15
SQL Injection 100% real
Hace unos días un cliente nos reportó comportamientos extraños en su aplicación, la aplicación en cuestión estaba desarrollada en una tecnología ya en desuso hoy en día (ASP con ODBC), incluso en ocasiones le habíamos propuesto migrar la solución a una tecnología más moderna y adecuada que permitiese una mayor velocidad de ejecución, una mejor experiencia de usuario y un mantenimiento más eficiente (ASP.NET 3.5, AJAX, Silverlight). Pero la aplicación en cuestión, además de haberse quedado unos cuantos años en el tiempo, poseía un serio defecto de programación, quizás cuando fue desarrollada no eran muy comunes los ataques de SQL Injection y quizás fue también un milagro que hasta ese momento la aplicación no haya sido atacada, pero la situación había cambiado ese día, la aplicación que armaba cadenas de texto SQL concatenando sentencias, campos y datos enviados por el usuario de la forma más inocente estaba siendo atacada.
En la búsqueda de texto completo que incluye Microsoft SQL Server 2005 Express Edition se incluyen una serie de archivos noisePA.txt que contienen palabras irrelevantes, es decir, aquellas que no aportan significado, como las preposicions (a, con, de, …).
Por defecto, si se hace una búsqueda que contiene palabras irrelevantes, se muestra un error. Es posible deshabilitar el mensaje de error ejecutando el siguiente script:
Descargar versiones libres recomendadas actualizadas
Revistas
Manuales
Recursos
Archivo diario de noticias
Archivo por mes y año
Comentarios recientes
- Francisco on Programar Backup SQL Server Express
- luis on Desinstalando o Postgresql 8.4 manualmente
- Elmer Alpízar Sánchez on Instalaciones: Oracle JDeveloper en Ubuntu 10.04
- Proceso automático para matar sesiones que bloquean a otras … « Thermomix Blog on Proceso automático para matar sesiones que bloquean a otras (ORACLE-PLSQL)
- bases datos empresas on Nueva versión de MySQL Enterprise ya está disponible
- tecnico on Que es el TOP 100 PERCENT de SQL Server
- Hexon on Hexjector
Ayudas Oracle
- Sql Loader Oracle ejecucion desde el servidor
- creacion de tablas con subconsultas
- Sobre oracle server y client-
- Extraer nombre/campo y datos ORACLE
- Vista materializada por meses muy Grandes
Ayudas PostgreSQL
- problema com la hora
- postgre
- procedimiento en postgres(funcion)
- Retardo en conexión de red al iniciar Windows XP
- Funciones
Ayudas MySQL
- mysql base de datos
- mysql base datos
- Campo para guardar descripciones de texto largas?
- mysql base de datos
- Cadena de caracteres en lista desplegable
Ayudas SQL Server
- Realizar consultas en Sqlserver utilizando VB 6.0
- Problema con un trigger de actualizacion
- Ejemplo de base de datos.
- Anidar Store Procedure
- ¿Varias bases de datos en SQL Server o una sola?
Ayudas DB2
Ayudas SQL
- crear comparativo
- Hola tengo un problemita, me ayudan?
- base de datos
- Tabla temporal
- Una funcion en sql anywhere
Feeds Planet PostgreSQL
- BWPUG September Meeting 2010-09-08: PostgreSQL Security and SE-Postgres
- PgWest 2010, CFP about to close!
- Synchronous Replication
- PostgreSQL Weekly News September 5th 2010
- Background reading: Locking (1970)
Feeds Planeta PostgreSLQ Brazil
- PostgreSQL 9.0 saindo do forno
- Coloque o PostgreSQL no seu Navegador!
- PostgreSQL Beta 4 Lançado!
- Projeto PGXN
- FISL11: O Fim
Feeds Planet MySQL
- Digg’s main competitor (Reddit) runs Cassandra but their VP of Engineering was fired for the decision to switch.
- Zmanda @ Oracle OpenWorld 2010
- Flexviews 1.6.0-RC1 is released
- Getting temporal configuration values into date-range value equivalents
- A gentle introduction to CouchDB for relational practitioners