none
SQL Inyeccion - 3ra estrella RRS feed

  • Pregunta

  •  

    Tengo una duda con respecto a una pregunta en particular sobre el examen de seguridad de la tercera estrella. La pregunta es la siguiente:

     

    SQL Injection es una practica que permite:

    A) Tomar el control del equipo donde se ejecuta la aplicacion sin autorizacion

    (Esto es verdadero dependiendo de la experiencia del atacante utilizando funciones como exec es posible introducir archivos que permiten tomar dicho control).

    B) La ejecucion de sentencias SQL que no han sido programadas por el desarrollador

    (Esto tambien es verdadero, ya que el atacante introduce consultas inesperadas por un descuido en el desarrollo de la aplicacion).

    C) Ingresar datos en la base de datos sin tener los permisos necesarios

    (Vamos que con una Inyeccion podemos introducir, eliminar, editar,etc...Y al tener la aplicacion acceso a la base de datos, el atacante esta obteniendo los permisos en esa base de datos, al menos para leer datos).

    D) Permite consultar una tabla de SQL

    (Esto seria verdadero si el usuario que utiliza la aplicacion solo tiene permisos de lectura en la base de datos, por lo que el atacante solo podria listar los datos que la base contiene).

     

    A mi parecer las respuestas estan algo confusas o yo no me entere de algo, aun asi seguire con la presentacion para ver por donde van los tiros, aunque ya escogi a la opcion B.

     

    Un saludo.

     

     

     

     

     

     

     

     

    martes, 1 de enero de 2008 22:42

Respuestas

  • Estimados Miguel Angel, Toni y Javier, pasaba por aqui y viendo un tema como es la seguridad que tanto me apasaiona no pude sustraerme de dar mi opinión.

     

    Estimado Javier, esta vez me acerco a lo que dice Toni:  A, C y D quedan englobados en B, es decir todo es posible porque SQL INJ permite la ejecucion de sentencias sql que no fueron programadas originalmente por el o los desarrolaldores que codificaron la aplicación.

     

    Los comentarios que agrega Miguel Angel sn ciertos, esposible hacer todo eso (si, ok, se deben dar multiples factores para poder hacerlo, no es tan fácil, pero de que se puede... se puede).

     

    En resumen, para mi la opcion correcta es B netamente no porque las otras sean falsas, si no porque engloba a todas las demás.

     

    Un paper interesante para quienes quieran investigar algo más: http://www.spidynamics.com/assets/documents/WhitepaperSQLInjection.pdf

     

    Saludos a los 3!

     

     

     

    martes, 8 de enero de 2008 2:39

Todas las respuestas

  • Yo también escogería la B. Para mí, es la opción correcta, A, C y D en mi opinión son posibles consecuencias de la B.

     

    Salud y suerte!

    miércoles, 2 de enero de 2008 7:01
  • Hola,

     

    Realmente es la B,

     

    Te explico porque...

     

    La A no habla de logarte en la aplicacion sin permiso, sino de tomar el control de la maquina completa... cosa para la cual seguramente necesites un sofware externo.

     

    La C habla de insertar sin tener permisos, para ello tendrias que primero sacar la informacion de un usuario de base de datos al que se le permitiera insertar y luego logarte con dicho usuario y proceder a la insercion, cosa para la cual tambien necesitarias un sofware externo.

     

    Para la D... no tiene porque, ya que si la seguridad de usuarios de la base de datos esta bien configurada, el usuario de utiliza la aplicacion para conectarse bien podria ser diferente de "sa" y solo dejandote hacer consultas sobre vistas o procedimientos almacenados... y no sobre tablas.

     

    La correcta es la B... permite ejecutar sentencias SQL... que no siginifca que s tengas permiso para ejecutarlas.

     

    Mira a ver si te sirve esto.

     

    Un saludo.

     

    miércoles, 2 de enero de 2008 9:55
  • Estimados Miguel Angel, Toni y Javier, pasaba por aqui y viendo un tema como es la seguridad que tanto me apasaiona no pude sustraerme de dar mi opinión.

     

    Estimado Javier, esta vez me acerco a lo que dice Toni:  A, C y D quedan englobados en B, es decir todo es posible porque SQL INJ permite la ejecucion de sentencias sql que no fueron programadas originalmente por el o los desarrolaldores que codificaron la aplicación.

     

    Los comentarios que agrega Miguel Angel sn ciertos, esposible hacer todo eso (si, ok, se deben dar multiples factores para poder hacerlo, no es tan fácil, pero de que se puede... se puede).

     

    En resumen, para mi la opcion correcta es B netamente no porque las otras sean falsas, si no porque engloba a todas las demás.

     

    Un paper interesante para quienes quieran investigar algo más: http://www.spidynamics.com/assets/documents/WhitepaperSQLInjection.pdf

     

    Saludos a los 3!

     

     

     

    martes, 8 de enero de 2008 2:39
  • Hola Mauricio !!!

     

    cuanto tiempo sin verte por aqui.

     

    me alegra que te pases de vez en cuando a vigilarnos un poco.

     

    pero bueno... esta vez os tendre que dar la razon... que sois dos contra uno

     

    pero no le des la razon a Toni muchas veces que sino se me sube a la parra jajajajajaja

     

    un saludo, y espero verte mas por aqui.

    martes, 8 de enero de 2008 7:49
  • Hola Javier!

     

    Es cierto... Mauri no esta muy seguido por aquí pero como vereis no nos abandona. jejej Wink

     

    Me uno a Mauricio con lo cual la cuenta ya esta bastante despareja. Para mí tambien es la opcion B dado que engloba a las demás. Aunque debo confesar que en un principio creia lo mismo que tú (pero solo unos segundos JEJE )

     

    Un abrazo y como dice el amigo Chileno HAPPY PROGRAMATION!!!

     

    Daniel M. Salazar

    www.kummei.blogspot.com

    www.moreplus.es  Wink

     

     

    martes, 8 de enero de 2008 20:07
  •  

    Ciertamente la opcion que escogi finalmente fue la B, como ya se expuso anteriormente es la mas acertada en cuanto a como se pueden desglozar las demas opciones, les agradesco la ayuda a todos.
    viernes, 11 de enero de 2008 4:16
  • OK perfecto!

     

    No olvides marcar el hilo como contestado.

     

    Gracias! Wink

    viernes, 11 de enero de 2008 6:07