Menéame: comentarios [911406]

#39 Inyección SQL para lectores de matrículas

txeke — Wed, 24 Mar 2010 16:02:31 +0000

#38 ¿y cómo crees que se guarda ese texto? Precisamente, la inyección SQL es hacer que un simple e inocente texto termine ejecutando una sentencia SQL.

insert into multas(matricula) values('variable_matricula');

Si variable_matricula = "0123 EEE", todo correcto, pero, ¿qué pasa si variable = "a'); delete from multas; -- "? Si la aplicación no está protegida, la multa iría a la matrícula "a", y luego se borraría toda la tabla multas.

» autor: txeke

#38 Inyección SQL para lectores de matrículas

--77349-- — Wed, 24 Mar 2010 15:46:55 +0000

[Usuario deshabilitado]

» autor: --77349--

#37 Inyección SQL para lectores de matrículas

wulf — Tue, 23 Mar 2010 17:46:50 +0000

#35 Exactamente, estábamos hablando de cuando uno propone proteger un proyecto web contra inyecciones SQL y otro dice que ahí es donde la cagas con el jefe.
Evidentemente, cuando no hay opción a elegir tampoco hay opción a sutilezas sociales de ese estilo.

» autor: wulf

#36 Inyección SQL para lectores de matrículas

aqeloutro — Tue, 23 Mar 2010 17:09:00 +0000

#15 #21 No, no, yo era el cliente en este caso y el jefe de proyecto era de otra empresa...Debí sospechar cuando dije que quería las páginas codificadas en UTF-8 y el programador me preguntó que qué era eso

» autor: aqeloutro

#35 Inyección SQL para lectores de matrículas

--109951-- — Tue, 23 Mar 2010 10:11:13 +0000

#20 parece que me pones un ejemplo en el caso de alguien que puede elegir entre mas de una opción y lo hace mal, pero creo que hay mucha mas gente en otro caso: no encuentra trabajo y cuando le sale uno simplemente lo coge porque necesita el dinero

» autor: --109951--

#34 Inyección SQL para lectores de matrículas

txeke — Mon, 22 Mar 2010 20:17:11 +0000

#27 es que, al menos en España, es ilegal que tú le digas a un usuario su contraseña, ya que debes almacenarla cifrada y tú no podrías leerla en ningún caso. Además, la LOPD tiene algo que decir al respecto de enviar por email contraseñas (básicamente, que es ilegal), el típico "recuperar contraseña".

Si quieres cumplir la ley en España (no se si en más sitios de Europa/USA), NO puedes darle a un usuario su contraseña; lo que debes hacer es o bien generarle una nueva e informarle de ésta nueva contraseña en persona, para que él la cambie cuando quiera, o bien si es automatizado enviarle un email con una URL con un token de un solo uso y con fecha de caducidad para acceder a un formulario donde pueda teclear una nueva contraseña.

Y si algún cliente se queja, como a mi me ha pasado, se le dice: "las políticas de seguridad son muy estrictas y nadie puede acceder a su contraseña, para protejer su seguridad; además, esta empresa cumple la LOPD que obliga a esto, para que nuestros clientes como usted puedan tener la tranquilidad de que sus datos están seguros y protegidos como indica la ley".

Seguro que cuando en el banco les piden el DNI, su ISP les pide sus datos o para cambiar el PIN de la tarjeta les exigen el viejo no se quejan, porque es lo que hay, pues en esto lo mismo.

» autor: txeke

#33 Inyección SQL para lectores de matrículas

--27313-- — Mon, 22 Mar 2010 19:34:30 +0000

¿Qué clase de WTF es éste?

» autor: --27313--

#32 Inyección SQL para lectores de matrículas

Lito — Mon, 22 Mar 2010 17:56:48 +0000

#31 tablice es polaco y la foto es en polaca

» autor: Lito

#31 Inyección SQL para lectores de matrículas

Scipion — Mon, 22 Mar 2010 17:36:57 +0000

que bueno el injection, creo que es finés y tablice significa matricula si no me equivoco.
Drop table matricula;
hay que intentarlo en españa

» autor: Scipion

#30 Inyección SQL para lectores de matrículas

--159601-- — Mon, 22 Mar 2010 17:21:53 +0000

#12 nos podias decir la empresa? Jejejeje, que desastre.

» autor: --159601--

#29 Inyección SQL para lectores de matrículas

Apatikorl — Mon, 22 Mar 2010 16:27:30 +0000

#27 Los clientes son los primeros que quieren seguridad magica, que ellos no tengan que hacer nada (no les molestes con contraseñas de verdad o contraseñas que hay que cambiarlos cada poco tiempo) y que luego el sitio sea inexpugnable. Quiero que vuele, pero no puede tener ni alas, ni hacer ruido ni soltar gases! Y lo quiero ya!

» autor: Apatikorl

#28 Inyección SQL para lectores de matrículas

noahwilly — Mon, 22 Mar 2010 16:25:58 +0000

esta inyeccion no funcionaria, obviamente falta el nombre de la base de datos que se deberia borrar....Y eso suponiendo que el lector de matriculas tenga acceso directo al servidor de base de datos y no se envie de otra manera.

No me lo creo....

» autor: noahwilly

#27 Inyección SQL para lectores de matrículas

zumito — Mon, 22 Mar 2010 15:08:04 +0000

#26 ...lo que es una bendición si sabes como proteger totalmente el acceso a tu servidor y los clientes son de los que dicen lo de: "es que no me acuerdo de mi contraseña, ¿cual era?", y se quejan si les dices que se la vas a cambiar.

Joder, ¿si no te acuerdas que más te da que te la cambie?.

» autor: zumito

#26 Inyección SQL para lectores de matrículas

--27552-- — Mon, 22 Mar 2010 14:42:01 +0000

#24 Y no solo aplicaciones creadas por una empresa pequeña y con pocos recursos. Hablo de Plesk, un panel de control de hosting desarrollado por Parallels que guarda las contraseñas de los correos electrónicos en texto plano.

» autor: --27552--

#25 Inyección SQL para lectores de matrículas

aelfraithr — Mon, 22 Mar 2010 14:22:08 +0000

Un poco viejo.

Hace 2 años publiqué esto www.areino.com/hackeando/

Y lo enlazó Bruce Schneier y todo www.schneier.com/blog/archives/2008/04/sql_injection_a_1.html

» autor: aelfraithr

#24 Inyección SQL para lectores de matrículas

Pablosky — Mon, 22 Mar 2010 14:11:10 +0000

#12 Nada nuevo bajo el sol, yo he visto cosas peores, como BBDD que guardan las contraseñas en texto plano (y por que lo ha pedido el jefe, OJO).

» autor: Pablosky

#23 Inyección SQL para lectores de matrículas

--150388-- — Mon, 22 Mar 2010 14:04:42 +0000

Falta la etiqueta Humor... Es evidente que no funcionaría en ningún caso. Pero el concepto es gracioso.

» autor: --150388--

#22 Inyección SQL para lectores de matrículas

CountVonCount — Mon, 22 Mar 2010 13:13:59 +0000

Uno de mis papers favoritos es éste: www.google.com/url?sa=t&source=web&ct=res&cd=1&ved=0CA (PDF)

Cuenta como meter virus en bases de datos haciendo SQLinjection usando un RFID como soporte. Pone el ejemplo de cargarlo en el chip RFID de un perro, llevarlo al veterinario y que en pantalla del lector se lea: ALL YOUR PETS ARE BELONG TO US!

» autor: CountVonCount

#21 Inyección SQL para lectores de matrículas

--138914-- — Mon, 22 Mar 2010 12:57:54 +0000

[Usuario deshabilitado]

» autor: --138914--

#20 Inyección SQL para lectores de matrículas

wulf — Mon, 22 Mar 2010 12:54:30 +0000

#17 Creeme, se puede. Hay trabajos y hay pérdidas de tiempo mal pagadas. Uno la caga cuando confunde los primeros con los segundos.

Evidentemente, al final todo es una cuestión de prioridades. La frontera entre los unos y otros no es fija.

» autor: wulf

#19 Inyección SQL para lectores de matrículas

wulf — Mon, 22 Mar 2010 12:51:15 +0000

#16 pos no, lástima, mas bien al contrario, y el sueldo es una mierda, pero por lo menos no tienes (yo no tengo) que aguantar un troglodita como jefe.

» autor: wulf

#18 Inyección SQL para lectores de matrículas

EdmundoDantes — Mon, 22 Mar 2010 12:46:23 +0000

#16 ¿Dónde trabajas? ¿Están buscando gente?

» autor: EdmundoDantes

#17 Inyección SQL para lectores de matrículas

--109951-- — Mon, 22 Mar 2010 12:42:52 +0000

#16 no creo que nadie la cague por aceptar un trabajo

» autor: --109951--

#16 Inyección SQL para lectores de matrículas

wulf — Mon, 22 Mar 2010 12:37:46 +0000

#15 En todo caso la cagó entrando a trabajar con un especimen como el que describes. Aunque puedan no ser muy habituales, otros jefes valoran positivamente que tu sepas mas que él de lo tuyo porque ellos si saben de lo suyo.

» autor: wulf

#15 Inyección SQL para lectores de matrículas

EdmundoDantes — Mon, 22 Mar 2010 12:20:04 +0000

#12 La cagaste, nunca dejes que tu jefe sepa que sabes mal que él.

» autor: EdmundoDantes

#14 Inyección SQL para lectores de matrículas

--55315-- — Mon, 22 Mar 2010 12:13:37 +0000

¿Alguien puede poner el texto aquí? Es que no entiendo bien un par de letras y lo mismo me sirve para una cosita...

» autor: --55315--

#13 Inyección SQL para lectores de matrículas

sam2001 — Mon, 22 Mar 2010 12:13:07 +0000

#9 ¿seguro que no? www.meneame.net/story/fallo-seguridad-compromete-datos-millones-espano

» autor: sam2001

#12 Inyección SQL para lectores de matrículas

aqeloutro — Mon, 22 Mar 2010 12:10:31 +0000

#9 Muchos lo son...Hace muy poco encargamos un trabajo a una empresa externa y todas las entradas de usuario se concatenaban con las consultas sin proteger de ningún modo permitiendo ataques por inyección de SQL a saco. Lo peor de todo es que cuando se lo hice notar al jefe de proyecto me dijo que eso no era un fallo tan gordo, que no estaba en los requerimientos y que yo era muy "especialito" por fijarme en esas cosas...

» autor: aqeloutro

#11 Inyección SQL para lectores de matrículas

wulf — Mon, 22 Mar 2010 12:09:46 +0000

#9 shit happens

» autor: wulf

#10 Inyección SQL para lectores de matrículas

EdmundoDantes — Mon, 22 Mar 2010 11:50:26 +0000

#8 Aguafiestas

» autor: EdmundoDantes

#9 Inyección SQL para lectores de matrículas

--138650-- — Mon, 22 Mar 2010 11:49:02 +0000

[Usuario deshabilitado]

» autor: --138650--

#8 Inyección SQL para lectores de matrículas

--138914-- — Mon, 22 Mar 2010 11:48:40 +0000

[Usuario deshabilitado]

» autor: --138914--

#7 Inyección SQL para lectores de matrículas

--130208-- — Mon, 22 Mar 2010 11:46:21 +0000

#1 Injection SQL in the matriculation readers

» autor: --130208--

#6 Inyección SQL para lectores de matrículas

marioquartz — Mon, 22 Mar 2010 11:46:03 +0000

#1 cuando guarden la matricula en texto, si no filtran bien el texto, provocara que se borre la tabla entera.

» autor: marioquartz

#5 Inyección SQL para lectores de matrículas

stygyan — Mon, 22 Mar 2010 11:45:27 +0000

#1, básicamente funciona de la siguiente forma: si un programa de reconocimiento de texto lee esa matrícula y la mete en una base de datos, la base de datos se va al carajo por completo gracias a una instrucción que hay en la misma.

» autor: stygyan

#4 Inyección SQL para lectores de matrículas

ctrl_alt_del — Mon, 22 Mar 2010 11:44:57 +0000

#1 Si. "Inyección"

#3 Cualquiera tiene derecho a llamar a su hijo DROP TABLE Students;

» autor: ctrl_alt_del

#3 Inyección SQL para lectores de matrículas

EdmundoDantes — Mon, 22 Mar 2010 11:44:50 +0000

¡Bobby Tables, yo te invoco!

» autor: EdmundoDantes

#2 Inyección SQL para lectores de matrículas

wulf — Mon, 22 Mar 2010 11:44:33 +0000

Hay mas cabrones que cabezas de alfileres

#1 seguro que alguien puede ser mas preciso que yo, pero la idea es que cuando el lector de matriculas lea, en lugar de procesar la matrícula de forma normal, borre la tabla de matrículas dejándolo "un poco" inutil.

#5 se me ha adelantado por segundos

» autor: wulf

#1 Inyección SQL para lectores de matrículas

natrix — Mon, 22 Mar 2010 11:43:52 +0000

¿Alguien podría traducirlo?

» autor: natrix