Ni en medicina ni en informática. En lo primero por el mismo motivo que a much@s, lo reconozco, me dan yuyu y desde bien enano daba guerra a al hora de vacunarme aunque creo que he madurado un poco y ya no se me saltan los ojos y le digo al médico "Pero, pero esa aguja es de hierro señor!" de todas formas lo pienso…
En informática ¿dónde hay agujas? Físicamente en ningún lado, pero metafóricamente si y no se usan para vacunar, todo lo contrario, se usan para dar caña a los servidores, sobretodo los que usan algun sistema Windows, para inyectar código malicioso entre sentencias de SQL (lenguaje muy extendido que se utiliza para crear búsquedas, modificar y en definitiva, trabajar con bases de datos). Este sistema es bastante visual y por lo tanto se puede "leer a pelo" y entender más o menos qué es lo que buscamos:
"SELECT * FROM usuarios WHERE nombre = ‘" + nombreUsuario + "’;"
Selecciona de la tabla "usuarios" el que tenga en el campo nombre el nombre introducido.
Así de sencillo, claro que se puede complicar y mucho, pero no es esto a lo que voy.
¿Por dónde andan las agujas?
En un ataque que se ha puesto en los últimos tiempos muy, pero que muy de moda, la Inyección SQL que no es más que introducir parte de código entre lineas, así como suena, esas porciones se van almacenando en el servidor para finalmente ejecutarse y liarla: modificar la base de datos a su antojo, eliminar datos, crear nuevos, modificarlos, moverlos…. sin consentimiento por parte de nadie, claro está. Se trata de uno de esos sistemas que de sencillos que son y presuntamente fáciles de evitar que rozan la perfección, sobretodo teniendo en cuenta la ,mas que probable, ingente cantidad de paginas web creadas por cuñados que saben un montón y son unos cracks que controlan más que el que se dedica a ello y cobran o poco o nada. Poca broma con las inyecciones de marras, que en abril más de medio millon de sitios web fueron inyectados con este sistema y ni se sabe la cantidad de usuarios que pudieron verse afectados, de nuevo en esto los números son a lo grande.
¿Y que puedo hacer yo?
Pues, también de nuevo, tratar de usar el sentido común, si no sabes de que va pero te suena y has de hacer un proyecto importante, no lo hagas a lo loco, investiga, pregunta y aprende.
Si tu web se basa, como por ejemplo la mía, en un script popular, actualiza y trata de pasarle herramientas de testeo de seguridad, HP ha diseñado Scrawlr, una pequeña aplicación para chequear vulnerabilidades de inyección de SQL, sencilla y gratuita, sólo* hay que rellenar el formulario para descargarlo y analizar la web deseada.
Si encuentras problemas relacionados con la Inyección SQL en tu web, ponte en contacto inmediatamente con tu proveedor de Hosting!
*Curiosidad hablando de bases de datos, al tratar de descargar el programa hay que introducir una serie de datos, típicos de formulario de registro, entre ellos el país y un número de teléfono. En la combinación que me tocaba, España y nueve números (u once si pones el prefijo) hay un error tonto pero que me ha dado mas guerra de la que esperaba de un simple formulario de registro: Please enter a valid phone number. This Field is Required. Una y otra vez, lo he probado todo, hasta que he unido tres factores:
- Factor humano: por muy ingeniero de HP que seas puedes equivocarte
- Factor informático: por muy bien programado que estés, si el que te ha programado ha fallado….
- Formato de número de teléfono americano.
Lo cual me ha llevado a poner un número de 10 dígitos (el americano) que en España no tiene sentido alguno, y por fin me ha permitido descargar el programa…..
PD: Tras el análisis completo de noslan.com los resultados son los esperados:
Fuentes |
noslan.com Suscribete a mi FEED!
