15
SQL Injection 100% real
Hace unos días un cliente nos reportó comportamientos extraños en su aplicación, la aplicación en cuestión estaba desarrollada en una tecnología ya en desuso hoy en día (ASP con ODBC), incluso en ocasiones le habíamos propuesto migrar la solución a una tecnología más moderna y adecuada que permitiese una mayor velocidad de ejecución, una mejor experiencia de usuario y un mantenimiento más eficiente (ASP.NET 3.5, AJAX, Silverlight). Pero la aplicación en cuestión, además de haberse quedado unos cuantos años en el tiempo, poseía un serio defecto de programación, quizás cuando fue desarrollada no eran muy comunes los ataques de SQL Injection y quizás fue también un milagro que hasta ese momento la aplicación no haya sido atacada, pero la situación había cambiado ese día, la aplicación que armaba cadenas de texto SQL concatenando sentencias, campos y datos enviados por el usuario de la forma más inocente estaba siendo atacada.
En la búsqueda de texto completo que incluye Microsoft SQL Server 2005 Express Edition se incluyen una serie de archivos noisePA.txt que contienen palabras irrelevantes, es decir, aquellas que no aportan significado, como las preposicions (a, con, de, …).
Por defecto, si se hace una búsqueda que contiene palabras irrelevantes, se muestra un error. Es posible deshabilitar el mensaje de error ejecutando el siguiente script:
Buscar en DbRunas
Descargar versiones libres recomendadas actualizadas
Revistas
Manuales
Recursos
Archivo diario de noticias
Archivo por mes y año
Comentarios recientes
- berto on Tutorial Hibernate y JavaServer Faces (JSF)
- Elvis on Accediendo a MySQL con node.js
- instalacion de red on Script para comprobar si las bases de datos están configuradas espejadas en SQL 2005/2008
- alfred on Mysql Recover Data using ibdata1, ib_logfile0 and ib_logfile1
- instalacion redes informaticas madrid on TIP: El buffer pool en DB2
- Mexicali82 on Instalando Nagios en OpenSuse 11.3
- jeiber murcia garcia on Generador de reportes multiplataforma
Ayudas Oracle
- Borrar una fila de una tabla anidada
- Consultar un campo de un objeto oracle
- oracle
- Requiero modificarla orientación de un reporteen Report Builder 10.1.2.0.2 de horizontal a vertical.
- Bloqueo tablas temporales
Ayudas PostgreSQL
- SQL mirando cantidades
- Extraer base de dato
- ¿Cómo instalar postgresql?
- Como instalo Postgresql manualmente en Ubuntu 9.10
- Problema com la hora
Ayudas MySQL
- No me abre la base de datos Mysql
- ¿Tablas de access en mySQL? ¿Es posible?
- consulta en Access que no me funciona en Mysql
- Consulta en Access que no funciona en Mysql
- No me funciona Mysql
Ayudas SQL Server
- Optimizar Procedimiento almacenado con cursor
- Backup de SQL Server 2008
- CASE SQL _ PREGUNTA
- Cambiar tipo de dato de bit a nvarchar(255)
- ERROR AL CREAR UN DSN (ODBC)
Ayudas DB2
Ayudas SQL
Feeds Planeta PostgreSQL-es
- DBLink con parametros en PostgreSQL
- Creando 30.000 tablas con PostgreSQL
- Nuevas versiones de PostgreSQL disponibles
- Los niveles de aislamiento en PostgreSQL (no son 4)
- Alternativas EAV con XML (en PostgreSQL 8.3)
Feeds Planet PostgreSQL
- Redirecting planetpostgresql.org to planet.postgresql.org -- please update your bookmarks
- 2010 retrospective
- Waiting for 9.1 – Unlogged tables
- Version Control Visualization and End Point in Open Source
- PostgreSQL Weekly News January 2nd 2011
Feeds Planeta PostgreSLQ Brazil
- Calculando previsão de vendas com PHP e PostgreSQL
- Vale a pena manter a especialização em Postgresql?
- Manipulando Triggers no PostgreSQL
- Debian, Sysctl e postgresql
- PostgreSQL: O que são tablespaces?
Feeds Planet MySQL
- Stripping Comments so Query Cache Works in MariaDB and XtraDB
- Forums.MySQL.Com as a gym for mental exercise
- Liveblogging: Performance is Overrated, by Mark Callaghan
- Help Set the MariaDB 5.6 Roadmap with SkySQL and Monty Program
- RMOUG Training Days 2012
Blogroll
Clouds
Desde donde nos visitan
