 |
Usuario: Ingresar | 
bits y bytes de tecnología, humor, cine y rebeldía para todos
:: Tecnología para todos :: |
| Dirección URL | http://www.srbyte.com/ Registrado:13-Jul-2008 |
Compartir:
|
|
 Enviar a email | Los 25 Errores de Software Más Peligrosos del 2011 en sqlseguridadprogramacion |  Por BlendBoy@gmail.com (Robertux)
el 31-Dec-1969 | 
Foto 0 en Los 25 Errores de Software Más Peligrosos del 2011: pega esta imagen en tú pagina, Foro, Myspace o Ebay con este código...
 "SQL Injection. Una de las más peligrosas y comunes vulnerabilidades en los sistemas"
Recientemente me entero de una comunidad online de programadores y especialistas en seguridad que cada año se encargan de enumerar las vulnerabilidades de sistemas informáticos que más daño han realizado y que más se han popularizado entre los sistemas para que cada uno tome las medidas necesarias al momento de desarrollar sus sistemas especialmente cuando manejamos datos que al ser vulnerados causarían pérdidas significativas de información en nuestra empresa.
Esta comunidad, denominada Common Weakness Enumeration, liberó recientemente la lista de los 25 errores de software que más se han utilizado y que más daño han causado durante el presente año de manera que podamos tomarlos en cuenta para evitar que nuestros sistemas sean atacados.
Además de la lista, en el sitio puedes encontrar información detallada del error, las variaciones que pudieran existir del mismo, código fuente de ejemplo de utilización del ataque y posibles alternativas de corrección a las vulnerabilidades que este aprovecha. Es una fuente bastante completa de ítems a tomar en cuenta al momento de diseñar la seguridad de nuestro sitio. De hecho, si en su equipo de desarrollo o calidad no poseen un checklist de vulnerabilidades a cubrir, les recomiendo usar este sitio como referencia.
Me remito a describir en español las tres primeras vulnerabilidades de la lista:
1. La inadecuada neutralización de comandos especiales utilizados en SQL (A.K.A. SQL Injection). La número uno de la lista. Tal como lo ilustra la imagen del post, si utilizamos SQL simple para validar nuestras páginas de login, algo como por ejemplo:
"SELECT * FROM SYSTEM.USERS WHERE NAME = '" + inputBox1.text + "' AND PASSWORD = '" + inputBox2.text + "'";
cualquiera podría escribir cualquier comando SQL dentro de los textboxes y con suficiente astucia obtener acceso total al sistema saltándose la validación del login o peor aún, obteniendo acceso total a la base de datos.
Esto me recuerda a una vieja ilustración que XKCD elaboró para el día de las madres:
Foto 1 en Los 25 Errores de Software Más Peligrosos del 2011: pega esta imagen en tú pagina, Foro, Myspace o Ebay con este código...
 "...'Little Bobby Tables' xD"
En el blog de El Rincon de Cisko pueden encontrar más información en español acerca de este tema.
2. La inadecuada neutralización de comandos especiales utilizados en un sistema operativo (A.K.A. OS Command Injection). Aplica el mismo principio que el SQL Injection pero en este caso nos referimos a comandos del sistema operativo. Pueda ser menos común que nuestros programas ejecuten comandos directamente sobre el sistema operativo pero aunque sea menos común, esta vulnerabilidad es mucho más peligrosa que el SQL Injection ya que en el sistema operativo pueden residir no solamente el servidor de aplicaciones, servidor web y servidor de bases de datos sino muchos otros servicios sin mencionar que una vez que el atacante ha logrado ingresar a un servidor, es mucho más fácil que este logre acceso a cualquier otro servidor dentro de la intranet, especialmente si nuestro servidor de aplicaciones posee privilegios de administrador (root) lo cual es mencionado en otro elemento de la lista: "11. Ejecución de aplicaciones/servicios con privilegios mayores a los necesarios".
3. Copia de búffers sin la comprobación del tamaño del dato de entrada (Buffer Overflow). Este es nuevo para mí. Según la documentación del sitio leo que aplica mayormente para lenguajes de programación que no poseen un manejo automático de la memoria utilizada, como por ejemplo C y C++ ya que estos no revisan previamente si la porción de memoria donde se están escribiendo los datos está reservada para su fin o si su tamaño excede lo esperado y termina escribiéndose información en la memoria reservada del sistema operativo, por ejemplo.
La recomenadación para evitar esta vulnerabilidad consiste en verificar previamente el tamaño de los búffers de entrada, utilizar librerías o frameworks que realizan esta comprobación por nosotros o utilizar lenguajes de alto nivel que poseen un manejo automático de la memoria a utilizar por aplicación o grupo de aplicaciones.
Les recomiendo nuevamente y con gran énfasis leer el resto de la lista de vulnerabilidades y sus respectivos detalles técnicos, causas y soluciones para que como programadores y administradores de sistemas podamos dormir bien por las noches sin preocuparnos porque el operador nos va a llamar en la madrugada avisándonos que vulneraron un server y robaron información confidencial y valiosa de nuestra empresa. Mas aún teniendo en cuenta los recientes ataques de LulzSec, AntiSec y Anonymus.
vía Java Code Geeks.
Leído 2 veces
|
|
 |
| Software Freedom Day 2011 | | Por medio de la lista de correo de los usuarios de Linux de la UES me entero que ya está programada la próxima reunión relacionada con el software libre y celebrada de manera simultánea en todo el mund [..] Leer nota completa | | Publicado 31-Dec-1969 por noreply@blogger.com (Robertux) en software freedom daylinuxprogramacionsoftware libre
Leído 1 veces. Más resultados en    |
|
| Top Ten Software Antivirus 2010 ? 2011 | | Cuando hablamos de software antivirus, no basta con un programa que detecte y elimine virus y trojanos. En esta oportunidad les traigo una investigacion comparativa actualizada de los mejores antivirus del mercado. Durante la elaboracion de este review de productos he tomado en cuenta, entre otros; El rango de proteccion Efectividad Facilidad de instalacion Facilidad [...]
Otros articulos de int [..] Leer nota completa | | Publicado 08-Sep-2010 por fher98 en AntiVirus2009-2010reviewSeguridadtop 10top ten
Leído 28 veces. Más resultados en |
|
 | Quesepacoserquesepabordar |  Buenos Aires | Charla intercambio con amigos Kabbalah, Ley de Atracción, Terapias Alternativas, Psicologia, Afirmaciones, Reflexiones, Poesía,Arte quesepacoserquesepabordar |
| Luz De Ciudad | santa fe ciudad | Blog de arte de la fundacion centro,santa fe, argentina Blog Alternativo de arte, Argentina Blog Alternativo para las artes. |
| Estancia Cuba | Blogueros | Blog de Camilo López Darias, Escribe como analista político
Estancia Cubana Blog de Camilo López Darias |
| KKK, los peligrosos? | | Juntos, tomados de las manos, en una especie de desfile ritual danzante que sirve de espectáculo a montones de espectadores? El KKK en manifestación gigante que convocó a más de 30 mil seguidores, según cifras de la época manejadas por la policía de Washington. Esta instantánea es un reflejo de la barbarie, de ese sentimiento [...] [..] Leer nota completa | | Publicado 17-Feb-2009 por Camilo López Darias en USAfotos
Leído 5 veces. Más resultados en |
|
| Blogs De Guatemala | Guatemala | Blogs de Guatemala | Directorio de Blogs, donde los guatemaltecos escriben.
Noticias, información, clima, deportes, poesía, opinión, información Blogs de Guatemala Así se escribe en Guatemala. Directorio de Blogs Guatemaltecos |
| Trabajos peligrosos | | En el séptimo, u octavo piso, más a mano derecha que otra cosa, puede verse una mujer limpiando ventanas. Lo curioso es que sale a la cornisa, en la parte exterior del edificio, sin ninguna medida de seguridad alguna; y lo que yo me preguntaba es que ¿de quién sería la idea?
[..] Leer nota completa | | Publicado 02-Jan-2009 por Blogs de en artistas
Leído 10 veces. Más resultados en |
|
|
Advertencia YAAQUI.COM no verifica la veracidad de la información publicada y no se responsabiliza
por el uso que se le de a la infomación del contenido publicado en los feeds y weblogs independientes.
Las opiniones vertidas en este sitio no necesariamente son nuestras. Nos reservamos el derecho de
remover cualqueir material que consideremos inconveniente.
|
|
| |
Hola, Invitado
En línea: 145 visitantes
+ fotos
