En una página web de uno de nuestros clientes, empezamos a bloquear direcciones IP de Google debido a que detectamos ataques SQLi generados por los robots de Google. (Breve traducción del inglés)

Un supuesto experto en seguridad da una demostración en Televisión nacional de como se 'hackea' y como fueron 'hackeadas' las paginas de dos importantes diarios de República Dominicana. El experto habla del lenguaje en que se encuentra diseñada la pagina, 'SQL', y de como con una simple linea puede 'tumbar' cualquier pagina. Como Dominicano, no puedo uno sentir más que vergüenza ante estos denominados 'expertos'. La Nacionalidad poco importa en estos casos, pero en este caso fue en nuestro país.

El auge de las nuevas tecnologías, la proliferación de fenómenos como cloud computing, movilidad, big data, etc. está provocando que las empresas necesiten contratar a cada vez más programadores y expertos en no ya uno, sino varios lenguajes de programación. Ahora bien, ¿Cuáles son los más demandados por las empresas?

Se ha detectado que todas las versiones estables del framework Ruby on Rails sufren un bug de seguridad, el cual contiene una vulnerabilidad con los ataques de inyección SQL, de tal forma que los hackers pueden inyectar consultas no deseadas en aplicaciones web desarrollados con éste framework. Se recomienda actualizar la versión con ese bug a cualquiera de las siguientes: 3.2.10, 3.1.9 o 3.0.18, ya que estas están libres de dicha vulnerabilidad.

Symantec ha detectado una extraña muestra de malware que parece estar apuntando a Irán y que está diseñada para entrometerse en las bases de datos SQL. Bautizado como W32.Narilam,e l malware fue descubierto el pasado 15 de noviembre, pero fue el viernes pasado cuando la compañía de seguridad ofreció más información. Entre otras cosas Symantec ha dicho que el malware tiene un “riesgo bajo” y que la mayoría de las infecciones se han concentrado en Irán, aunque también se han detectado en Reino Unido, Estados Unidos y Alaska.

En las diferentes pruebas realizadas se ha detectado alguna vulnerabilidad en más del 90% de las pruebas realizadas y en más del 75% se ha hallado por lo menos una vulnerabilidad crítica. De las vulnerabilidades críticas detectadas aproximadamente un 23% han sido Inyecciones SQL y un 12% Cross Site Scripting (XSS).

En este artículo el autor nos muestra que criterios hemos de tener en cuenta antes de crear un índice en Oracle.

En este artículo el autor nos comenta como usar los tipos de PL/SQL, para hacer una programación orientada a objetos, dentro de Oracle.

En las nuevas versiones de Rails se dejará de usar el método 'find' con más de un argumento. Entonces ya no será aconsejable escribir código del tipo: Item.find(:all, :conditions => ['owner_id = ?', y], :order => 'id ASC') y el único uso de 'find' será del tipo: Item.find(4) Item.find([3, 4, 7])

Entre las empresas que ofrecen servicios en la nube encontramos a grandes como Google, Amazon y Microsoft; si bien el caso de Microsoft siempre ha sido algo especial porque su plataforma como servicio (PaaS), Windows Azure, tan solo permitía el despliegue de aplicaciones Windows Server 2008, algo que podría cambiar en este año con el soporte para máquinas virtuales basadas en sistemas operativos GNU/Linux. De hecho, esta novedad no llegaría sola y Microsoft también permitiría el despliegue de máquinas virtuales con SQL Server o Sharepoint...

SQL significa Lenguaje de consulta estructurado. Se utiliza para gestionar los datos en el sistema de administración de base de datos que almacena datos en forma de tablas y relaciones entre los datos también se almacenan en forma de tablas.

Traduzco: Quentin Clark (Vicepresidente Corporativo de Microsoft) anunció la pronta disponibilidad de un controlador de Microsoft SQL Server ODBC para Linux. Sí, has leído bien, Microsoft planea lanzar un controlador que proporciona acceso a SQL Server en los sistemas operativos Linux / Unix. Una versión preliminar estará a disposición del público a finales de este otoño. Vía twitter.com/#!/hectorsm/status/124715907393134592

[c&p] Google ha lanzado Google Cloud SQL, una esperada funcionalidad para todos los desarrolladores que usan Google App Engine. Al fin podremos usar una base de datos relacional en la nube de Google muy familiar a MySQL. Como siempre, la idea es que nos centremos en desarrollar nuestra aplicación y servicios sin la problemática de manejar, mantener y administrar complejas bases de datos relacionales.

Se reveran vulnerabilidades de inyección SQL y cross-site scripting en la red social Zyncro, que hacen posible a usuarios maliciosos acceder a toda la información y archivos privados de los usuarios.

Viñeta original en ingles => www.somethingofthatilk.com/index.php?id=271#comic

10 ejercicios de facultad de PLSQL, con el diseño de tablas incluido. Realmente muy simple para entender conceptos básicos e intermedios de PLSSQL.

Una página con la que puedes prácticar y aprender SQL online.

Una inyección SQL para los lectores de placas de matrícula de los radares, La envía Hombrelobo que la vio en GuiM.fr vía Truffo.fr vía Gizmodo.fr...

Creadores de malware están usando vulnerabilidades de miles de sitios web para inyectar código malicioso, como parte de un ambicioso ataque que busca redirigir a los internautas a una web falsa de antivirus. El ataque, que ha sido bautizado como “LizaMoon”, fue alertado por la firma de seguridad Websense el martes. La compañía indicó que hackers habían usado una inyección de SQL para introducir una línea de código maliciosa en unos 28.000 dominios, enviando a los visitantes a la página de un antivirus falso...

Código SQL con información de provincias y localidades españolas (incluyendo latitud y longitud).

Investigadores de Websense ha sido descubierto un ataque masivo de SQL Injection. El número de URLs únicas afectadas por el ataque había sobrepasado ayer las 28.000 cuando se detectó y había ascendido 380.000 cuando los investigadores realizaron la última consulta. El script inyectado redirige a los usuarios que llegan a las páginas infectadas a diferentes dominios, que luego los redirige a una página web que simula un control anti-malware.

Esta mañana Jackh4x0r ha decidido hacer pública una vulnerabilidad en las páginas de MySQL (.fr , .it , .de y .jp). Parece ser que había un parámetro vulnerable a Inyección SQL. Ha publicado información sobre los peces gordos de MySQL: emails, contraseñas (crackeadas las más importantes), usuarios… Desde aquí podemos acceder al documento en pastebin.com: pastebin.com/raw.php?i=BayvYdcP

El grupo de desarrollo de drizzle ha publicado la primera versión estable o 'GA' de drizzle, fork de MySQL. Drizzle se parece a MySQL en muchos aspectos pero hay grandes diferencias. El fork ha eliminado miles de líneas de código de MySQL y ha implementado muchas de las funcionalidades como plugins. También desaparecen algunos tipos de datos como 'time', 'tinyint', 'mediumint', 'tinyblob' y otras.