Estas aquiContenido / Jaqueado el sitio web de reclutamiento de la policía londinense
Jaqueado el sitio web de reclutamiento de la policía londinense
Al parecer Scotland Yard no dio demasiada importancia al sabotaje del sitio web que mostraba a Brobee (el muñeco protagonista de un programa infantil de la televisión británica) hace un mes. Sin embargo, la "broma" puede haber tenido sus consecuencias, por cuanto una auditoría ha revelado el posible compromiso de dos bases de datos conteniendo solicitudes de empleo y los datos personales de cientos de agentes.
"Esta información podría ser muy útil para los suplantadores de identidad, y no tiene precio para los delincuentes", ha afirmado al Daily Mirror una fuente...
Según The Hacker Webzine, el web de reclutamiento (que utiliza ASP y Microsoft SQL Server sobre Windows 2000) podría resultar vulnerable a inyección SQL.
Es sorprendente cómo la gente sigue utilizando productos claramente inseguros.
Un MSSQL Server corriendo sobre un sistema operativo ya sin soporte... Es suicida.
yo personalmente compruebo cómo hay jefes que obligan a usar SQL Server sin más motivo que "ser el más usado" y por tanto "todo el mundo lo conoce y sabe usarlo". En esas condiciones, cualquier persona lo administra y cualquier pobre aprendiz de administrador puede cometer el error de crear una página vulnerable a inyecciones SQL.
Los que se supone que tienen que velar por nuestra seguridad no son capaces ni de velar por la suya propia. je je.
"Te necesitamos para coger a los que nos jaquearon el sitio el otro día."
A los dos comentarios que critican el uso de productos Microsoft y Sql Server en particular. Hay otras razones para criticarlos, pero un ataque de inyección sql no tiene nada que ver con el software en sí, sino en no haber tomado las medidas adecuadas por parte de los programadores del sitio, medidas por otro lado bastante simples hoy día. Este tipo de ataques se dan ya uses Sql Server, Access, MySql, Oracle, ....
No estás diciendo nada que no se haya dicho ya. En ciertos entornos, es más fácil contratar a novatos sin darles formación. Sólo una "charleta" introductoria y "búscate la vida". Que existe gente muy preparada, sí, pero parece que no trabajaban para la policía londinense.
En ocasiones sí que tiene que ver (y mucho) con el software utilizado. Una inyección SQL en MySQL no llega a ser tan grave como en MSSQL Server, pues en este último se pueden inyectar secuencias SQL completas, del tipo TRUNCATE TABLE. Por el contrario, en MySQL únicamente podemos alterar la secuencia que se dispone a ejecutar el programa, pero no añadir más sentencias.
La inyeccion de SQL es claramente un error de programación independientemente de la base de datos que se use por detrás y cualquier base de datos se puede ver afectada por este problema, otra cosa diferente es los daños que se puedan causar que dependiendo de la buena o mala configuración de SQL Server serén menores o mayores. Es más uno de los problemas que yo veía antes (la versión 5.0 ya lo tiene) a MySQL es que no se podían usar procedimientos almacenados los cuales si son bien usados evitan los problemas de inyección de SQL y sin embargo en SQL Server se llevan usando desde hace bastante.
Scotland Yard/MSSQL Server/Windows 2000? mmm