Ataques en SQL Injection

2 10 2009

Les dejo un link que explica sobre SQL Injection, sentencias y ataques típicos que se pueden aplicar.

Link: http://unixwiz.net/techtips/sql-injection.html

Temas:
* La Intranet Meta
* Esquema de asignación de campo
* Búsqueda de la tabla de nombres
* Búsqueda de algunos usuarios
* Contraseña mediante la fuerza bruta adivinar
* La base de datos no es de solo lectura
* Adición de un nuevo miembro
* Mail me de una contraseña
* Otros enfoques
* Factores atenuantes
* Otros recursos


Comentarios : Deja un Comentario »
Etiquetas: , ,
Categorías : Seguridad

Seguridad de Aplicaciones Web

13 08 2009

Para los que les interesa tener conocimientos generales sobre seguridad, sobre todo en los aspectos de aplicaciones web recomiendo ver una serie de videos que lazó Microsoft en el año 2006 con el nombre de “Academia Net Protector”.

Estos a pesar de ser hace un par de años atrás, brindan el conocimiento básico que todo desarrollador debe tener. A continuación dejo algunos links de los videos que considero los más importantes.

Introducción sobre amenzas
http://www.microsoft.com/spanish/msdn/comunidad/dce2005/videos/netpro/amenazas/

Introducción sobre denfesas
http://www.microsoft.com/spanish/msdn/comunidad/dce2005/videos/netpro/defensas/

Cross Site Scripting
http://www.microsoft.com/spanish/msdn/latam/netpro/videos/xss/default.aspx

Simulando un ataque
http://www.microsoft.com/spanish/msdn/latam/netpro/videos/simulandounataque/default.aspx

Defensa contra un ataque
http://www.microsoft.com/spanish/msdn/latam/netpro/videos/defensa/default.aspx

Algo que deja bien en claro en los diferentes webcats es:

  • No usar usuario “sa” por defecto del sql server.
  • Usar siempre Store Procedures. (Esto evita en gran medida todo lo que es SQL Injection)
  • Crear un rol que solo pueda ejecutar los store procedures que creamos para la aplicación, y asignarlo a un usuario de la base de datos. A través de este usuario hacer que se conecte nuestro site. De esta forma evitamos sentencias que pueden elimiar una tabla o la base de datos.
  • Encryptacion del connection string del webconfig a través de la sentencia: asp_regiis -pe “connectionStrings” -app “/SitioWeb”

¿Qué es Academia NET Protector?

Es el programa de capacitación online gratuita sobre desarrollo de código seguro de la comunidad de desarrolladores de Microsoft.

Net Protector es el programa creado por Microsoft para instruir en forma gratuita tanto a desarrolladores que estén dando sus primeros pasos en el desarrollo de código como aquellos que deseen evaluar sus conocimientos avanzados sobre seguridad.

Net Protector  te propone participar en un programa dividido en cinco niveles, donde contarás con todos los materiales de estudio necesarios sobre las más avanzadas técnicas de desarrollo de código seguro.

Fuente: http://www.microsoft.com/spanish/msdn/latam/mediacenter/netprotector/default.aspx


Comentarios : Deja un Comentario »
Etiquetas: , , , , , , , , , , , , ,
Categorías : Seguridad


Seguir

Get every new post delivered to your Inbox.