Parametrización de las consultas

Controles proactivos en el desarrollo seguro de software, Parte 2

Siguiendo con nuestra serie de posts relacionados con el desarrollo seguro de software integrando los controles proactivos de OWASP, vamos a hablar hoy del segundo punto de dichos controles proactivos: la parametrización de las consultas.

Indice

Nociones breves acerca de la necesidad de la parametrización de las queries:

Nociones breves acerca de SQL Injection:

¿Cómo funciona?

¿Qué problemas pueden causar este tipo de ataques?

Ejemplo de explotación:

¿Cómo se explota?

¿Cómo paliar o anular esta amenaza?

1. Escapar los caracteres especiales utilizados en las consultas SQL

2. Delimitar los valores de las consultas

3. Verificar siempre los datos que introduce el usuario

4. Asignar mínimos privilegios al usuario que conectará con la base de datos

5. Programar bien

6. Uso de sentencias preparadas parametrizadas.

Ejemplos en varios lenguajes

7. Uso de procedimientos almacenados.

Ejemplos en varios lenguajes

Continuar leyendo «Parametrización de las consultas»

Powershell_> Sustituyendo a curl y wget con PS

Hola a todos, hoy en este post quiero hablaros un poquito, pero muy poquito de Invoke-WebRequest y de sus bondades, un cmdlet muy útil para los sysadmins y auditores de seguridad  ya que nos permitirá desde línea de comandos y desde nuestros scripts el poder tener un sustituto de los famosos curl o wget (en la medida de lo posible) y algunas cositas más. Veamos la Ayuda: get-help Invoke-WebRequest

Continuar leyendo «Powershell_> Sustituyendo a curl y wget con PS»

Powershell_> Comprobando si estamos en DNSBL

En alguna ocasión, seguro que más de uno se ha encontrado con que algún cliente tiene problemas con el correo, véase el caso típico, le he enviado un mail a XXXXX y me dice que no lo recibe y tras consultarlo con sus informáticos le dicen que estamos en una lista negra, vaya…

No voy a explicar que es DNSBL, ni RBL, ni nada de esto, para ello hay mil páginas que lo explican (hello tito google  XD), lo que os voy a explicar es como prepararnos un script para que dada una ipv4 nos diga si estamos en una lista negra.

Continuar leyendo «Powershell_> Comprobando si estamos en DNSBL»