Portada
Hace 14 años | Por Lito a virallisetlinkit.fi
Publicado hace 14 años por Lito a virallisetlinkit.fi

Inyección SQL para lectores de matrículas

 virallisetlinkit.fi

Inyección SQL vía papel para lectores de matrículas.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 340 39

Comentarios

EdmundoDantes
editado

¡Bobby Tables, yo te invoco!

V 20
K 188
ctrl_alt_del
editado

#1 Si. "Inyección"

#3 Cualquiera tiene derecho a llamar a su hijo DROP TABLE Students; lol

V 22
K 204
D
editado

Obviamente no funcionaria, los sistemas de reconocimiento de matriculas tienen métodos para descartar falsas matriculas basados en el numero de caracteres y muchas heuristicas mas. De esta forma evitan que una 'U' que se haya roto en el preprocesamiento de la imagen sea identificada como dos 'i' 'i' o confundir cualquier rotulo que tenga el coche con la matricula.

V 20
K 178
EdmundoDantes
editado

#8 Aguafiestas

V 9
K 77
A
editado

#27 Los clientes son los primeros que quieren seguridad magica, que ellos no tengan que hacer nada (no les molestes con contraseñas de verdad o contraseñas que hay que cambiarlos cada poco tiempo) y que luego el sitio sea inexpugnable. Quiero que vuele, pero no puede tener ni alas, ni hacer ruido ni soltar gases! Y lo quiero ya! lol

V 4
K 39
CountVonCount
editado

Uno de mis papers favoritos es éste: http://www.google.com/url?sa=t&source=web&ct=res&cd=1&ved=0CAYQFjAA&url=http%3A%2F%2Fwww.rfidvirus.org%2Fpapers%2Fpercom.06.pdf&ei=Y22nS-L9BsuLkAXlmIGFAw&usg=AFQjCNEqcfN06DkpkBaTI_D9v57lJ9sS1w&sig2=Iuy5rwA5Y8k2ofiAh9fXdA (PDF)

Cuenta como meter virus en bases de datos haciendo SQLinjection usando un RFID como soporte. Pone el ejemplo de cargarlo en el chip RFID de un perro, llevarlo al veterinario y que en pantalla del lector se lea: ALL YOUR PETS ARE BELONG TO US!

V 4
K 37
D
editado

¿es posible que los programadores de bases de datos sean tan estúpidos?

Yo creo que no.

V 2
K 28
wulf
editado

#9 shit happens

V 3
K 34
a
editado

#9 Muchos lo son...Hace muy poco encargamos un trabajo a una empresa externa y todas las entradas de usuario se concatenaban con las consultas sin proteger de ningún modo permitiendo ataques por inyección de SQL a saco. Lo peor de todo es que cuando se lo hice notar al jefe de proyecto me dijo que eso no era un fallo tan gordo, que no estaba en los requerimientos y que yo era muy "especialito" por fijarme en esas cosas...

V 46
K 391
EdmundoDantes
editado

#12 La cagaste, nunca dejes que tu jefe sepa que sabes mal que él.

V 4
K 42
wulf
editado

#15 En todo caso la cagó entrando a trabajar con un especimen como el que describes. Aunque puedan no ser muy habituales, otros jefes valoran positivamente que tu sepas mas que él de lo tuyo porque ellos si saben de lo suyo.

V 1
K 19
xzdead
editado

#16 no creo que nadie la cague por aceptar un trabajo

V 1
K 13
wulf
editado

#17 Creeme, se puede. Hay trabajos y hay pérdidas de tiempo mal pagadas. Uno la caga cuando confunde los primeros con los segundos.

Evidentemente, al final todo es una cuestión de prioridades. La frontera entre los unos y otros no es fija.

V 1
K 18
xzdead
editado

#20 parece que me pones un ejemplo en el caso de alguien que puede elegir entre mas de una opción y lo hace mal, pero creo que hay mucha mas gente en otro caso: no encuentra trabajo y cuando le sale uno simplemente lo coge porque necesita el dinero

V 0
K 7
wulf
editado

#35 Exactamente, estábamos hablando de cuando uno propone proteger un proyecto web contra inyecciones SQL y otro dice que ahí es donde la cagas con el jefe.
Evidentemente, cuando no hay opción a elegir tampoco hay opción a sutilezas sociales de ese estilo.

V 0
K 9
EdmundoDantes
editado

#16 ¿Dónde trabajas? ¿Están buscando gente?

V 1
K 16
wulf
editado

#16 pos no, lástima, mas bien al contrario, y el sueldo es una mierda, pero por lo menos no tienes (yo no tengo) que aguantar un troglodita como jefe.

V 0
K 9
a
editado

#15 #21 No, no, yo era el cliente en este caso y el jefe de proyecto era de otra empresa...Debí sospechar cuando dije que quería las páginas codificadas en UTF-8 y el programador me preguntó que qué era eso

V 0
K 7
D
editado

#12 Muy mal, ahora si hay algun problema te pediran que lo arregles y aunque no puedas arreglarlo te pediran que eches horas y horas mirandolo, logicamente sin pagarte mas.

V 0
K 11
Pablosky
editado

#12 Nada nuevo bajo el sol, yo he visto cosas peores, como BBDD que guardan las contraseñas en texto plano (y por que lo ha pedido el jefe, OJO).

V 0
K 9
javier5510
editado

#24 Y no solo aplicaciones creadas por una empresa pequeña y con pocos recursos. Hablo de Plesk, un panel de control de hosting desarrollado por Parallels que guarda las contraseñas de los correos electrónicos en texto plano.

V 1
K 18
z
editado

#26 ...lo que es una bendición si sabes como proteger totalmente el acceso a tu servidor y los clientes son de los que dicen lo de: "es que no me acuerdo de mi contraseña, ¿cual era?", y se quejan si les dices que se la vas a cambiar.

Joder, ¿si no te acuerdas que más te da que te la cambie?.

V 1
K 15
t
editado

#27 es que, al menos en España, es ilegal que tú le digas a un usuario su contraseña, ya que debes almacenarla cifrada y tú no podrías leerla en ningún caso. Además, la LOPD tiene algo que decir al respecto de enviar por email contraseñas (básicamente, que es ilegal), el típico "recuperar contraseña".

Si quieres cumplir la ley en España (no se si en más sitios de Europa/USA), NO puedes darle a un usuario su contraseña; lo que debes hacer es o bien generarle una nueva e informarle de ésta nueva contraseña en persona, para que él la cambie cuando quiera, o bien si es automatizado enviarle un email con una URL con un token de un solo uso y con fecha de caducidad para acceder a un formulario donde pueda teclear una nueva contraseña.

Y si algún cliente se queja, como a mi me ha pasado, se le dice: "las políticas de seguridad son muy estrictas y nadie puede acceder a su contraseña, para protejer su seguridad; además, esta empresa cumple la LOPD que obliga a esto, para que nuestros clientes como usted puedan tener la tranquilidad de que sus datos están seguros y protegidos como indica la ley".

Seguro que cuando en el banco les piden el DNI, su ISP les pide sus datos o para cambiar el PIN de la tarjeta les exigen el viejo no se quejan, porque es lo que hay, pues en esto lo mismo.

V 1
K 17
D
editado

#12 nos podias decir la empresa? Jejejeje, que desastre.

V 0
K 7
sam2001
editado

#9 ¿seguro que no? Un fallo de seguridad compromete los datos de millones de españoles

Hace 14 años | Por sam2001 a samuelparra.com
Publicado hace 14 años por sam2001 a samuelparra.com

Un fallo de seguridad compromete los datos de mill...

 samuelparra.com

V 1
K 19
aelfraithr
editado

Un poco viejo.

Hace 2 años publiqué esto http://www.areino.com/hackeando/

Y lo enlazó Bruce Schneier y todo http://www.schneier.com/blog/archives/2008/04/sql_injection_a_1.html

V 1
K 18
D
editado

¿Alguien puede poner el texto aquí? Es que no entiendo bien un par de letras y lo mismo me sirve para una cosita...

V 1
K 17
D
editado

¿Qué clase de WTF es éste?

V 0
K 10
Scipion
editado

lol que bueno el injection, creo que es finés y tablice significa matricula si no me equivoco.
Drop table matricula;
lol hay que intentarlo en españa

V 0
K 8
Lito
autor
editado

#31 tablice es polaco y la foto es en polaca

V 0
K 10
Candidatas
44
meneos
ocio El 17% de los fondos europeos han sido transferidos a Llados Fitness
32
meneos
actualidad La Audiencia condena a un año y medio de cárcel a la mayoría de acusados por las agresiones del 9 d'Octubre
26
meneos
actualidad La Comunidad de Madrid cesa a un arquitecto autonómico por ausentarse de su puesto desde la pandemia
45
meneos
actualidad Las presiones de Unai Rementeria a un alcalde: “Le tienes que exigir que se pringue, yo también me pringaba”
37
meneos
actualidad Roban una escultura de bronce de un millón de euros para venderla al peso por 1.345
34
meneos
cultura Una larga avenida columnada romana descubierta en la ciudad de Antalya
39
meneos
actualidad La Fiscalía del Supremo pide condenar a un juez, fiscal y policía por la detención de los familiares de un político del PP balear
31
meneos
tecnología Fundaciones de código abierto advierten sobre nuevos intentos de adquisición de ingeniería social tras XZ Utils
40
meneos
actualidad Llamamiento desesperado para ayudar a Alejandro, de diez años, con leucemia: "Quedan cuatro semanas para encontrar un donante de médula"
23
meneos
actualidad Un incendio devora las instalaciones de una fábrica de aceite de oliva en Lucena
41
meneos
politica Esta entrevista de Jesús Quintero a José María García fue censurada en TVE
22
meneos
actualidad Tesla emite aviso de reparación para cerca de 4.000 Cybertruck por problemas con acelerador
31
meneos
actualidad Piden al juez el embargo de bienes preventivo a un secretario de Estado, un consejero y otros tres alcaldes de Almería
23
meneos
actualidad Joe Biden sorprende al afirmar que su tío fue devorado por caníbales
D
editado

Yo creo que primero y por encima de todos los análisis heurísticos que se comentan y demás hay que tener en cuenta otra cosa... Que la matrícula no hace más que guardarse como un tipo de variable X en una tabla... Es decir, no ejecuta una sentencia SQL sino que guarda un texto X dentro de una tabla.

V 0
K 8
t
editado

#38 ¿y cómo crees que se guarda ese texto? Precisamente, la inyección SQL es hacer que un simple e inocente texto termine ejecutando una sentencia SQL.

insert into multas(matricula) values('variable_matricula');

Si variable_matricula = "0123 EEE", todo correcto, pero, ¿qué pasa si variable = "a'); delete from multas; -- "? Si la aplicación no está protegida, la multa iría a la matrícula "a", y luego se borraría toda la tabla multas.

V 0
K 8
noahwilly
editado

esta inyeccion no funcionaria, obviamente falta el nombre de la base de datos que se deberia borrar....Y eso suponiendo que el lector de matriculas tenga acceso directo al servidor de base de datos y no se envie de otra manera.

No me lo creo....

V 0
K 7
D
editado

Falta la etiqueta Humor... Es evidente que no funcionaría en ningún caso. Pero el concepto es gracioso.

V 0
K 6
natrix
editado

¿Alguien podría traducirlo?

V 1
K 2
wulf
editado

Hay mas cabrones que cabezas de alfileres

#1 seguro que alguien puede ser mas preciso que yo, pero la idea es que cuando el lector de matriculas lea, en lugar de procesar la matrícula de forma normal, borre la tabla de matrículas dejándolo "un poco" inutil.

#5 se me ha adelantado por segundos

V 12
K 118
stygyan
editado

#1, básicamente funciona de la siguiente forma: si un programa de reconocimiento de texto lee esa matrícula y la mete en una base de datos, la base de datos se va al carajo por completo gracias a una instrucción que hay en la misma.

V 15
K 152
marioquartz
editado

#1 cuando guarden la matricula en texto, si no filtran bien el texto, provocara que se borre la tabla entera.

V 5
K 57
D
editado

#1 Injection SQL in the matriculation readers lol

V 0
K 7