Blogger :
ASP.NET Blogs
All posts :
All posts by ASP.NET Blogs
Category :
SharePoint
Blogged date : 2008 Jul 25
Recientemente se ha propagado a través del Internet una serie de ataques de Sql Injection, muchos de esos ataques tradicionalmente se realizan a traves de la inclusión de codigo malicioso en los campos de un formulario. Sin embargo ahora mucho de estos ataques se estan dando por Url Sql Injection, en donde se incrusta este codigo malicioso dentro del query string enviado en un URL de un sitio web. Otro tema que tienen que conocer es el CrossSiteScripting, el cual ocasiona muchos dolores de cabesa para los web masters de sitios web publicos. Hoy en día mucho de estos ataques son realizados a través de programas, que de forma automatizada, comienzan a intentar diferentes sitios de manera aleatoria y esto ha ocasiona muchos problemas.
No pretendo reescribir o parafrasear lo que otras personas, que han vivido este problema, estan escribiendo. Por tal razón les comparto dos enlaces en donde podrán encontrar un poco mas de información al respecto:
http://geeks.ms/blogs/rcorral/archive/2008/07/20/protegerse-de-las-inyecciones-sql-por-url.aspx
http://geeks.ms/blogs/gvelez/archive/2008/07/17/gracias-se-241-ores-por-intentar-hackear-mi-sitio-me-han-ense-241-ado-mucho-sobre-sharepoint.aspx
Información mas detallada:
http://www.bloombit.com/Articles/2008/05/ASCII-Encoded-Binary-String-Automated-SQL-Injection.aspx
En conclusión, muchos no tomamos con seriedad el grave problema que conlleva no tener controles adecuados de seguridad para evitar este tipo de ataques, recuerden que afuera hay millones de usuarios que intentaran quebrar la seguridad de sus sitios. Asi que es importante tomar en cuenta el considerar probramar bajo el esquema de mejores practicas de seguridad, un libro recomendado para este tema es Writting Secure Code 2nd Edition de Michael Howard y David LeBlanc.
Saludos,
Carlos A. Lone
