Portada
mis comunidades
otras secciones
#10:
El ascii-art al final de http://pastebin.com/raw.php?i=BayvYdcP es sencillamente fantástico.
#11:
En la casa del herrero, patada en los cojones.
Comentarios
#0: Creo que el titular debería ser "Las páginas web de MySQL son vulnerables a Inyección SQL"
Es problema del código de las páginas web, y no del código de la base de datos MySQL
#3 Sí, tienes razón
Cambiado
#4 Listo, me he levantado espeso hoy
#4: Ok. De todas maneras, cambia el plural: "vulnerables"
#3 El problema es la gente con mucho tiempo libre
Como información para evitar chistes mal formados : Los errores de SQL Injection no son culpa del servidor MySQL, sino del lenguaje de programación que se usa para formar las consultas, PHP en este caso.
#3 Vaya, me di demasiada prisa...
#13
Los errores de SQL Injection NO son culpa ni de la base de datos MySQL ni lenguaje PHP.
Son errores de los programadores por no validar las entradas de usuario.
#15 Acepto la corrección. Tienes razón.
#15 talmente, es un fallo de vagos y tanto PHP como MySQL tienen metodos sencillos y efectivos para evitarlo, un parseo con mysql_real_escape_string(), por ejemplo, y listo.
#15 No hay que validar nada, basta con hacer las consultas parametrizadas.
Cada vez que se escriben consultas no parametrizadas y tronchos de código de validación y generación de escapados, Dios mata los gatitos con nombre no reconocido por las expresiones regulares que hayas usado.
#21 pero que dices!!! ahora vamos a ver durante eones regex del tipo (.)* todo sea por salvar gatitos
#21 Si, la solución más sencilla es las consultas parametrizadas.
#22 No te entiendo.
#23 ¿Pq PHP no ayuda? En Java he visto infinidad de SQL Injection.
#15 Pero PHP ayuda a eso... Por ejemplo, Java, con JDBC hace imposible el SQL Injection de forma muy fácil.
#26 De verdad has llegado a esa conclusión tú solito? Impresionante!
Casi tan impresionante como el comentario #23
OWNED épico.
Muy agudo el avatar de #0
El ascii-art al final de http://pastebin.com/raw.php?i=BayvYdcP es sencillamente fantástico.
En la casa del herrero, patada en los cojones.
Hay que ser GILIPOLLAS para publicar los datos robados, que gentuza. Ojala lo pillen.
Una cosas es encontrar la vulnerabilidad e informar y otra publicar los datos.
Creo que lo que ha hecho este individuo es totalmente inmoral además de ser un delito. Debería haber informado sobre la vulnerabilidad a los responsables.
Leyendo el archivo se leen varios correos con dominio Viagra-mail.com, mysql son spamers!
De todos modos yo flipo user => admin y password 4 digitos¿??? para que ni tengas que cargar rainbow tables no me jodas...
Esto sería una metavulnerabilidad?
¿que quiere decir esto? ¿alguien que lo explique a un profano de la informática?
#12 Es un ataque a una web donde al cubrir un campo metes un trozo de código SQL (para trabajar con bases de datos) y puedes hacer casi cualquier cosa con la base de datos, como por ejemplo robar información.
http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL
Vale, palmaditas en las espalda!, una medalla???, venga también!.. pero una SQL inyection no es noticia y menos si requiere de registro donde dejar un "rastro" (ahora llegaran la masa en forma de registros pringaos, es lo que esperan?)
Y No, no hay ni que leer nada, huele demasiado más a filtrado que otra cosa
--editado--
--editado--
That's the definition of the word.. IROOONYYYYYY
no sera un problema del MySQL pero Igual no deja de ser bastante irónico el asunto
pero las contraseñas estan encriptadas en md5 ?
En el documento pastebin.com/raw.php?i=BayvYdcP,
****************************************************************
(+) Authors : TinKode & Ne0h
(+) WebSite : Slacker.Ro
(+) Date : 27.03.2011
(+) Hour : 13:37 PM
(+) Targets : www.mysql.com
www.mysql.fr
www.mysql.de
www.mysql.it
www-jp.mysql.com
(+) Document: MySQL PwNaGe
(+) Method : UnKn0Wn aka SQL Injection
****************************************************************
¿Alguno ha podido entrar en el foro donde se supone que describen el tema?
Y Oracle que opina de todo esto? Ya tendrán la excusa para decir que MySQL como no es un producto seguro lo dejarán de lado para que la gente apueste por Oracle BBDD.
#30 No tiene nada que ver. Una cosa es la web de MySQL y otra el motor de base de datos MySQL. Oracle está invirtiendo mucho en MySQL y lo ha mejorado mucho en muy poco tiempo. Evidentemente, saca pasta de cada licencia de MySQL.
páginas de MySQL (.fr , .it , .de y .jp) ¿Qué tiene que ver el tocino con la velocidad? Para empezar, una página ni es ni deja de ser de MySQL. MySQL es la base de datos que puede utilizar una página, no hay "páginas de MySQL". Por otro lado, .fr, .it etc. son las extensiones de los dominios, y es independiente de que la página utilice bases de datos MySQL o no.
Y lo peor de todo, que al acceder al artículo te pide que te registres para leerlo (es que no puedo con estos artículos que no sé qué hacen en portada)
#33 y tienes que postear 5 veces antes de que te dejen leerlo. Yo he pasado.
Si alguien lo hace, que lo cuelgue por ahí.
#33 Han hackeado los servidores(funcionando bajo mysql se sobreentiende) de los las páginas web de mysql(de la marca o división) en estos países, es deicr www.mysql.fr, www.mysql.it...etc.. mediante un injection sql, es a lo que se refiere y han sacado los usuarios, passwords de unos cuantos peces gordos.
No me lo explico... utilizando todo un stack de software libre un agujero de seguridad de este tamaño... ¿pero estas cosas no son imposibles con software libre?... A final va a ser que un programador chapucero la puede liar igual use el sistema operativo, base de datos y lenguaje de programación que use.
Resulta que los programadores y el proceso de desarrollo son los eslabones débiles de la cadena.