[Reddes.bvs-tech] Seguridad de los aplicativos de Isis
Rafael Novello
rafa.reis.novello at gmail.com
Tue Nov 15 12:54:05 BRST 2011
Ernesto, tudo bem?
SQL Injection é um tipo de ataque que explora vulnerabilidades nos
formulários da aplicação. Por exemplo em um campo de busca, onde deveria
haver uma expressão a ser pesquisada no banco, o hacker insere código SQL
que executa ações indesejadas no banco de dados. Na Wikipédia existem
alguns exemplos:
http://pt.wikipedia.org/wiki/Inje%C3%A7%C3%A3o_de_SQL
O detalhe importante é que este tipo de ataque só vai funcionar em
aplicações que usam bancos de dados relacionais ou que usam a linguagem SQL
para manipular os dados do banco. Este não é o caso do LILDBI e de nenhuma
outra aplicação do modelo da BVS. Então, por definição, o problema do nosso
amigo na lista de ISIS não é SQL Injection.
Mas isso não quer dizer que estas aplicações não tenham suas
vulnerabilidades. A maioria delas faz suas manipulações nas bases de
dados através de chamadas HTTP sem qualquer tipo de verificação, desta
forma se uma pessoa mal intencionada descobrir os parâmetros corretos ela
pode alterar as bases de dados sem se autenticar na aplicação. Isso se deve
ao fato de que a camada ISIS, responsável pela persistência dos dados nas
bases, não prove qualquer tipo de verificação ou autenticação, portanto
este problema não esta no PHP nem a aplicação em si, mas sim na forma de
gravar os dados.
Espero ter ajudado =D
Um abraço, Rafael Novello
2011/11/15 spinaker <spinaker em adinet.com.uy>
> ****Recientemente se puso esta consulta en la lista de usuarios de ISIS
> acerca de la vulnerabilidad de LILACS sobre el SQL Injection
> ¿Bireme tiene sugerencias sobre este tipo de ataque?
>
> abc
> Ernesto Spinak
>
> ------------------------------
>
> *De :* isis-users-bounces em iccisis.org [
> mailto:isis-users-bounces em iccisis.org <isis-users-bounces em iccisis.org>] *De
> la part de* Calbet Roselló, Ernesto
> *Envoyé :* mardi 15 novembre 2011 08:46
> *À :* isis-users em iccisis.org
> *Objet :* [Isis-users] isis seguridad****
>
> ** **
>
> Colaboro en una base de datos accesible en Internet, implementada con las
> herramientas de Bireme en un entorno Linux. Los informáticos han apagado el
> servidor en el que estaba instalada la base porque dicen que ha sido
> atacado por SQL injection. Yo no soy informático, pero ¿podría alguien
> darme una pista para que la pase a los informáticos sobre algún
> procedimiento para evitar la introducción de código?. Gracias por vuestra
> colaboración.****
>
> ****
>
>
> _______________________________________________
> isis-users mailing listisis-users em iccisis.org
> To manage your own subscription options go to: http://lists.iccisis.org/listinfo/isis-users
> Or contact Henk Rutten: hlrutten em xs4all.nl
>
>
>
> --
> .^. .^.
> ( ) ( )
> === ===
> =[=]================================[=]=
> | | Ernesto Spinak | |
> | | spinaker em adinet.com.uy | |
> | | Montevideo, Uruguay | |
> | | tel/fax (598) 2622-3352 | |
> | | celular (598) 99612238 | |
> =[=]================================[=]=
> === ===
> ( ) ( )
> V V
>
>
> _______________________________________________
> Reddes.bvs-tech mailing list
> Reddes.bvs-tech em listas.bireme.br
> http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech
>
>
--
Atenciosamente,
Rafael Novello.
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.bireme.br/pipermail/reddes.bvs-tech/attachments/20111115/2ef25d9a/attachment.html
More information about the Reddes.bvs-tech
mailing list