Comentarios en: OWASP TOP 10: Inyección http://www.securityartwork.es/2010/03/01/owasp-top-10-inyeccion/ Blog de Seguridad de la Información de S2 Grupo Wed, 08 Sep 2010 01:28:42 +0200 http://wordpress.org/?v=2.8.4 hourly 1 Por: David Monteagudo http://www.securityartwork.es/2010/03/01/owasp-top-10-inyeccion/comment-page-1/#comment-3474 David Monteagudo Mon, 15 Mar 2010 11:38:53 +0000 http://www.securityartwork.es/?p=2711#comment-3474 Muchas gracias por el comentario Ximo. Evidentemente es un error tipográfico, ya que de otra forma no se ejecutaría el script porque no lo encontraría, pero lo importante no es el ejemplo en concreto, sino la forma de explotarlo, que supongo que habrá quedado clara, independientemente del typo. Cuando acabe la serie del Top 10 tendré que hacer un Top 10, fe de erratas. Muchas gracias por el comentario Ximo.

Evidentemente es un error tipográfico, ya que de otra forma no se ejecutaría el script porque no lo encontraría, pero lo importante no es el ejemplo en concreto, sino la forma de explotarlo, que supongo que habrá quedado clara, independientemente del typo.

Cuando acabe la serie del Top 10 tendré que hacer un Top 10, fe de erratas.

]]> Por: Joaquin Moreno http://www.securityartwork.es/2010/03/01/owasp-top-10-inyeccion/comment-page-1/#comment-3460 Joaquin Moreno Sat, 13 Mar 2010 12:40:59 +0000 http://www.securityartwork.es/?p=2711#comment-3460 Gracias David, muy buen post. Solo me ha quedado una duda, y no se si es porque me acabo de levantar o por la edad jaja :P Cuando pones esto: Runtime.getRuntime().exec(”upgradebbdd.sh” +”-“ +request.getParamter(‘id’)); No sería esto: Runtime.getRuntime().exec(”upgradebbdd.sh ” +”-“ +request.getParamter(‘id’)); O esto: Runtime.getRuntime().exec(”upgradebbdd.sh” +” -“ +request.getParamter(‘id’)); Es decir, dejando un espacio en blanco entre el script y el guión de la opción. Gracias David, muy buen post.

Solo me ha quedado una duda, y no se si es porque me acabo de levantar o por la edad jaja :P

Cuando pones esto:
Runtime.getRuntime().exec(”upgradebbdd.sh” +”-“ +request.getParamter(‘id’));

No sería esto:
Runtime.getRuntime().exec(”upgradebbdd.sh ” +”-“ +request.getParamter(‘id’));

O esto:
Runtime.getRuntime().exec(”upgradebbdd.sh” +” -“ +request.getParamter(‘id’));

Es decir, dejando un espacio en blanco entre el script y el guión de la opción.

]]> Por: OWASP Top 10: Inyeccin http://www.securityartwork.es/2010/03/01/owasp-top-10-inyeccion/comment-page-1/#comment-3420 OWASP Top 10: Inyeccin Tue, 09 Mar 2010 20:48:31 +0000 http://www.securityartwork.es/?p=2711#comment-3420 [...] [...] [...] [...]

]]> Por: David Monteagudo http://www.securityartwork.es/2010/03/01/owasp-top-10-inyeccion/comment-page-1/#comment-3374 David Monteagudo Tue, 02 Mar 2010 22:43:24 +0000 http://www.securityartwork.es/?p=2711#comment-3374 Muchas gracias por el comentario Paco, del de Manolo mejor no decir nada. El tema de las inyecciones es muy amplio y pensamos que un post en el que se publicarán un par de ejemplos podría suponer un reflejo de lo que nos podemos encontrar en los desarrollos y aplicaciones existentes. Tomamos nota de tu sugerencia y en próximas fechas ampliaremos este post con ejemplos de otras inyecciones y cómo evitarlas. Muchas gracias por el comentario Paco, del de Manolo mejor no decir nada.
El tema de las inyecciones es muy amplio y pensamos que un post en el que se publicarán un par de ejemplos podría suponer un reflejo de lo que nos podemos encontrar en los desarrollos y aplicaciones existentes.
Tomamos nota de tu sugerencia y en próximas fechas ampliaremos este post con ejemplos de otras inyecciones y cómo evitarlas.

]]> Por: Manuel Benet http://www.securityartwork.es/2010/03/01/owasp-top-10-inyeccion/comment-page-1/#comment-3371 Manuel Benet Tue, 02 Mar 2010 13:41:37 +0000 http://www.securityartwork.es/?p=2711#comment-3371 Un almendro en flor es bonito. Así que más que bonito, quizá la palabra sea "útil" :^) Un almendro en flor es bonito. Así que más que bonito, quizá la palabra sea “útil” :^)

]]> Por: Francisco Benet http://www.securityartwork.es/2010/03/01/owasp-top-10-inyeccion/comment-page-1/#comment-3370 Francisco Benet Tue, 02 Mar 2010 08:44:00 +0000 http://www.securityartwork.es/?p=2711#comment-3370 Buen post, tal vez sea bonito hacer una serie con ejemplos prácticos, sobre todo cuando se utilizan ORM's o cuando se intenta acceder a los datos de un ldap... cosas que en el desarrollo con frameworks se dan por resueltos pero que cada vez son más vulnerables. Me ha gustado. Saludos. Buen post, tal vez sea bonito hacer una serie con ejemplos prácticos, sobre todo cuando se utilizan ORM’s o cuando se intenta acceder a los datos de un ldap… cosas que en el desarrollo con frameworks se dan por resueltos pero que cada vez son más vulnerables.

Me ha gustado.

Saludos.

]]>