Blog

27 enero, 2016

SQL Injection, el viejo conocido

Hace unos meses, en Grupogiva hicimos una auditoria a un cliente y le mostramos algunos de los problemas más comunes el en desarrollo de las aplicaciones a medida.sql-injection

El problema que más daño le hacía era un SQL Injection que daba acceso a toda su base de datos, mostrando datos relevantes que no deberían verse nada más que por un administrador o alguien con permisos. Después de solucionar el problema y contarle un poco el porqué de ese error, le contamos que este tipo de bugs se descubrieron tiempo atrás y que un desarrollador que se preocupe un poco por el trabajo que está haciendo esto no debería de ocurrir.

Quisimos enseñarle que aun a día de hoy existen webs públicas con este tipo de error, así que usando los dorks de google lanzamos una búsqueda a ver que nos encontramos, el resultado de la búsqueda fue alarmante ya que 6 webs de las 10 primeras eran vulnerables y no eran webs simples, había un ayuntamiento y una universidad con webs desarrolladas a medida y no contralaban los valores que se la pasaban por url, dando así acceso a su base de datos.

Se les aviso y uno de ellos no nos hizo ningún caso, pero sobre esto escribiremos otro día 😉

Desde el área de IT de Grupogiva queremos animar a todos los administradores y desarrolladores que se preocupen por revisar sus aplicaciones y ponerle remedio cuanto antes, ya que es muy fácil evitar esto y las consecuencias de no hacerlo pueden ser fatales, los hackers malos solo tienen que buscar en google para encontrar aplicaciones vulnerables.

Cualquier duda sobre esto no dudes en contactar con nosotros.

IT, Seguridad
About Grupogiva

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies