3 de abril de 2007

Seguridad: Un ataque de sql injection básico

Estoy buscando presupuestos por Internet para instalarme un armario empotrado en casa. Y por el camino me he encontrado con una web en Flash en la que se deben haber gastado todo el presupuesto en los grafiquitos y en el loop musical insoportable que tiene ya que en seguridad no se han gastado ni un duro.

No voy a decir la web, tan malo no soy. Pero os voy a contar cual es su agujero para que no os pase a vosotros, un agujero que es bastante común ya que el otro día un amigo que es toda una figura en el mundillo de Microsoft Fox (por eso no daré su nombre) desarmó en menos de 5 minutos el área privada de una web que pertenece a un importante grupo mediático. No me mola no dar más detalles, pero claro, cómo abogado que he sido (aunque desde hace ya ni se sabe me dedico a la informática) me sé de pe a pa el código penal y no quiero dar pie a acciones legales.

Bueno, pues a ver cuando la gente se mentaliza y bloquea los ataques básicos de Sql Injection, especialmente este, por Diox:

Usuario--> Introducimos 1' or 'a'='a
Clave--> Introducimos 1' or 'a'='a

En fin, que ya me sé los márgenes de descuento con los que puede jugar el distribuidor. Lo cual dicho sea de paso es muy interesante para mí.

Y a todo esto, supongo que el usuario de la base de datos que utilizan en la web será de sólo lectura, no me quiero imaginar los efectos de un DROP TABLE o de un DELETE FROM.

En fin, que me las apañaré para ver quien les ha hecho la web para enviarles un email anónimo contándoles los problemas que tienen.



Comparte este Post:
Menéame Digg!

No hay comentarios: