Calificación:
  • 0 voto(s) - 0 Media
  • 1
  • 2
  • 3
  • 4
  • 5
Ataques sqlinject, que son(para novatos)
#1
Bueno, supongo que la mayoría de expertos en creación de páginas sabéis como funciona este tipo de vulnerabilidad que deja en peligro el funcionamiento en general de la web, pero para los novatos que no tienen mucha idea de en que consiste intentaré explicar esto y sugerir como podéis protegeros de ello.

Bueno el ataque sqlinject se aprovecha de un agujero que hay en el código de programación de la web, se realiza sobre lenguajes que tienen acceso a una base de datos e intentan acceder a ellas mediante consultas abiertas o lo que es lo mismo:
[/php]
Suponemos que tenemos un código que conecta con la base de datos y luego utiliza un select para consultar un dato concreto, pero el código esta estructurado de manera que la variable que asignaremos para la consulta esta justo al acabar el código del select antes de cerrar la consulta, de este modo añadiendo siemplemente la opción and, continuara con otra consulta en la misma base de datos aprovechando la conexión previamente establecida.

¿Que podemos hacer para protegernos de este tipo de ataques?:

- Desactivar las consultas a la base de datos por peticiones de usuarios.
- Cuidar los permisos de usuarios de la base de datos no dando por ejemplo permisos de lectura a tablas que no necesite acceder.
- Siendo cuidadoso a la hora de programar el código e intentar no dejar puertas abiertas a posibles consultas intentando limitar la misma.
- En el propio código limitad la incursión de la variable limitando las opciones de caracteres a introducir.
- Del mismo modo que el anterior transformar el texto introducido en la variable una vez dentro.
- Evitar en todo momento consultas de texto en claro mediante el método get, y que hacen mas visible un agujero de seguridad.
- Tener cuidado con las urls y transformarlas para no dar mas datos de los necesarios.
#2
Siempre se agradece información de este tipo para estar al tanto de cualquier amenaza que pueda deshabilitar el funcionamiento de nuestras webs o blogs.
#3
gracias por la información, lo interesante es, cómo podrían lograr hacer un sqlinject? por medio de URL o algun ataque al servidor? soy un poco nuevo en este tema jeje pero tu descripción me quedó muy claro
WWW
#4
(05-04-2014, 04:51 AM)yayito21 escribió: gracias por la información, lo interesante es, cómo podrían lograr hacer un sqlinject? por medio de URL o algún ataque al servidor? soy un poco nuevo en este tema jeje pero tu descripción me quedó muy claro

Esto tipo de ataque se aprovechan de una consulta a través de una variable introducida por el usuario, que podría ser:

- A través de una url mediante el método get añadiendo a la consulta and seguido de diversos códigos para localizar la tabla de la base de datos que almacena cierta información.

- A través de un buscador o formulario en la página web que este mal programado mediante el método post.

En general la mayoría de cms vienen protegidos contra este tipo de ataque, no así sus complementos, por ello siempre será recomendable que al instalar un modulo nuevo en el cms investigar si tiene alguna vulnerabilidad y de que manera afecta a la seguridad de la web.
#5
Gracias por la infromación. Es de agradecer que alguien se tome la molestia de explicar este tipo de cosas de una forma tan sencilla, que todo el mundo puede entender.
Échale un vistazo, vale la pena masquehack.com
WWW
#6
IdeaIdea: muchas gracias por la informacion IdeaIdea

???????? sabes donde puedo aprender como hacer esos ataques es que soy novato.

Gran sonrisaGran sonrisaGran sonrisaGran sonrisaGran sonrisa
WWW
#7
Gracias por la informacion, aunque en verdad al programar algo grande debe ser tedioso el trabajo de revisar que no tenga agujeros
#8
Son unas medidas de seguridad un poco estremas, pero aveces, no esta de mas.
Crear tipo de nodo. Agregar campos CCK. Crear Vista. Enjuague. Y repita.
WWW
#9
sqlinject no es necesario ser super experto para saber lo que significa la palabra te lo esta diciendo!...igual buena info la del post gracias...
[Imagen: large-loading.gif]
please wait......
WWW
#10
como odio esos ataques D:
cuando mas facil te pueden hackear la pagina es desde el login :c
es una buena informacion amigo, saludos :3


Posibles temas similares...
Tema Autor Respuestas Vistas Último mensaje
  Evitar ataques DDoS en el DNS Taquion 13 4,309 03-05-2012, 09:53 PM
Último mensaje: jorge2012
  [Tutoriañ] C# Bibliotecas [ThemeNEW][Sencillo/Novatos] Postteandox 0 711 21-11-2011, 01:09 AM
Último mensaje: Postteandox
  Cpanel para novatos Taquion 0 1,476 17-09-2009, 02:06 PM
Último mensaje: Taquion



Usuarios navegando en este tema: 1 invitado(s)