Menéame: comentarios [3978180]

#34 Vulnerabilidad SQL permite acceder a aviones

meneanet — Thu, 12 Sep 2024 19:15:44 +0000

#4 Anticuado?
basta con que cualquier proceso coja parámetros y los meta directamente en la query.

» autor: meneanet

#33 Vulnerabilidad SQL permite acceder a aviones

victorjba — Thu, 12 Sep 2024 17:46:42 +0000

#2 Yo iba a decir que también la puerta permite acceder al avión y no he visto que se queje nadie.

» autor: victorjba

#32 Vulnerabilidad SQL permite acceder a aviones

daphoene — Thu, 12 Sep 2024 10:05:40 +0000

#8 que funciona con MySQL en lugar de Mysqli por lo que no se pueden hacer consultas preparadas ni escapar caracteres

¿ Quién te impide escapar caracteres ?
¿ Qué te impide limpiar la entrada de datos y validar su contenido antes de enviarlo a MySQL ?

Las inyecciones SQL llevan con nosotros desde bastante antes de 2007, lo único que cambia mysqli es que facilita la entrada parametrizada, pero ya desde antes se controlaban estas cosas.

De hecho, existen inyecciones SQL mucho más complejas que esta de las comillas, y sólo con parametrizar no te vale, escapar caracteres y otras estrategias nunca están de más.

» autor: daphoene

#31 Vulnerabilidad SQL permite acceder a aviones

daphoene — Thu, 12 Sep 2024 10:01:42 +0000

#24 Putos O'Brian...

» autor: daphoene

#30 Vulnerabilidad SQL permite acceder a aviones

daphoene — Thu, 12 Sep 2024 09:54:12 +0000

#5 El tema es que la vulnerabilidad parecía estar en la web, no tiene que ver en sí con los aviones ni el control de acceso a cabina, ni con los sistemas del aeropuerto. Lo que han vulnerado es la base de datos a la que acceden estos sistemas, por varios motivos, que la web era vulnerable a inyección SQL, y porque el resto del sistema no tenía control de permisos.

cc/ #4

» autor: daphoene

#29 Vulnerabilidad SQL permite acceder a aviones

daphoene — Thu, 12 Sep 2024 09:52:05 +0000

#22 Ha votado positivo

@bobbytables seal of approval

» autor: daphoene

#28 Vulnerabilidad SQL permite acceder a aviones

Alexfighter — Thu, 12 Sep 2024 08:48:56 +0000

#15 Pues porque no han ido más allá del ordenador, porque poder podían.

» autor: Alexfighter

#27 Vulnerabilidad SQL permite acceder a aviones

Alexfighter — Thu, 12 Sep 2024 08:48:18 +0000

#2 Yo venía a esto mismo. Gracias por ahorrarme el trabajo

» autor: Alexfighter

#26 Vulnerabilidad SQL permite acceder a aviones

ktzar — Thu, 12 Sep 2024 08:31:57 +0000

#18 es que es un desharroyador

» autor: ktzar

#25 Vulnerabilidad SQL permite acceder a aviones

krattonklk_66d0ca7a96011 — Thu, 12 Sep 2024 08:04:36 +0000

#1 gracias por el comentario. menudos periodistas

» autor: krattonklk_66d0ca7a96011

#24 Vulnerabilidad SQL permite acceder a aviones

xyria — Thu, 12 Sep 2024 07:25:21 +0000

#13 Consultas parametrizadas y verificación de los parámetros de entrada antes de ejecutar la consulta. Es de primero de programación.

» autor: xyria

#23 Vulnerabilidad SQL permite acceder a aviones

Andercam — Thu, 12 Sep 2024 06:44:05 +0000

Como siempre noticias de seguridad un poquito sensacionalista

» autor: Andercam

#22 Vulnerabilidad SQL permite acceder a aviones

ytuqdizes — Thu, 12 Sep 2024 06:27:25 +0000

@bobbytables están hablando de ti en #2

» autor: ytuqdizes

#21 Vulnerabilidad SQL permite acceder a aviones

mecha — Thu, 12 Sep 2024 05:55:02 +0000

#8 que no se puede escapar caracteres? Ya en 2007 eran sobradamente conocidas las inyecciones SQL, y da igual que uses para conectar a la base de datos, siempre hay forma sencilla de evitar las inyecciones. Normalmente es tan simple con un .replace(...).

Y luego está lo que dice #18, no es difícil el cambio.

» autor: mecha

#20 Vulnerabilidad SQL permite acceder a aviones

Edheo — Thu, 12 Sep 2024 05:18:54 +0000

#1 Pero la sql injection, no es culpa de sql, sino de la calidad de la programación de la app y sus servicios.

Qué falaz

» autor: Edheo

#19 Vulnerabilidad SQL permite acceder a aviones

Donald_Truck — Thu, 12 Sep 2024 05:12:04 +0000

Aquí la única vulnerabilidad que ha habido es un código antiguo, del estilo "si funciona no lo toques" que ha permitido inyectar la vieja receta donde por código y sin comprobar nada, se construye la parte WHERE de la sentencia de SQL y se lanza alegremente. Después unas simples comillas en el formulario de entrada en el nombre de usuario o la clave hacen la magia. Ni ha habido vulnerabilidad en el lenguaje (seguramente PHP) ni por supuesto en la tan limitada como potente sintaxis de SQL.
Veredicto: artículo de mierda.

» autor: Donald_Truck

#18 Vulnerabilidad SQL permite acceder a aviones

EmuAGR — Thu, 12 Sep 2024 01:28:29 +0000

#8 Pues cambiar mysql_ por mysqli_ es trivial. No será que no habéis tenido tiempo...

» autor: EmuAGR

#17 Vulnerabilidad SQL permite acceder a aviones

loborojo — Wed, 11 Sep 2024 22:21:26 +0000

Justo ahora que he agotado las vacaciones salen viajes gratis

» autor: loborojo

#16 Vulnerabilidad SQL permite acceder a aviones

JuanCarVen — Wed, 11 Sep 2024 22:08:29 +0000

#9 Seidor y RCD Español, todo un hit en su día. Les acaba de comprar un fondo de inversión de USA, harán lo mismo a mayor escala, Carlile.

» autor: JuanCarVen

#15 Vulnerabilidad SQL permite acceder a aviones

jonolulu — Wed, 11 Sep 2024 21:35:47 +0000

Lo que ha fallado es esta web, que gestiona tripulaciones y asigna servicios. Es decir, que podrían colar a alguien en la aeronavem que no es poco, pero...

www.flycass.com/

Por el titular parece que se han hecho con el control de la aeronave directamente

» autor: jonolulu

#14 Vulnerabilidad SQL permite acceder a aviones

Miguel_Diaz_2 — Wed, 11 Sep 2024 21:28:07 +0000

Pasamos del "Drop table" al "Drop plane"

» autor: Miguel_Diaz_2

#13 Vulnerabilidad SQL permite acceder a aviones

--784700-- — Wed, 11 Sep 2024 21:20:39 +0000

#5 No es necesario cambiar de tecnología. Con hacer comprobaciones de la entrada de datos por parte del usuario, ya se puede evitar.

» autor: --784700--

#12 Vulnerabilidad SQL permite acceder a aviones

borteixo — Wed, 11 Sep 2024 21:17:13 +0000

#9 cuidadin con el tema del secreto industrial.

» autor: borteixo

#11 Vulnerabilidad SQL permite acceder a aviones

Penetrator — Wed, 11 Sep 2024 21:15:11 +0000

#2 Y el otro chiste que falta:

» autor: Penetrator

#10 Vulnerabilidad SQL permite acceder a aviones

borteixo — Wed, 11 Sep 2024 21:15:08 +0000

#7 mucha tela envolver un avión.
Perdón.

» autor: borteixo

#9 Vulnerabilidad SQL permite acceder a aviones

mecha — Wed, 11 Sep 2024 21:04:41 +0000

#4 yo he heredado un proyecto que se traga inyecciones en todas las partes del código, sin ningún tipo de control. Lo más que habían limitado era a nivel de base de datos que no acepte dos consultas en una, es decir, no sé podía meter una inyección cerrando el select y metiendo un update a continuación porque la base de datos no acepta eso. Y diría que viene así por defecto, no es que hayan hecho algo.

Y todo esto de una empresa tocha como es Seidor.

» autor: mecha

#8 Vulnerabilidad SQL permite acceder a aviones

Justiciero_Solitario — Wed, 11 Sep 2024 21:02:04 +0000

#4 Trabajo con una aplicación legacy de 2007 que funciona con MySQL en lugar de Mysqli por lo que no se pueden hacer consultas preparadas ni escapar caracteres. Es un auténtico coladero de SQL inyección.
Y no quiero dar más pistas pero seguramente tu coche lo hayas comprado gracias a esa aplicación.

» autor: Justiciero_Solitario

#7 Vulnerabilidad SQL permite acceder a aviones

BuckMulligan — Wed, 11 Sep 2024 20:59:06 +0000

#5 Pero siempre se puede envolver

» autor: BuckMulligan

#6 Vulnerabilidad SQL permite acceder a aviones

Caravan_Palace — Wed, 11 Sep 2024 20:53:12 +0000

Juraría que es duplicada

old.meneame.net/story/como-convertirse-tripulante-aereo-autorizado-sql

#0

» autor: Caravan_Palace

#5 Vulnerabilidad SQL permite acceder a aviones

rafeame — Wed, 11 Sep 2024 20:48:56 +0000

#4 supongo que el temaa de los aviones es como los bancos, los trenes o el metro, algo tan delicado que no puedes cambiar de tecnología cuando quieras

» autor: rafeame

#4 Vulnerabilidad SQL permite acceder a aviones

filets — Wed, 11 Sep 2024 20:45:13 +0000

¿Pero como te pueden hacer una inyeccion SQL en el 2024?
Eso quedo anticuado hace 10 años

» autor: filets

#3 Vulnerabilidad SQL permite acceder a aviones

cosmonauta — Wed, 11 Sep 2024 14:08:37 +0000

Diria que ya lo he visto por aquí. Del blog de Chema alonso

» autor: cosmonauta

#2 Vulnerabilidad SQL permite acceder a aviones

insulabarataria — Wed, 11 Sep 2024 12:22:54 +0000

Dejo el típico chiste y me voy

» autor: insulabarataria

#1 Vulnerabilidad SQL permite acceder a aviones

Tecar — Wed, 11 Sep 2024 09:55:07 +0000

No es una vulnerabilidad en SQL
Es un SQL injection que no es lo mismo.

» autor: Tecar