Archivos de la categoría ‘Sql Server 2005’

Una fallo de inyección de SQL (o SQL Injection en inglés) es …

…es una vulnerabilidad informática en el nivel de la validación de las entradas a la base de datos de una aplicación. El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o de script que esté incrustado dentro de otro.

Fuente

Según estadísticas publicadas por WhiteHack Security, los fallos de inyección de SQL y otro tipo de vulnerabilidades afectan a un gran número de sitios web, por lo que el uso de herramientas automatizadas que detecten posibles problemas de seguridad son más que recomendables.

En Security-Hacks, han publicado una lista de herramientas destinadas a encontrar y explotar vulnerabilidades de inyección de SQL.

  1. SQLIer
  2. SQLbftools
  3. SQL Injection Brute-forcer
  4. SQLBrute
  5. BobCat
  6. SQLMap
  7. Absinthe
  8. SQL Injection Pen-testing Tool
  9. SQID
  10. Blind SQL Injection Perl Tool
  11. SQL Power Injector
  12. FJ-Injector Framwork
  13. SQLNinja
  14. Automagic SQL Injector
  15. NGSS SQL Injector

Para evitar este tipo de ataques se debe hacer uso de consultas parametrizadas o funciones que el lenguaje de programación provea para este fin, en lo posible no debemos reinventar la rueda y hacer funciones que algunas veces no sirven de nada.

Anuncios

Navegando en la web encontre este artículo el cual nos brinda una serie de links los cuales los veo muy interesantes.

Estos temas son parte de los que se han presentado durante los eventos del Solid Quality Summit 2007.

* Han desarrollado para Microsoft la “guía oficial”: SQL Server 2005 Upgrade Technical Reference Guide.
Esta guía es un documento de 400 páginas explicando en detalle lo necesario a considerar en un proceso de actualización.
Se puede bajar aquí: http://www.microsoft.com/downloads/details.aspx?FamilyID=3d5e96d9-0074-46c4-bd4f-c3eb2abf4b66&DisplayLang=en

* Han grabado (en español) 4 webcasts sobre el tema.
Las direcciones para verlos están aquí en el blog de Javier: http://blogs.solidq.com/ES/jloria/Lists/Posts/Post.aspx?ID=7

* SQL Server 2005 Upgrade Handbook, es una guía rápida escrita por miembros de Solid Quality.
Publicada en el sitio web de Microsoft: http://www.microsoft.com/technet/prodtechnol/sql/2005/sqlupgrd.mspx

* Página oficial de Microsoft con más documentación sobre actualización hacia SQL Server 2005: http://www.microsoft.com/sql/solutions/upgrade/default.mspx

Fuente: Blog de Adolfo Wiernik