticias
Archivo por mes y año
Comentarios recientes
- berto on Tutorial Hibernate y JavaServer Faces (JSF)
- Elvis on Accediendo a MySQL con node.js
- instalacion de red on Script para comprobar si las bases de datos están configuradas espejadas en SQL 2005/2008
- alfred on Mysql Recover Data using ibdata1, ib_logfile0 and ib_logfile1
- instalacion redes informaticas madrid on TIP: El buffer pool en DB2
- Mexicali82 on Instalando Nagios en OpenSuse 11.3
- jeiber murcia garcia on Generador de reportes multiplataforma
Ayudas Oracle
- Borrar una fila de una tabla anidada
- Consultar un campo de un objeto oracle
- oracle
- Requiero modificarla orientación de un reporteen Report Builder 10.1.2.0.2 de horizontal a vertical.
- Bloqueo tablas temporales
Ayudas PostgreSQL
- SQL mirando cantidades
- Extraer base de dato
- ¿Cómo instalar postgresql?
- Como instalo Postgresql manualmente en Ubuntu 9.10
- Problema com la hora
Ayudas MySQL
- ¿Tablas de access en mySQL? ¿Es posible?
- No me abre la base de datos Mysql
- consulta en Access que no me funciona en Mysql
- Consulta en Access que no funciona en Mysql
- No me funciona Mysql
Ayudas SQL Server
- como conecto un base de datos en una red local con sql server 2000
- Optimizar Procedimiento almacenado con cursor
- Backup de SQL Server 2008
- CASE SQL _ PREGUNTA
- Cambiar tipo de dato de bit a nvarchar(255)
Ayudas DB2
Ayudas SQL
Feeds Planeta PostgreSQL-es
- Logs via SQL/MED
- DBLink con parametros en PostgreSQL
- Creando 30.000 tablas con PostgreSQL
- Nuevas versiones de PostgreSQL disponibles
- Los niveles de aislamiento en PostgreSQL (no son 4)
Feeds Planet PostgreSQL
- Redirecting planetpostgresql.org to planet.postgresql.org -- please update your bookmarks
- 2010 retrospective
- Waiting for 9.1 – Unlogged tables
- Version Control Visualization and End Point in Open Source
- PostgreSQL Weekly News January 2nd 2011
Feeds Planeta PostgreSLQ Brazil
- Calculando previsão de vendas com PHP e PostgreSQL
- Vale a pena manter a especialização em Postgresql?
- Manipulando Triggers no PostgreSQL
- Debian, Sysctl e postgresql
- PostgreSQL: O que são tablespaces?
Feeds Planet MySQL
- Drizzle Day and MariaDB day to end your MySQL user conference
- MySQL High Availability Realized - Webcast 2/16
- Successful Dallas Tech Tour
- Dot-Org Pavilion at the Percona Live MySQL Conference
- North Texas MySQL Users Group Meeting set for March 12th
Blogroll
Clouds
Desde donde nos visitan
