Más de medio millón de servidores web de Microsoft, incluyendo servidores de Naciones Unidas y del gobierno de UK, han sido víctimas de una inyección SQL. El ataque inserta javascript malicioso que apunta a los clientes a los servidores nmidahena.com, aspder.com o nihaorr1.com, que usan otro set de exploits para instalar un troyano en el ordenador del cliente. Los usuarios de Firefox con NoScript estamos seguros contra el exploit de cliente, pero los administradores de servidores Windows tienen que estar alerta. Sigue en #1
#38:
#33 Básicamente, añadiendo a la URL de un sitio web un punto y coma y, a continuación del mismo, un sentencia SQL (de consulta a la base de datos).
En un ejemplo sencillo, esta sería una URL "normal" a un sitio web solicitando que se muestre un dato concreto:
(en la misma se solicita a la página.asp que recupere de la base de datos la información referente al producto 123)
Para realizar la inyección SQL el "asaltante" agrega a la URL un punto y coma, usado para separar sentencias SQL, y tras el mismo añade/inyecta una nueva sentencia SQL:
En el presente caso, el ataque se produce con una sentencia SQL muy elaborada que afecta a los servidores MS SQL Server (que generalmente son utilizados por el IIS). Esta sentencia, y ahí en mi opinión está gran parte del fallo, accede directamente a las tablas de sistema de la base de datos, averigua los nombres de las tablas y procede a insertar en todos los campos de texto una etiqueta de con su fuente (src) apuntando a un archivo malicicioso javascript que procede a explotar diversas y conocidas vulnerabilidades en los navegadores.
Un segundo fallo estriba en que se permita acceder a los datos de sistema en el MS SQL Server. Ignoro si por defecto es la configuración de este servidor (en caso de que lo sea es un fallo muy grave) o bien es una mala costumbre de los programadores de acceder a la base de datos con privilegios elevados.
Un tercero, culpa de los programadores, es no comprobar exhaustivamente todos los datos de las peticiones que llegan al servidor antes de operar con éllos sobre la base de datos.
(correcciones y/o puntualizaciones sobre lo brevemente expuesto son bienvenidas )
#18:
#5 La verdad no apruebo este tipo de acciones. Pero no se por que Unicef ha elegido andar pagando a Microsoft cuando su dinero tendria que ir a otros fines...
#8:
Hm, si es por inyección de SQL, el servidor web tiene poco que ver, ¿no?
editado:
We've been receiving some questions on the platform and operating systems affected by this attack. So far we've only seen websites using Microsoft IIS webserver and Microsoft SQL Server being hit. Do note that this attack doesn't use any vulnerabilities in any of those two applications. What makes this attack possible is poorly written ASP and ASPX (.net) code.
#11:
#10 ¿Estás sugiriendo que los programadores ASP son más "incompetentes" que los de PHP?
#41:
#37 Lo de los discos de Ubuntu se pareció más a una leyenda urbana. Son modelos muy concretos y con una configuración muy agresiva alejada de la por defecto:
PD: Con esto no quiero decir que no haya habido bugs gruesos en GNU/Linux. Hace poco hubo una escalada de privilegios fácil con un exploit público. Eso sí, hubo un workaround rápido y las distros importantes lo parchearon en unas 15 horas como mucho (Debian en apenas una o dos).
#10:
#9 Ya, pero es algo así como si yo escribo código PHP vulnerable, supongo.
(en la misma se solicita a la página.asp que recupere de la base de datos la información referente al producto 123)
Para realizar la inyección SQL el "asaltante" agrega a la URL un punto y coma, usado para separar sentencias SQL, y tras el mismo añade/inyecta una nueva sentencia SQL:
En el presente caso, el ataque se produce con una sentencia SQL muy elaborada que afecta a los servidores MS SQL Server (que generalmente son utilizados por el IIS). Esta sentencia, y ahí en mi opinión está gran parte del fallo, accede directamente a las tablas de sistema de la base de datos, averigua los nombres de las tablas y procede a insertar en todos los campos de texto una etiqueta de con su fuente (src) apuntando a un archivo malicicioso javascript que procede a explotar diversas y conocidas vulnerabilidades en los navegadores.
Un segundo fallo estriba en que se permita acceder a los datos de sistema en el MS SQL Server. Ignoro si por defecto es la configuración de este servidor (en caso de que lo sea es un fallo muy grave) o bien es una mala costumbre de los programadores de acceder a la base de datos con privilegios elevados.
Un tercero, culpa de los programadores, es no comprobar exhaustivamente todos los datos de las peticiones que llegan al servidor antes de operar con éllos sobre la base de datos.
(correcciones y/o puntualizaciones sobre lo brevemente expuesto son bienvenidas )
#5 La verdad no apruebo este tipo de acciones. Pero no se por que Unicef ha elegido andar pagando a Microsoft cuando su dinero tendria que ir a otros fines...
Hm, si es por inyección de SQL, el servidor web tiene poco que ver, ¿no?
editado:
We've been receiving some questions on the platform and operating systems affected by this attack. So far we've only seen websites using Microsoft IIS webserver and Microsoft SQL Server being hit. Do note that this attack doesn't use any vulnerabilities in any of those two applications. What makes this attack possible is poorly written ASP and ASPX (.net) code.
#5: Poca credibilidad me mereceria UNICEF si se confirmara que utilizase software privativo (y además compilado por la NSA) en sus servidores tal y como tu insinuas.
Leyendo la noticia queda claro que la culpa no es de Microsoft sino de los desarrolladores de aplicaciones con ASP. ¿Y por qué? En la empresa nos han llegado recien graduados y a ellos les han enseñado a programar con JSP, JSF y ASP... curiosamente ninguno sabe de PHP.
Lo peor es que en la Universidad no les enseñan (y los estudiantes no les preocupa) programar teniendo en cuenta la seguridad, todo se reduce para ellos a la pantalla de usuario: y contraseña: , no tienen ni idea de cifrarcomunicaciones, ni de SSL, ni Kerberos, y coincidencialmente cuando les pregunté como solucionaban el problema de ¿Inyección SQL? la respuesta fue: ¿qué es eso?
#37 Lo de los discos de Ubuntu se pareció más a una leyenda urbana. Son modelos muy concretos y con una configuración muy agresiva alejada de la por defecto:
PD: Con esto no quiero decir que no haya habido bugs gruesos en GNU/Linux. Hace poco hubo una escalada de privilegios fácil con un exploit público. Eso sí, hubo un workaround rápido y las distros importantes lo parchearon en unas 15 horas como mucho (Debian en apenas una o dos).
Ah! Y una España más pobre, más inculta, menos o nada libre y a las puertas de la creación de la policia del pensamiento y la instauración un neofeudalismo digital sin vuelta atrás.
Pero eso... ¿a quién le importa, verdad?
El hombre es el único animal que tropieza n veces con la misma piedra cuando n tiende a infinito. Por fuerza tenemos que ser masocas.
Una inyección de SQL se solventa en el codigo de la página. Da igual la plataforma que uses. Esto es cuenta del porgramador. Almenos eso tenia entendido pero viendo que 500000 servidores han sido afctados me da que pesnar. ¿todos los programdores web son unos cazurros?.
#6: Son comparativas de errores reportados, aunque yo más bien diria "reconocidos".
En eso les hemos ganado siempre de calle... Basta con ver todos los sistemas de reportes de bugs que existen para software libre y el clásico oscurantismo de Microsoft...
Las estadísticas rara vez mienten, pero siempre dicen lo que le interesa a quien las encarga. Y si además se las maquilla pueden hacer fácilmente que un oyente incauto saque conclusiones disparatadas debido a la visión deformada que éstas le han dado.
¿Cómo explicarle qué son los colores a alguien que ve en blanco y negro? ...o la visión tridimensional a un tuerto congénito?
Juas, y justo ahora que Microsoft anunciaba sus ganancias gracias al aumento de las ventas de sus servidores, como siga así el tema me veo a microsoft viviendo de la XBox
Me acuerdo de una charla de Microsoft Technet que dieron aquí en S/c de Tenerife, no paraban de poner comparativas de los muchos errores que tenia Apache, y los pocos que tenia ISS.
se me olvidaba, a ver si leemos los articulos enteros.
UPDATE: We've been receiving some questions on the platform and operating systems affected by this attack. So far we've only seen websites using Microsoft IIS webserver and Microsoft SQL Server being hit. Do note that this attack doesn't use any vulnerabilities in any of those two applications. What makes this attack possible is poorly written ASP and ASPX (.net) code.
El titular es bastante amarillista, aunque Microsoft no me gusta nada, tampoco hay que cargarle todas las culpas.
La noticia deja claro que no es una vulnerabilidad de IIS y además el titular es erroneo, no son "servidores web de microsoft", en todo caso de empresas que usan algunos productos de microsoft.
#52 el autor tradució con Google Translator y se quedó con la parte que le interesaba para darse un baño de karma a costa de todos los borregos que pululan en meneame.net
#19 en 5 años de carrera no puedes aprender absolutamente todo de informatica como es obvio. En la universidad te dan una base que abarca casi todo y tu luego cuando salgas tiras para donde tu quieras o puedas, y te acabas de formar en eso que te interesa.
Y la noticia como bien dices no es culpa de los servidores web de Microsoft.
#15 Si la combinación de software vulnerable es Mcrosoft Windows Server + Microsoft IIS +Microsost SQL Server + Microsoft ASP[.Net] y afecta a más de 500.000 lo manipulador es decir que no habrá alguna responsabilidad por parte de Microsoft.
PD: Eso no quita que la noticia este un poco amarillista, que el Ubuntu de #1 no haya tenido fallos de record como el de los discos duros.
Yo no creo que tenga la culpa IIS, como mucho el servidor de bases de datos y el programador.
La inyeccion SQL con acceder a la BD con privilegios de consulta se la sopla a la página y solo das privilegios de modificación en modo administrador, que ya filtras que este loggeado el usuario correcto para que eso no pase.
Amarilla amarilla.
Al ritmo que se menean noticias imprecisas o sesgadas como veo ultimamente, al final el dicho "meneame es un saco" se va a quedar corto. Esto cada vez parece mas el Tomate de la informática.
Es una chapuza por parte de la empresa que lo desarrolló, seguro que usando la cuenta 'sa' para que la aplicación web conecte a la bd y seguro que también sentencias SQL ad-hoc ... como guinda.
No hace falta una carrera universitaria para saber lo que es un SQL Injection, ni para usar los SqlParameter (ASP.NET), ni para saber que no hay que usar 'sa' (igual que no se usa root en linux). Esto no es el producto de malos programadores, es producto de malas y baratas empresas que pagan cuatro duros a cuatro que tienen tanta idea de estas cosas como yo de física cuantica.
Si hackean 500.000 servidores distintos no puede ser "fallo del programador", hay algo común en todos que está mal y que es, sin lugar a dudas, responsabilidad de Microsoft.
Todos los sistemas tienen fallos, hoy le toca a Microsoft, mañana a Oracle y pasado a MySQL o DB2. Eso sí se acabó la ventaja competitiva de Microsoft, la diversificación de sistemas como la diversidad genética garantiza la supervivencia.
amarillista total. es un estupendo fallo de programación que puede igual ocurrir en otros lenguajes, sobre todo php. El ramalazo que le sale a algunos es lo que tiene ¿si no existiera microsoft tu vida sería mas completa? mucho tiempo libre para el odio
#46: "La inyeccion SQL con acceder a la BD con privilegios de consulta se la sopla a la página y solo das privilegios de modificación en modo administrador, que ya filtras que este loggeado el usuario correcto para que eso no pase."
supongo que por ese comentario tengo que deducir que tus webs son una puta hez, dame las urls y añadire un par de zombis a mi botnet
#52 da igual como se lo digas, hay que criticar a microsoft a toda costa.
Para los amantes del noscript, que para mi es un mal parche, la versión para Internet Explorer y sin plugins:
Menú herramientas -> opciones de internet ->Pestaña seguridad -> Botón nivel personalizado -> en la lista buscas "automatización - active scripting" y ahí o lo bloqueas o marcas "preguntar".
Eso para el IE 7, en el IE6 se llama "automatización de los subprogramas de Java".
P.D: el noscript es un mal parche porque el javascript es algo que existe y es bueno si se usa bien así que o se permite de forma segura o no se permite y desaparece pero no se bloquea para ver medio páginas.
Normalmente una inyección de sql en por ejemplo un CMS como xXx (no pongo ninguno que la gente se pica micho), no suele afectar al resto de CMS, porque en teoría están implementados en php pero cada uno a su manera, todo desarrollador tiene su ego y sus manías. A mi lo raro me suena cuando petan 500000 y es por una inyección de sql, es quizá un bug 0-day en ASP que permite llegar al sql y hacer la inyección o tenemos a cientos de miles de programadores de ASP siguiendo el mismo manual con los mismos fallos???
Aun con PHP + MySQL, se le puede Inyectar codigo malicioso con SQL y/o Javascript.
La cuestión es del programador, debió haber previsto las posibilidades de inyectar código en su programa,
para ello se debe aplicar tecnicas d programación d seguridad sean de ASP ASPx o PHP..
¿qué vulnerabilidades hay que afecten a un usuario con la última versión de Firefox pero no a los que usan no script? ¿Dónde puedo encontrar más información de esto?
No voy a decir que es culpa del servidor, no se puede decir "explícitamente" (ya que viene la gente y se te echa al cuello), pero lo más curioso de estos casos, es cuando la gente dice "es el programador/empresa barata/lakely..." Mientras que es esa gran empresa la que siempre esta mencionando sus sistemas... ¡super simples y ultra seguros! Sus imbatibles sistemas a prueba de tontos.
Estoy harto de que me vengan los clientes, después de haber ido a que les vendan la moto en una de las conferencias mega-tecno-chachipiruli, comentandome que el sql server de microsoft es más seguro que --insertar aquí servidor sql no-microsoft-- y que merece la pena, que no hay tantos bugs...
#59 si tienes huevos a hechar a andar dos IIS en paralelo en el mismo servidor, me lo explicas, que me interesa mucho conocer la tecnica. Seran 500000 servidores virtualizados, pero 500000 al fin y al cabo.
Es decir, que en linux, mysql y php ( #37 curiosa coincidencia ¿por qué será linux, mysql y php y no cualquier otra combinación) no existen las inyecciones sql y si por un casual existieran no sería culpa de quién no hizo bien la web sino de linux, mysql y php que están mal hechos...
Ah, espera, que si que existen...
Por favor, si yo me salgo de una curva a 200Km la culpa es mía no del fabricante del coche. Más amarilla no podría ser y con esta ya van no se cuentas hoy como la del que murió por el redbull y no por el pequeño defecto que tenía en el corazón.
Comentarios
Lista de víctimas importantes: http://www.dynamoo.com/blog/2008/04/nihaorr1com-theres-no-such-thing-as.html
(a ver si ruedan cabezas por estar usando IIS)
Sysadmins windowseros corriendo en círculos y llorando: http://forums.iis.net/t/1148917.aspx?PageIndex=1
Relacionada: http://www.encyclopediadramatica.com/Pwn3d
Firefox: http://www.mozilla-europe.org/es/products/firefox/
NoScript: http://noscript.net/
Descargar en http://noscript.net/getit
Ubuntu: http://www.ubuntu.com/
Descargar en http://www.ubuntu.com/getubuntu/download
#33 Básicamente, añadiendo a la URL de un sitio web un punto y coma y, a continuación del mismo, un sentencia SQL (de consulta a la base de datos).
En un ejemplo sencillo, esta sería una URL "normal" a un sitio web solicitando que se muestre un dato concreto:
www.sitio.com/pagina.asp?codigo=123
(en la misma se solicita a la página.asp que recupere de la base de datos la información referente al producto 123)
Para realizar la inyección SQL el "asaltante" agrega a la URL un punto y coma, usado para separar sentencias SQL, y tras el mismo añade/inyecta una nueva sentencia SQL:
www.sitio.com/pagina.asp?codigo=123;drop%20tabla
(que en este caso borra toda la tabla)
En el presente caso, el ataque se produce con una sentencia SQL muy elaborada que afecta a los servidores MS SQL Server (que generalmente son utilizados por el IIS). Esta sentencia, y ahí en mi opinión está gran parte del fallo, accede directamente a las tablas de sistema de la base de datos, averigua los nombres de las tablas y procede a insertar en todos los campos de texto una etiqueta de con su fuente (src) apuntando a un archivo malicicioso javascript que procede a explotar diversas y conocidas vulnerabilidades en los navegadores.
Un segundo fallo estriba en que se permita acceder a los datos de sistema en el MS SQL Server. Ignoro si por defecto es la configuración de este servidor (en caso de que lo sea es un fallo muy grave) o bien es una mala costumbre de los programadores de acceder a la base de datos con privilegios elevados.
Un tercero, culpa de los programadores, es no comprobar exhaustivamente todos los datos de las peticiones que llegan al servidor antes de operar con éllos sobre la base de datos.
(correcciones y/o puntualizaciones sobre lo brevemente expuesto son bienvenidas )
#5 La verdad no apruebo este tipo de acciones. Pero no se por que Unicef ha elegido andar pagando a Microsoft cuando su dinero tendria que ir a otros fines...
#10 ¿Estás sugiriendo que los programadores ASP son más "incompetentes" que los de PHP?
Hm, si es por inyección de SQL, el servidor web tiene poco que ver, ¿no?
#9 Ya, pero es algo así como si yo escribo código PHP vulnerable, supongo.
#5: Poca credibilidad me mereceria UNICEF si se confirmara que utilizase software privativo (y además compilado por la NSA) en sus servidores tal y como tu insinuas.
#1 te has dejado la más importante:
http://www.apache.org/
ZAS en todo el software privativo
Leyendo la noticia queda claro que la culpa no es de Microsoft sino de los desarrolladores de aplicaciones con ASP. ¿Y por qué? En la empresa nos han llegado recien graduados y a ellos les han enseñado a programar con JSP, JSF y ASP... curiosamente ninguno sabe de PHP.
Lo peor es que en la Universidad no les enseñan (y los estudiantes no les preocupa) programar teniendo en cuenta la seguridad, todo se reduce para ellos a la pantalla de usuario: y contraseña: , no tienen ni idea de cifrarcomunicaciones, ni de SSL, ni Kerberos, y coincidencialmente cuando les pregunté como solucionaban el problema de ¿Inyección SQL? la respuesta fue: ¿qué es eso?
#12 ¿Te has puesto las gafas?
#37 Lo de los discos de Ubuntu se pareció más a una leyenda urbana. Son modelos muy concretos y con una configuración muy agresiva alejada de la por defecto:
http://www.genbeta.com/2007/10/31-ubuntu-no-esta-acortando-los-discos-duros-de-los-portatiles
PD: Con esto no quiero decir que no haya habido bugs gruesos en GNU/Linux. Hace poco hubo una escalada de privilegios fácil con un exploit público. Eso sí, hubo un workaround rápido y las distros importantes lo parchearon en unas 15 horas como mucho (Debian en apenas una o dos).
#2: Pues yo sólo veo un Ministro de Innovación más gordo, con un coche más grande y con más entidades bancarias pretendiéndole.
http://www.elmundo.es/navegante/2008/04/21/tecnologia/1208774509.html
Ah! Y una España más pobre, más inculta, menos o nada libre y a las puertas de la creación de la policia del pensamiento y la instauración un neofeudalismo digital sin vuelta atrás.
Pero eso... ¿a quién le importa, verdad?
El hombre es el único animal que tropieza n veces con la misma piedra cuando n tiende a infinito. Por fuerza tenemos que ser masocas.
#8 Teniendo en cuenta que ASP y ASPX corren sobre IIS yo no me apresuraría a hacer un pliego de descargo.
Una inyección de SQL se solventa en el codigo de la página. Da igual la plataforma que uses. Esto es cuenta del porgramador. Almenos eso tenia entendido pero viendo que 500000 servidores han sido afctados me da que pesnar. ¿todos los programdores web son unos cazurros?.
Meneo profético de ayer mismo: Nihaorr1 + IIS + SQL Injection Attack!!!
Nihaorr1 + IIS + SQL Injection Attack!!!
forums.iis.netPor cierto... desconocia que "510,000 modified pages" significa "500.000 servidores".
Un poco de rigor
#6: Son comparativas de errores reportados, aunque yo más bien diria "reconocidos".
En eso les hemos ganado siempre de calle... Basta con ver todos los sistemas de reportes de bugs que existen para software libre y el clásico oscurantismo de Microsoft...
Las estadísticas rara vez mienten, pero siempre dicen lo que le interesa a quien las encarga. Y si además se las maquilla pueden hacer fácilmente que un oyente incauto saque conclusiones disparatadas debido a la visión deformada que éstas le han dado.
¿Cómo explicarle qué son los colores a alguien que ve en blanco y negro? ...o la visión tridimensional a un tuerto congénito?
Juas, y justo ahora que Microsoft anunciaba sus ganancias gracias al aumento de las ventas de sus servidores, como siga así el tema me veo a microsoft viviendo de la XBox
Me acuerdo de una charla de Microsoft Technet que dieron aquí en S/c de Tenerife, no paraban de poner comparativas de los muchos errores que tenia Apache, y los pocos que tenia ISS.
#16 Cierto, me han traicionado las dioptrías. Perdón.
se me olvidaba, a ver si leemos los articulos enteros.
UPDATE: We've been receiving some questions on the platform and operating systems affected by this attack. So far we've only seen websites using Microsoft IIS webserver and Microsoft SQL Server being hit. Do note that this attack doesn't use any vulnerabilities in any of those two applications. What makes this attack possible is poorly written ASP and ASPX (.net) code.
El titular es bastante amarillista, aunque Microsoft no me gusta nada, tampoco hay que cargarle todas las culpas.
La noticia deja claro que no es una vulnerabilidad de IIS y además el titular es erroneo, no son "servidores web de microsoft", en todo caso de empresas que usan algunos productos de microsoft.
#52 el autor tradució con Google Translator y se quedó con la parte que le interesaba para darse un baño de karma a costa de todos los borregos que pululan en meneame.net
En fin... baño de karma negativo para mi ahora
#19 en 5 años de carrera no puedes aprender absolutamente todo de informatica como es obvio. En la universidad te dan una base que abarca casi todo y tu luego cuando salgas tiras para donde tu quieras o puedas, y te acabas de formar en eso que te interesa.
Y la noticia como bien dices no es culpa de los servidores web de Microsoft.
#62 Son 510.000 páginas... ¿Cuantas páginas web puede contener un servidor web?
http://www.google.es/search?hl=es&q=melon site:meneame.net&btng=buscar con google&meta=
¿Significa eso que hay 54 servidores de Meneame.net?
#15 Si la combinación de software vulnerable es Mcrosoft Windows Server + Microsoft IIS +Microsost SQL Server + Microsoft ASP[.Net] y afecta a más de 500.000 lo manipulador es decir que no habrá alguna responsabilidad por parte de Microsoft.
PD: Eso no quita que la noticia este un poco amarillista, que el Ubuntu de #1 no haya tenido fallos de record como el de los discos duros.
EPIC FAIL
Yo no creo que tenga la culpa IIS, como mucho el servidor de bases de datos y el programador.
La inyeccion SQL con acceder a la BD con privilegios de consulta se la sopla a la página y solo das privilegios de modificación en modo administrador, que ya filtras que este loggeado el usuario correcto para que eso no pase.
Amarilla amarilla.
Al ritmo que se menean noticias imprecisas o sesgadas como veo ultimamente, al final el dicho "meneame es un saco" se va a quedar corto. Esto cada vez parece mas el Tomate de la informática.
Es una chapuza por parte de la empresa que lo desarrolló, seguro que usando la cuenta 'sa' para que la aplicación web conecte a la bd y seguro que también sentencias SQL ad-hoc ... como guinda.
No hace falta una carrera universitaria para saber lo que es un SQL Injection, ni para usar los SqlParameter (ASP.NET), ni para saber que no hay que usar 'sa' (igual que no se usa root en linux). Esto no es el producto de malos programadores, es producto de malas y baratas empresas que pagan cuatro duros a cuatro que tienen tanta idea de estas cosas como yo de física cuantica.
Lo barato, al final sale caro
Zas!!! en toda la bocaza!!!
los ataques de inyeccion sql no tienen nada que ver con la plataforma, ni siquiera con que el lenguaje sea asp o php asi que stfu amarillistas
relacionada Un ataque informático masivo afecta a casi 300.000 páginas web
Un ataque informático masivo afecta a casi 300.000...
larazon.esSi hackean 500.000 servidores distintos no puede ser "fallo del programador", hay algo común en todos que está mal y que es, sin lugar a dudas, responsabilidad de Microsoft.
yo no he sido.
Veo que no tenéis ni puta idea de administrar servidores windows.
#1 menso meterte con los sysadmin de windows y arregla tu web, que no chuta y da un error vergonzoso de publicar.
¿un poco amarillista no? DZPM tenia que ser conocido taliban anti-Microsoft en Menéame
no termino de ver como se hace esta inyeccion de codigo,
alguien me lo explica mejor
Se esta liando... Me da que la cuota de mercado del IIS va a bajar...
Firefox 1
Microsoft 0
OGC!!
Todos los sistemas tienen fallos, hoy le toca a Microsoft, mañana a Oracle y pasado a MySQL o DB2. Eso sí se acabó la ventaja competitiva de Microsoft, la diversificación de sistemas como la diversidad genética garantiza la supervivencia.
amarillista total. es un estupendo fallo de programación que puede igual ocurrir en otros lenguajes, sobre todo php. El ramalazo que le sale a algunos es lo que tiene ¿si no existiera microsoft tu vida sería mas completa? mucho tiempo libre para el odio
#37: claro entonces cuando se estrella un ford es culpa de la compañia que frabricó el coche, no?
#44: si, la mayoria lo son, 4 real
#46: "La inyeccion SQL con acceder a la BD con privilegios de consulta se la sopla a la página y solo das privilegios de modificación en modo administrador, que ya filtras que este loggeado el usuario correcto para que eso no pase."
supongo que por ese comentario tengo que deducir que tus webs son una puta hez, dame las urls y añadire un par de zombis a mi botnet
Digo yo, que si se inyecta codigo para atacar al cliente, aunque sea mediante inyeccion SQL, el ataque es un XSS...
¿Cuánto se tardará en sacar un parche que lo solucione?
Se admiten apuestas.
#14 OGC?
que quieres decir con eso? Hay que mirar los logos desde todos los ángulos, que si no... [eng]
Hay que mirar los logos desde todos los ángulos, q...
telegraph.co.uk[Voz counter strike ON]HEEEEEEEEEEAAADHSOOOOOTTT[Voz counter OFF]
#52 da igual como se lo digas, hay que criticar a microsoft a toda costa.
Para los amantes del noscript, que para mi es un mal parche, la versión para Internet Explorer y sin plugins:
Menú herramientas -> opciones de internet ->Pestaña seguridad -> Botón nivel personalizado -> en la lista buscas "automatización - active scripting" y ahí o lo bloqueas o marcas "preguntar".
Eso para el IE 7, en el IE6 se llama "automatización de los subprogramas de Java".
Una explicación más completa y con opción de agregar sitios a una lista blanca: http://www.vsantivirus.com/faq-sitios-confianza.htm .
P.D: el noscript es un mal parche porque el javascript es algo que existe y es bueno si se usa bien así que o se permite de forma segura o no se permite y desaparece pero no se bloquea para ver medio páginas.
Normalmente una inyección de sql en por ejemplo un CMS como xXx (no pongo ninguno que la gente se pica micho), no suele afectar al resto de CMS, porque en teoría están implementados en php pero cada uno a su manera, todo desarrollador tiene su ego y sus manías. A mi lo raro me suena cuando petan 500000 y es por una inyección de sql, es quizá un bug 0-day en ASP que permite llegar al sql y hacer la inyección o tenemos a cientos de miles de programadores de ASP siguiendo el mismo manual con los mismos fallos???
#26 yo creo que no:
http://www.debian.org/
#34 pues entonces "sólo" quedan 9 días.
Aun con PHP + MySQL, se le puede Inyectar codigo malicioso con SQL y/o Javascript.
La cuestión es del programador, debió haber previsto las posibilidades de inyectar código en su programa,
para ello se debe aplicar tecnicas d programación d seguridad sean de ASP ASPx o PHP..
Es amarillista esta noticia.
Pero...
¿qué pueden hacerle al usuario?
¿qué vulnerabilidades hay que afecten a un usuario con la última versión de Firefox pero no a los que usan no script? ¿Dónde puedo encontrar más información de esto?
#57 Tradució -> tradujo
Mirar los resultados de Google sobre el script de nmidahena.com; http://www.google.es/search?q=nmidahena.com&sourceid=navclient-ff&ie=UTF-8&rls=DVFA,DVFA:1970--2,DVFA:es
Y si no es Mac/Ubuntu, se erronea.
cagadas hay hasta en las mejores familias, la historia está en la rapidez para solucionarlas... y en eso los de Micro$oft pierden por goleada
No voy a decir que es culpa del servidor, no se puede decir "explícitamente" (ya que viene la gente y se te echa al cuello), pero lo más curioso de estos casos, es cuando la gente dice "es el programador/empresa barata/lakely..." Mientras que es esa gran empresa la que siempre esta mencionando sus sistemas... ¡super simples y ultra seguros! Sus imbatibles sistemas a prueba de tontos.
Estoy harto de que me vengan los clientes, después de haber ido a que les vendan la moto en una de las conferencias mega-tecno-chachipiruli, comentandome que el sql server de microsoft es más seguro que --insertar aquí servidor sql no-microsoft-- y que merece la pena, que no hay tantos bugs...
http://www.luds.net/galeries/nelson.gif
(Para Micro$oft, no para las pobres víctimas)
#32 No era el primer martes de cada mes si no mal recuerdo?
jejeje q le den por culo!
#59 si tienes huevos a hechar a andar dos IIS en paralelo en el mismo servidor, me lo explicas, que me interesa mucho conocer la tecnica. Seran 500000 servidores virtualizados, pero 500000 al fin y al cabo.
Putos crackers asquerosos. ¿ Os hace gracia atacar a webs cómo la Unicef ? De verdad, ojala os pudráis todos.
Es decir, que en linux, mysql y php ( #37 curiosa coincidencia ¿por qué será linux, mysql y php y no cualquier otra combinación) no existen las inyecciones sql y si por un casual existieran no sería culpa de quién no hizo bien la web sino de linux, mysql y php que están mal hechos...
Ah, espera, que si que existen...
Por favor, si yo me salgo de una curva a 200Km la culpa es mía no del fabricante del coche. Más amarilla no podría ser y con esta ya van no se cuentas hoy como la del que murió por el redbull y no por el pequeño defecto que tenía en el corazón.
Portada en 2 minutos.
We have a new world record.