Hacme casino
Páginas: 4 (853 palabras)
Publicado: 13 de mayo de 2013
BLIND SQL INJECTION
CONTRAMEDIDA
VULNERABILIDAD
Soluciones para evitar el ataque:
Robustecer los mecanismos de validación.
Hacer rutinas de código para que acepte caracteres especiales.Que el campo user name solo acepte letras.
Utilizar herramientas de análisis estático de código para evitar inyecciones SQL.
Ocultar mensajes de error explícitos que muestren la consulta o parte dela consulta de SQL.
Herramientas para evitar ataque:
FXCop: Herramienta gratuita de análisis de código para .NET desarrollada por Microsoft.
Code Analysis viene integrada dentro de VisualStudio Team System. Cuando realizan un análisis evalúan más de 150 tipos distintos de posibles fallos que están catalogados en las siguientes categorías: Reglas de Diseño, Globalización,Interoperatibilidad, Movilidad, Mantenibilidad, Nombrado, Rendimiento, Portabilidad, Confiabilidad, Seguridad y Usabilidad.
ModSecurity es implementado como un módulo para Apache aunque puede proteger prácticamentecualquier aplicación web configurando Apache como un proxy inverso.
A la hora de desarrollar una aplicación debemos tener en cuenta el rechazo o filtrado de peticiones recibidas en que los datos nocumplan con las características esperadas.
Toda variable manipulada por el usuario debe ser sometida a una proceso de limpieza, con esto evitamos posibles ataques a nuestra aplicación.
Filtrarlos mensajes de error generados por la BBDD.
Este ataque puede ser causado cuando en la fase de desarrollo el programa es elaborado con descuido y displicencia y básicamente el programador deja unaparte del código de la aplicación desprotegido esto produce que no se realice una comprobación correcta de los parámetros de entrada a la aplicación que se están utilizando para componer las consultas ala base de datos.
Consecuencias:
Omisión de la autenticación para Ingresar a la base de datos de una aplicación (Authenticatión Bypass)
Información valiosa para la víctima conocida por...
CONTRAMEDIDA
VULNERABILIDAD
Soluciones para evitar el ataque:
Robustecer los mecanismos de validación.
Hacer rutinas de código para que acepte caracteres especiales.Que el campo user name solo acepte letras.
Utilizar herramientas de análisis estático de código para evitar inyecciones SQL.
Ocultar mensajes de error explícitos que muestren la consulta o parte dela consulta de SQL.
Herramientas para evitar ataque:
FXCop: Herramienta gratuita de análisis de código para .NET desarrollada por Microsoft.
Code Analysis viene integrada dentro de VisualStudio Team System. Cuando realizan un análisis evalúan más de 150 tipos distintos de posibles fallos que están catalogados en las siguientes categorías: Reglas de Diseño, Globalización,Interoperatibilidad, Movilidad, Mantenibilidad, Nombrado, Rendimiento, Portabilidad, Confiabilidad, Seguridad y Usabilidad.
ModSecurity es implementado como un módulo para Apache aunque puede proteger prácticamentecualquier aplicación web configurando Apache como un proxy inverso.
A la hora de desarrollar una aplicación debemos tener en cuenta el rechazo o filtrado de peticiones recibidas en que los datos nocumplan con las características esperadas.
Toda variable manipulada por el usuario debe ser sometida a una proceso de limpieza, con esto evitamos posibles ataques a nuestra aplicación.
Filtrarlos mensajes de error generados por la BBDD.
Este ataque puede ser causado cuando en la fase de desarrollo el programa es elaborado con descuido y displicencia y básicamente el programador deja unaparte del código de la aplicación desprotegido esto produce que no se realice una comprobación correcta de los parámetros de entrada a la aplicación que se están utilizando para componer las consultas ala base de datos.
Consecuencias:
Omisión de la autenticación para Ingresar a la base de datos de una aplicación (Authenticatión Bypass)
Información valiosa para la víctima conocida por...
Leer documento completo
Regístrate para leer el documento completo.