[Reddes.bvs-tech] Seguridad de los aplicativos de Isis

spinaker spinaker at adinet.com.uy
Tue Nov 15 13:52:25 BRST 2011 

ok,
voy a recomendar a ese usuario de aplicativos de Bireme que se comunique 
a la lista Reddes para que bireme de soporte
abc
Ernesto


El 15/11/2011 11:54, Rafael Novello escribió:
> Ernesto, tudo bem?
>
> SQL Injection é um tipo de ataque que explora vulnerabilidades nos 
> formulários da aplicação. Por exemplo em um campo de busca, onde 
> deveria haver uma expressão a ser pesquisada no banco, o hacker insere 
> código SQL que executa ações indesejadas no banco de dados. Na 
> Wikipédia existem alguns exemplos:
>
> http://pt.wikipedia.org/wiki/Inje%C3%A7%C3%A3o_de_SQL
>
> O detalhe importante é que este tipo de ataque só vai funcionar em 
> aplicações que usam bancos de dados relacionais ou que usam a 
> linguagem SQL para manipular os dados do banco. Este não é o caso do 
> LILDBI e de nenhuma outra aplicação do modelo da BVS. Então, por 
> definição, o problema do nosso amigo na lista de ISIS não é SQL Injection.
>
> Mas isso não quer dizer que estas aplicações não tenham suas 
> vulnerabilidades. A maioria delas faz suas manipulações nas bases de 
> dados através de chamadas HTTP sem qualquer tipo de verificação, desta 
> forma se uma pessoa mal intencionada descobrir os parâmetros corretos 
> ela pode alterar as bases de dados sem se autenticar na aplicação. 
> Isso se deve ao fato de que a camada ISIS, responsável 
> pela persistência dos dados nas bases, não prove qualquer tipo de 
> verificação ou autenticação, portanto este problema não esta no PHP 
> nem a aplicação em si, mas sim na forma de gravar os dados.
>
> Espero ter ajudado =D
>
> Um abraço, Rafael Novello
>
> 2011/11/15 spinaker <spinaker at adinet.com.uy 
> <mailto:spinaker at adinet.com.uy>>
>
>     Recientemente se puso esta consulta en la lista de usuarios de ISIS
>     acerca de la vulnerabilidad de LILACS sobre el SQL Injection
>     ¿Bireme tiene sugerencias sobre este tipo de ataque?
>
>     abc
>     Ernesto Spinak
>
>>     ------------------------------------------------------------------------
>>
>>     *De :*isis-users-bounces at iccisis.org
>>     <mailto:isis-users-bounces at iccisis.org>
>>     [mailto:isis-users-bounces at iccisis.org] *De la part de* Calbet
>>     Roselló, Ernesto
>>     *Envoyé :* mardi 15 novembre 2011 08:46
>>     *À :* isis-users at iccisis.org <mailto:isis-users at iccisis.org>
>>     *Objet :* [Isis-users] isis seguridad
>>
>>     Colaboro en una base de datos accesible en Internet, implementada
>>     con las herramientas de Bireme en un entorno Linux. Los
>>     informáticos han apagado el servidor en el que estaba instalada
>>     la base porque dicen que ha sido atacado por SQL injection. Yo no
>>     soy informático, pero  ¿podría alguien darme una pista para  que
>>     la pase a los informáticos sobre algún procedimiento para evitar
>>     la introducción de código?. Gracias por vuestra colaboración.
>>
>>
>>
>>     _______________________________________________
>>     isis-users mailing list
>>     isis-users at iccisis.org  <mailto:isis-users at iccisis.org>
>>     To manage your own subscription options go to:http://lists.iccisis.org/listinfo/isis-users
>>     Or contact Henk Rutten:hlrutten at xs4all.nl  <mailto:hlrutten at xs4all.nl>
>
>
>     -- 
>        .^.                                .^.
>        ( )                                ( )
>        ===                                ===
>       =[=]================================[=]=
>        | |  Ernesto Spinak                | |
>        | |spinaker at adinet.com.uy  <mailto:spinaker at adinet.com.uy>         | |
>        | |  Montevideo, Uruguay           | |
>        | |  tel/fax  (598) 2622-3352      | |
>        | |  celular  (598) 99612238      | |
>       =[=]================================[=]=
>        ===                                ===
>        ( )                                ( )
>         V                                  V
>
>
>     _______________________________________________
>     Reddes.bvs-tech mailing list
>     Reddes.bvs-tech at listas.bireme.br
>     <mailto:Reddes.bvs-tech at listas.bireme.br>
>     http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech
>
>
>
>
> -- 
> Atenciosamente,
> Rafael Novello.


-- 
   .^.                                .^.
   ( )                                ( )
   ===                                ===
  =[=]================================[=]=
   | |  Ernesto Spinak                | |
   | |  spinaker at adinet.com.uy        | |
   | |  Montevideo, Uruguay           | |
   | |  tel/fax  (598) 2622-3352      | |
   | |  celular  (598) 99612238      | |
  =[=]================================[=]=
   ===                                ===
   ( )                                ( )
    V                                  V

-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://listas.bireme.br/pipermail/reddes.bvs-tech/attachments/20111115/efda7ab8/attachment.html

More information about the Reddes.bvs-tech mailing list