Tutorial sobre SQL Injection donde se enseña como un simple SQL Injection puedes transformarlo en acceso a shell.

Visto en programame: [c&p] Interasante colección de ejemplos de SQL Injection, estos ejemplos están principalmente basados en bases de datos MySQL, Sql Server y Oracle.

El especialista David Litchfield ha elaborado un informe en el que asegura que cualquier sistema de base de datos Oracle no parcheado está expuesto a ataques por inyección SQL en cursores, técnica descrita en el documento www.databasesecurity.com/dbsec/cursor-injection.pdf

En su formato original HackIt!!! fue un concurso pero ahora el objetivo final es aprender de forma practica conceptos basicos de seguridad. Si te atascas en alguna prueba no te agobies, obtendras tres pistas para cada prueba, la primera la los 30 minutos de haber llegado a la prueba, la segunda a los 60 y la tercera a los 120. Si pese a las pistas alguna prueba se te resiste puede preguntar sobre el tema al administrador de las pruebas mandandole un mail. Hay un total de 10 pruebas.

Este es un análisis sobre la prevalencia de las vulnerabilidades SQL Injection de acuerdo al informe de Mitre (21% de XSS, 14% de SQL injection). Lo curioso es que usó Google para detectar los candidatos a los fallos: www.google.com/search?q=inurl:"id=10";. Según el análisis, 11.3% de los sitios de la muestra tenían problemas. Visto en www.schneier.com/blog/archives/2006/10/sql_injection_v.html

Este va a ser mi primer post y he decidido hablar sobre uno de mis temas favoritos: las estadísticas.Creo que es uno de esos temas que todos creen que saben pero sobre el que en realidad se pueden encontrar un montón de ideas erróneas. ¿Cómo entender las estadísticas cuando se crean y cual es su efecto sobre la generación de los planes de consulta posteriores ? Es algo que cada desarrollador de TSQL debería dominar.

Un fallo de tipo HTML Injection en la aplicación Play Store de Android que reportó al equipo de Google. Han pasado un par de meses y parece que ya debería estar arreglado, así que aquí está la información del bug y su experiencia en el reporte del mismo.

En una página web de uno de nuestros clientes, empezamos a bloquear direcciones IP de Google debido a que detectamos ataques SQLi generados por los robots de Google. (Breve traducción del inglés)

Un supuesto experto en seguridad da una demostración en Televisión nacional de como se 'hackea' y como fueron 'hackeadas' las paginas de dos importantes diarios de República Dominicana. El experto habla del lenguaje en que se encuentra diseñada la pagina, 'SQL', y de como con una simple linea puede 'tumbar' cualquier pagina. Como Dominicano, no puedo uno sentir más que vergüenza ante estos denominados 'expertos'. La Nacionalidad poco importa en estos casos, pero en este caso fue en nuestro país.

El auge de las nuevas tecnologías, la proliferación de fenómenos como cloud computing, movilidad, big data, etc. está provocando que las empresas necesiten contratar a cada vez más programadores y expertos en no ya uno, sino varios lenguajes de programación. Ahora bien, ¿Cuáles son los más demandados por las empresas?

Se ha detectado que todas las versiones estables del framework Ruby on Rails sufren un bug de seguridad, el cual contiene una vulnerabilidad con los ataques de inyección SQL, de tal forma que los hackers pueden inyectar consultas no deseadas en aplicaciones web desarrollados con éste framework. Se recomienda actualizar la versión con ese bug a cualquiera de las siguientes: 3.2.10, 3.1.9 o 3.0.18, ya que estas están libres de dicha vulnerabilidad.

Symantec ha detectado una extraña muestra de malware que parece estar apuntando a Irán y que está diseñada para entrometerse en las bases de datos SQL. Bautizado como W32.Narilam,e l malware fue descubierto el pasado 15 de noviembre, pero fue el viernes pasado cuando la compañía de seguridad ofreció más información. Entre otras cosas Symantec ha dicho que el malware tiene un “riesgo bajo” y que la mayoría de las infecciones se han concentrado en Irán, aunque también se han detectado en Reino Unido, Estados Unidos y Alaska.

En las diferentes pruebas realizadas se ha detectado alguna vulnerabilidad en más del 90% de las pruebas realizadas y en más del 75% se ha hallado por lo menos una vulnerabilidad crítica. De las vulnerabilidades críticas detectadas aproximadamente un 23% han sido Inyecciones SQL y un 12% Cross Site Scripting (XSS).

En este artículo el autor nos muestra que criterios hemos de tener en cuenta antes de crear un índice en Oracle.

En este artículo el autor nos comenta como usar los tipos de PL/SQL, para hacer una programación orientada a objetos, dentro de Oracle.

En las nuevas versiones de Rails se dejará de usar el método 'find' con más de un argumento. Entonces ya no será aconsejable escribir código del tipo: Item.find(:all, :conditions => ['owner_id = ?', y], :order => 'id ASC') y el único uso de 'find' será del tipo: Item.find(4) Item.find([3, 4, 7])

Entre las empresas que ofrecen servicios en la nube encontramos a grandes como Google, Amazon y Microsoft; si bien el caso de Microsoft siempre ha sido algo especial porque su plataforma como servicio (PaaS), Windows Azure, tan solo permitía el despliegue de aplicaciones Windows Server 2008, algo que podría cambiar en este año con el soporte para máquinas virtuales basadas en sistemas operativos GNU/Linux. De hecho, esta novedad no llegaría sola y Microsoft también permitiría el despliegue de máquinas virtuales con SQL Server o Sharepoint...

SQL significa Lenguaje de consulta estructurado. Se utiliza para gestionar los datos en el sistema de administración de base de datos que almacena datos en forma de tablas y relaciones entre los datos también se almacenan en forma de tablas.

Traduzco: Quentin Clark (Vicepresidente Corporativo de Microsoft) anunció la pronta disponibilidad de un controlador de Microsoft SQL Server ODBC para Linux. Sí, has leído bien, Microsoft planea lanzar un controlador que proporciona acceso a SQL Server en los sistemas operativos Linux / Unix. Una versión preliminar estará a disposición del público a finales de este otoño. Vía twitter.com/#!/hectorsm/status/124715907393134592

[c&p] Google ha lanzado Google Cloud SQL, una esperada funcionalidad para todos los desarrolladores que usan Google App Engine. Al fin podremos usar una base de datos relacional en la nube de Google muy familiar a MySQL. Como siempre, la idea es que nos centremos en desarrollar nuestra aplicación y servicios sin la problemática de manejar, mantener y administrar complejas bases de datos relacionales.

Se reveran vulnerabilidades de inyección SQL y cross-site scripting en la red social Zyncro, que hacen posible a usuarios maliciosos acceder a toda la información y archivos privados de los usuarios.

Viñeta original en ingles => www.somethingofthatilk.com/index.php?id=271#comic

10 ejercicios de facultad de PLSQL, con el diseño de tablas incluido. Realmente muy simple para entender conceptos básicos e intermedios de PLSSQL.

Una página con la que puedes prácticar y aprender SQL online.

Una inyección SQL para los lectores de placas de matrícula de los radares, La envía Hombrelobo que la vio en GuiM.fr vía Truffo.fr vía Gizmodo.fr...

Creadores de malware están usando vulnerabilidades de miles de sitios web para inyectar código malicioso, como parte de un ambicioso ataque que busca redirigir a los internautas a una web falsa de antivirus. El ataque, que ha sido bautizado como “LizaMoon”, fue alertado por la firma de seguridad Websense el martes. La compañía indicó que hackers habían usado una inyección de SQL para introducir una línea de código maliciosa en unos 28.000 dominios, enviando a los visitantes a la página de un antivirus falso...

Código SQL con información de provincias y localidades españolas (incluyendo latitud y longitud).