Nociones breves acerca de la necesidad de la protección de los datos (o la trilogía de como ser un desarrollador cuqui sin llamarse Borja Mari…)

Nociones breves acerca de la necesidad de la protección de los datos:

Introducción:

Antes de comenzar a daros la paliza con una de mis infumables chapas de desarrollo seguro y demás, quisiera dedicar unas breves palabras, este año 2018 ha sido un año … interesante podríamos decir. Un año con muchos cambios y movimiento en lo profesional y en lo personal. Los cambios son buenos y el salir de nuestra zona de confort, a pesar del lógico respeto que da, también es bueno. Aprovecho este modesto lugar en internet para desear lo mejor a mi amigo Byt3St0rm, que se fue en busca de su sueño a lejanas tierras allende los mares, si hubiera más soñadores así, posiblemente el mundo sería un lugar mejor.

Continuar leyendo «Nociones breves acerca de la necesidad de la protección de los datos (o la trilogía de como ser un desarrollador cuqui sin llamarse Borja Mari…)»

La documentación. Parte 2

La documentación, de ella ya escribí hace bastante tiempo aquí , los que me conocen y los que trabajan o han trabajado conmigo saben que es de obligado cumplimiento el documentar y mantener la documentación actualizada, no se debería consentir ni como proveedor ni como cliente, que no exista una documentación relacionada con los servicios implicados, en nuestro sector es más que necesario que todo esté correctamente documentado y aún así sigo viendo barbaridades de todo tipo, no sería la primera vez que se va a un cliente nuevo y al llegar te encuentras con una mano delante y una detrás, que el informático anterior no tiene documentado nada, que el cliente solo sabe que paga y ya está, sin tener un registro de averías o incidencias, ni direccionamiento, ni si trabaja en dominio o no, o simplemente saber cuántos servidores tiene o qué servicios o aplicaciones tiene en su red, la verdad es que a menudo me encuentro en unos <<salaos la mar de divertidos>>, evidentemente no es lo mismo ir a una oficina con unos pocos ordenadores y un servidor, a cuando vas a un cliente medio o grande con varias oficinas repartidas por el mundo o por el país o por tu ciudad, da igual, el denominador común es siempre el mismo: documentación inexistente, desfasada, incompleta, lo que se resume como DEJADEZ.

Continuar leyendo «La documentación. Parte 2»

Parametrización de las consultas

Controles proactivos en el desarrollo seguro de software, Parte 2

Siguiendo con nuestra serie de posts relacionados con el desarrollo seguro de software integrando los controles proactivos de OWASP, vamos a hablar hoy del segundo punto de dichos controles proactivos: la parametrización de las consultas.

Indice

Nociones breves acerca de la necesidad de la parametrización de las queries:

Nociones breves acerca de SQL Injection:

¿Cómo funciona?

¿Qué problemas pueden causar este tipo de ataques?

Ejemplo de explotación:

¿Cómo se explota?

¿Cómo paliar o anular esta amenaza?

1. Escapar los caracteres especiales utilizados en las consultas SQL

2. Delimitar los valores de las consultas

3. Verificar siempre los datos que introduce el usuario

4. Asignar mínimos privilegios al usuario que conectará con la base de datos

5. Programar bien

6. Uso de sentencias preparadas parametrizadas.

Ejemplos en varios lenguajes

7. Uso de procedimientos almacenados.

Ejemplos en varios lenguajes

Continuar leyendo «Parametrización de las consultas»

Controles Proactivos en el Desarrollo Seguro de Software

Introducción a los controles Proactivos en Desarrollo de Software

Muy buenas amigos míos, pido disculpas por el retraso en volver a escribir, en verdad se hecha en falta estas charlas, pero ya sabéis como es este mundo, basta que uno quiera escribir para que los jefes, esos horribles seres que usan el excel como arma de destrucción masiva, no te dejen tiempo/ganas.

En fin, voy a iniciar una serie de escritos sobre el desarrollo de software, sobre unas pautas para desarrollar software seguro siguiendo para ello las indicaciones de OWASP acerca de unos controles proactivos en el desarrollo de software.

Continuar leyendo «Controles Proactivos en el Desarrollo Seguro de Software»

TIPS VERANIEGOS (o cómo yo también tengo un cuñado)

 ¡Muy buenas amigos míos! Ya lo siento, pero hoy me toca a mi dar un poco la lata, de modo que como hace muuuucho calor, vamos a ir a uno de mis ya clásicos “Tips Veraniegos” (imaginaos la música de Verano Azul de fondo…), bueno no, mejor no… 😉

Podríamos hablar de la implementación de la LOPD con miras al Reglamento Europeo de Proteción de Datos (RGPD) pero como que paso bastante.

Así que una cosa ligerita, cómoda para leer mientras tomas una cañita y poco más. ¿Y qué os puedo contar? A ver, os contaré la última que me pasó ayer… Continuar leyendo «TIPS VERANIEGOS (o cómo yo también tengo un cuñado)»