[Reddes.bvs-tech] [bvstech] Seguridad de los aplicativos de Isis

Marcos Luis Mori marcos.mori at bireme.org
Wed Nov 16 19:52:07 BRST 2011 

Hola Spinak y Rafael, 


Mucho legal y didáctica su explanación Rafa. 


Si el usuario estás hablando de la aplicación lildbi-web es fuertemente recomendado que todos los que tienen ese aplicativo apliquen los procedimientos de protección indicado en nuestra wiki. 


http://wiki.reddes.bvsalud.org/index.php/LILDBI-WEB-proteccion 


Saludos, 


Marcos Luis Mori 
RST/MTI 
BIREME/OPS/OMS 




De: "spinaker" <spinaker at adinet.com.uy> 
Para: "Rafael Novello" <rafa.reis.novello at gmail.com> 
Cc: "reddes bvs-tech" <reddes.bvs-tech at listas.bireme.br> 
Enviadas: Terça-feira, 15 de Novembro de 2011 12:52:25 
Assunto: Re: [bvstech] [Reddes.bvs-tech] Seguridad de los aplicativos de Isis 

ok, 
voy a recomendar a ese usuario de aplicativos de Bireme que se comunique a la lista Reddes para que bireme de soporte 
abc 
Ernesto 


El 15/11/2011 11:54, Rafael Novello escribió: 

Ernesto, tudo bem? 


SQL Injection é um tipo de ataque que explora vulnerabilidades nos formulários da aplicação. Por exemplo em um campo de busca, onde deveria haver uma expressão a ser pesquisada no banco, o hacker insere código SQL que executa ações indesejadas no banco de dados. Na Wikipédia existem alguns exemplos: 


http://pt.wikipedia.org/wiki/Inje%C3%A7%C3%A3o_de_SQL 


O detalhe importante é que este tipo de ataque só vai funcionar em aplicações que usam bancos de dados relacionais ou que usam a linguagem SQL para manipular os dados do banco. Este não é o caso do LILDBI e de nenhuma outra aplicação do modelo da BVS. Então, por definição, o problema do nosso amigo na lista de ISIS não é SQL Injection. 


Mas isso não quer dizer que estas aplicações não tenham suas vulnerabilidades. A maioria delas faz suas manipulações nas bases de dados através de chamadas HTTP sem qualquer tipo de verificação, desta forma se uma pessoa mal intencionada descobrir os parâmetros corretos ela pode alterar as bases de dados sem se autenticar na aplicação. Isso se deve ao fato de que a camada ISIS, responsável pela persistência dos dados nas bases, não prove qualquer tipo de verificação ou autenticação, portanto este problema não esta no PHP nem a aplicação em si, mas sim na forma de gravar os dados. 


Espero ter ajudado =D 


Um abraço, Rafael Novello 


2011/11/15 spinaker < spinaker at adinet.com.uy > 



Recientemente se puso esta consulta en la lista de usuarios de ISIS 
acerca de la vulnerabilidad de LILACS sobre el SQL Injection 
¿Bireme tiene sugerencias sobre este tipo de ataque? 

abc 
Ernesto Spinak 









De : isis-users-bounces at iccisis.org [ mailto:isis-users-bounces at iccisis.org ] De la part de Calbet Roselló, Ernesto 
Envoyé : mardi 15 novembre 2011 08:46 
À : isis-users at iccisis.org 
Objet : [Isis-users] isis seguridad 





Colaboro en una base de datos accesible en Internet, implementada con las herramientas de Bireme en un entorno Linux. Los informáticos han apagado el servidor en el que estaba instalada la base porque dicen que ha sido atacado por SQL injection. Yo no soy informático, pero ¿podría alguien darme una pista para que la pase a los informáticos sobre algún procedimiento para evitar la introducción de código?. Gracias por vuestra colaboración. 



_______________________________________________
isis-users mailing list isis-users at iccisis.org To manage your own subscription options go to: http://lists.iccisis.org/listinfo/isis-users Or contact Henk Rutten: hlrutten at xs4all.nl 

-- 
  .^.                                .^.
  ( )                                ( )
  ===                                ===
 =[=]================================[=]=
  | |  Ernesto Spinak                | |
  | | spinaker at adinet.com.uy | |
  | |  Montevideo, Uruguay           | |
  | |  tel/fax  (598) 2622-3352      | |
  | |  celular  (598) 99612238      | |
 =[=]================================[=]=
  ===                                ===
  ( )                                ( )
   V                                  V 
_______________________________________________ 
Reddes.bvs-tech mailing list 
Reddes.bvs-tech at listas.bireme.br 
http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech 





-- 
Atenciosamente, 
Rafael Novello. 


-- 
  .^.                                .^.
  ( )                                ( )
  ===                                ===
 =[=]================================[=]=
  | |  Ernesto Spinak                | |
  | | spinaker at adinet.com.uy | |
  | |  Montevideo, Uruguay           | |
  | |  tel/fax  (598) 2622-3352      | |
  | |  celular  (598) 99612238      | |
 =[=]================================[=]=
  ===                                ===
  ( )                                ( )
   V                                  V 
_______________________________________________ 
Reddes.bvs-tech mailing list 
Reddes.bvs-tech at listas.bireme.br 
http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech 

-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://listas.bireme.br/pipermail/reddes.bvs-tech/attachments/20111116/4092cd7f/attachment.html

More information about the Reddes.bvs-tech mailing list