Se ha detectado un ataque con
Como explican en Internet Storm Center, cuando haces una búsqueda al sitio uc8010.com en Google, obtienes miles de sitios que señalan todos a uc8010.com. Esto es así porque existe un script automatizado o un ataque SQL injection en las aplicaciones vulnerables de la web. Este ataque ya se detectó en noviembre, pero al parecer ha sido ahora extendido y mejorado.
Casi todos los sitios afectados funcionan sobre servidores IIS y MS SQL. Esto parece lógico ya que el extracto SQL del ataque funcionará sólo en servidores MS SQL. En el artículo original recomiendan soluciones temporales como las de instalar un firewall de aplicaciones web o un ‘reverse proxy’, pero ambos parches sólo serán soluciones temporales, así que habrá que estar atentos a posibles incidencias en los servidores.
vINQulos
Internet Storm Center
genial, otra vez a sql server !!
Ignorancia al maximo aca.
La tecnica de SQL Injection no tiene nada que ver con SQL Server e IIS.
Se puede hacer una ataque de SQL Injection con ABSOLUTAMENTE TODAS LAS BASES DE DATOS EXISTENTES.
El problema esta en el programador que no sabe hacer su trabajo para que no ocurran este tipo de errores.
Estoy totalmente deacuerdo contigo Esteban, no es un problema de las bases de datos, pero también ten en cuenta que en ciertos lenguajes de programación, por ejemplo … por ejemplo ASP (por el temita de magic quotes por defecto) que curiosamente corre sobre IIS, son más propensos a los errores de SQL injection. El rollo es que en web, MS SQL suele correr detrás de servidores web con IIS.
Pero bien es cierto que la responsabilidad final es del programador que debería conocer las debilidades del lenguaje/framework/entorno que usa… y el rollito del SQL injection no es precisamente algo nuevo. Y no entiendo las “soluciones temporales como las de instalar un firewall de aplicaciones web o un ‘reverse proxy’” Cuesta menos arreglar el código.
que IGNORANCIA terrible que acaba de demostra Diana… Mejor que haga sus típicas amarilladas que noticias sinsentido como esta.
Una inyección SQL se puede hacer a cualquier base de de datos.
De hecho, cuando un programador aprende “seguridad”, esta es la técnica que te enseñan primero.
Evitar su ejecución depende del programador, y no del sistema, el servidor ni la base de datos.
de acuerdo, pero como lo han recomendado que algunos lenguajes lo facilitan mas, y la verdad php sin un saneamiento de variables es una prosti con letrero. pero tambien dependera del server SQL pues si la vulnerabilidad puede tocar lenguaje propio del motor. no todas los motores son 100% standar.
lo que IIS facilita es una mala programacion, todo con maguitos…
El SQL INJECTION, más que afectar a las BD -si no lo entiendo yo mal- afecta a los lenguajes con los que se programa y éstos atacan a la BD.
El problema es que se programa con lenguajes de 2ª como son PHP y ASP en lugar de lenguajes de 1ª como es Java. Para que te puedan hacer un ataque SQL INJECTION programando en Java con JDBC realmente no hay que tener ni idea de programar…
“nombre”: decir que hay lenguajes de 1a y de 2a demuestra que tú tampoco tienes mucha idea de que va esto, hay cerdos para todos los lenguajes (ya lo irás descubriendo). En java te cuelan los sql-injections igual que con php o cualquier otro lenguaje que me digas. Java no es la solución a todo, primero se plantea como va la aplicación y luego las herramientas y no alreves como haceis algunos. Y te lo dice alguien que lleva muchos años con java y se ha encontrado con fallos graves de gente que va por la vida de guru de java “ooohh el lenguaje para controlarlos a todos”.
Me da igual el lenguaje que sea, lo ideal para mi gusto es usar un framework, ya sea hecho por tí o no, que te resuelva esos problemas y que te obligue a controlar ciertas cosas y no como hacen muchos de tirar las sql directamente con las funciones nativas del lenguaje.
Ahh caray, me gustaria saber como le metes un SQL Inyeccion a un PreparedStatement… (hahaha)
no hay que ser un superprogramador para usar un preparedStatement en java..
Saludos..
Pingback: Vulnerabilidad crítica y muy peligrosa con la técnica “SQL injection”. | PortalHispano
Pingback: Vulnerabilidad crítica y muy peligrosa con la técnica “SQL injection” | Noticias