Forums:
Me topé con una página web X que tenía un sistema de consulta de sus suscriptores, y en uno de sus links tenía algo como esto:
[quote]
/search/buscador/buscar.asp?whichpage=1&pagesize=10&sqlQuery=SELECT+DISTINCT+%2A+FROM+listado+WHERE+%28%28nombre+like+%27%25%25%25%25%27+OR+sector+like+%27%25%25%25%25%27%29+AND+habilitado+%3D+1+%29
[/quote]
Que les parece esta parte del URL???
sqlQuery=SELECT+DISTINCT+%2A+FROM
No les da ganas de hacer un SQL poisoning ???
que tal algo como:
sqlQuery=DROP+TABLE+listado
Es por cierto una muy mala práctica el hacer cosas de ese estilo, espero que nadie en este foro haga cosas como estas, y si las ha hecho, por favor a cambiarlas...
Espero sirva de algo ...
bye
:)
y SQL Injection ???
Luis Solís
(03)2853529 - 096231869
Ambato - Ecuador
Hay varias opciones :)
Y encima está en ASP ;)
bye
:)
Qué fatal... Seguramente el
Qué fatal...
Seguramente el programador no tiene idea de lo que hace
----------------------------
Cada día más Grande... y no lo detiene nadie!!
Penoso, pero todavía hay
Penoso, pero todavía hay bravos que pretenden cosas así.... a propósito, no sólo tiene que ser tan EVIDENTE como el caso que death se encontró, también hay veces que programamos y no nos damos cuenta que nos pueden hacer lo mismo aunque nosotros no lo usemos.
por eso prefiero usar el hardened-php porque me evita algunas cositas que le quieran pasar como variables al php.
En todo caso ya las prácticas de programación deben ir cambiando, deben tener los programadores más conciencia de que hay que programar no sólo pensando en el usuario que paga por el producto sino en el que quiere aprovecharse de nuestras fallas.
Aquí un RFC sobre seguridad en sitios:
http://www.faqs.org/rfcs/rfc2196.html
Aquí otro documento sobre cómo programar de forma más segura (esto normalmente no lo enseñan en la U):
http://www.tldp.org/HOWTO/Secure-Programs-HOWTO/
saludos!
epe
--
EcuaLinux.com
Ecuador: (02)3412402 - (09)9246504
USA: + 1 404 795 0321
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
Jeje
Seguramente ese pana estaba trabajando en la madrugada... y no se dió cuenta...
Carlos Julio Pérez Quizhpe
Full stack developer
https://ec.linkedin.com/in/carlosjulioperez