Parametrización de las consultas

Controles proactivos en el desarrollo seguro de software, Parte 2

Siguiendo con nuestra serie de posts relacionados con el desarrollo seguro de software integrando los controles proactivos de OWASP, vamos a hablar hoy del segundo punto de dichos controles proactivos: la parametrización de las consultas.

Indice

Nociones breves acerca de la necesidad de la parametrización de las queries:

Nociones breves acerca de SQL Injection:

¿Cómo funciona?

¿Qué problemas pueden causar este tipo de ataques?

Ejemplo de explotación:

¿Cómo se explota?

¿Cómo paliar o anular esta amenaza?

1. Escapar los caracteres especiales utilizados en las consultas SQL

2. Delimitar los valores de las consultas

3. Verificar siempre los datos que introduce el usuario

4. Asignar mínimos privilegios al usuario que conectará con la base de datos

5. Programar bien

6. Uso de sentencias preparadas parametrizadas.

Ejemplos en varios lenguajes

7. Uso de procedimientos almacenados.

Ejemplos en varios lenguajes

Continuar leyendo “Parametrización de las consultas”

Controles Proactivos en el Desarrollo Seguro de Software

Introducción a los controles Proactivos en Desarrollo de Software

Muy buenas amigos míos, pido disculpas por el retraso en volver a escribir, en verdad se hecha en falta estas charlas, pero ya sabéis como es este mundo, basta que uno quiera escribir para que los jefes, esos horribles seres que usan el excel como arma de destrucción masiva, no te dejen tiempo/ganas.

En fin, voy a iniciar una serie de escritos sobre el desarrollo de software, sobre unas pautas para desarrollar software seguro siguiendo para ello las indicaciones de OWASP acerca de unos controles proactivos en el desarrollo de software.

Continuar leyendo “Controles Proactivos en el Desarrollo Seguro de Software”

Guía Hardening – Gestion de usuarios y grupos

Una de los aspectos más críticos como administrador de sistemas puede ser la gestión de usuarios, y esto depende en muchas ocasiones más por el número de usuarios a gestionar que por su complejidad “técnica”. En un principio en toda instalación se crea habitualmente el usuario Root y un usuario sin privilegios, hasta aquí todo bien, es más se crean automáticamente los grupos de sistema y sus privilegios, por lo que generalmente no solemos encontrar ningún problema con la gestión de usuarios, pero todo esto se convierte en auténticos quebraderos de cabeza cuando el número aumenta e incluso te ves limitado por un $Hyperboss como lo llamaría el maestro wardog.

Continuar leyendo “Guía Hardening – Gestion de usuarios y grupos”

Análisis Forense de Memoria RAM III. Interfaz gráfica para análisis de memoria Ram (Evolve).

El fin de la trilogía “Volátil”

Muy buenas a todos/as. Esto tenía que llegar amigos, había que poner un fin al análisis de volcados de RAM y este post es una buena manera de hacerlo, vamos a aprender a analizar un volcado de RAM con interfaz gráfica.

Continuar leyendo “Análisis Forense de Memoria RAM III. Interfaz gráfica para análisis de memoria Ram (Evolve).”