<html><head><style type='text/css'>p { margin: 0; }</style></head><body><div style='font-family: Courier; font-size: 12pt; color: #000000'><div style="color: rgb(0, 0, 0); font-family: Courier; font-size: 12pt; "><span>Hola Spinak y Rafael,</span></div><div style="color: rgb(0, 0, 0); font-family: Courier; font-size: 12pt; "><br></div><div><font class="Apple-style-span" face="Courier" size="3">Mucho legal y </font><font class="Apple-style-span" face="Courier">didáctica su explanación</font><font class="Apple-style-span" face="Courier" size="3"> Rafa. </font></div><div style="color: rgb(0, 0, 0); font-family: Courier; font-size: 12pt; "><span><br></span></div><div style="color: rgb(0, 0, 0); font-family: Courier; font-size: 12pt; "><span>Si el usuario estás hablando de la aplicación lildbi-web </span>es <b>fuertemente</b> recomendado que todos los que tienen ese aplicativo apliquen los procedimientos de protección indicado en nuestra wiki. </div><div style="color: rgb(0, 0, 0); font-family: Courier; font-size: 12pt; "><br></div><span style="color: rgb(0, 0, 0); font-family: Courier; font-size: 12pt; "><div><a href="http://wiki.reddes.bvsalud.org/index.php/LILDBI-WEB-proteccion">http://wiki.reddes.bvsalud.org/index.php/LILDBI-WEB-proteccion</a></div><div><span><br></span></div><div><span>Saludos, </span></div><div><span><br></span></div><br><span name="x"></span>Marcos Luis Mori<br>RST/MTI<br>BIREME/OPS/OMS<span name="x"></span><br></span><br><hr id="zwchr" style="color: rgb(0, 0, 0); font-family: Courier; font-size: 12pt; "><blockquote style="color: rgb(0, 0, 0); font-family: Courier; font-size: 12pt; border-left-width: 2px; border-left-style: solid; border-left-color: rgb(16, 16, 255); margin-left: 5px; padding-left: 5px; "><b>De: </b>"spinaker" <spinaker@adinet.com.uy><br><b>Para: </b>"Rafael Novello" <rafa.reis.novello@gmail.com><br><b>Cc: </b>"reddes bvs-tech" <reddes.bvs-tech@listas.bireme.br><br><b>Enviadas: </b>Terça-feira, 15 de Novembro de 2011 12:52:25<br><b>Assunto: </b>Re: [bvstech] [Reddes.bvs-tech] Seguridad de los aplicativos de Isis<br><br>
ok,<br>
voy a recomendar a ese usuario de aplicativos de Bireme que se
comunique a la lista Reddes para que bireme de soporte<br>
abc<br>
Ernesto<br>
<br>
<br>
El 15/11/2011 11:54, Rafael Novello escribió:
<blockquote cite="mid:CAHWGosLNz-z8oBgrvkqx8hsMAOEcCQd-y=Y+KSBmNvngAmRLZg@mail.gmail.com">Ernesto, tudo bem?
<div><br>
</div>
<div>SQL Injection é um tipo de ataque que explora
vulnerabilidades nos formulários da aplicação. Por exemplo em um
campo de busca, onde deveria haver uma expressão a ser
pesquisada no banco, o hacker insere código SQL que executa
ações indesejadas no banco de dados. Na Wikipédia existem alguns
exemplos:</div>
<div><br>
</div>
<div><a href="http://pt.wikipedia.org/wiki/Inje%C3%A7%C3%A3o_de_SQL" target="_blank">http://pt.wikipedia.org/wiki/Inje%C3%A7%C3%A3o_de_SQL</a></div>
<div><br>
</div>
<div>O detalhe importante é que este tipo de ataque só vai
funcionar em aplicações que usam bancos de dados relacionais ou
que usam a linguagem SQL para manipular os dados do banco. Este
não é o caso do LILDBI e de nenhuma outra aplicação do modelo da
BVS. Então, por definição, o problema do nosso amigo na lista de
ISIS não é SQL Injection.</div>
<div><br>
</div>
<div>Mas isso não quer dizer que estas aplicações não tenham suas
vulnerabilidades. A maioria delas faz suas manipulações nas
bases de dados através de chamadas HTTP sem qualquer tipo de
verificação, desta forma se uma pessoa mal intencionada
descobrir os parâmetros corretos ela pode alterar as bases de
dados sem se autenticar na aplicação. Isso se deve ao fato de
que a camada ISIS, responsável pela persistência dos dados nas
bases, não prove qualquer tipo de verificação ou autenticação,
portanto este problema não esta no PHP nem a aplicação em si,
mas sim na forma de gravar os dados.</div>
<div><br>
</div>
<div>Espero ter ajudado =D</div>
<div><br>
</div>
<div>Um abraço, Rafael Novello<br>
<br>
<div class="gmail_quote">2011/11/15 spinaker <span dir="ltr"><<a href="mailto:spinaker@adinet.com.uy" target="_blank">spinaker@adinet.com.uy</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div> <font color="navy" face="Arial" size="2"><span style="font-size:10.0pt;font-family:Arial;color:navy"></span></font><big>Recientemente
se puso esta consulta en la lista de usuarios de ISIS<br>
acerca de la vulnerabilidad de LILACS sobre el SQL
Injection<br>
¿Bireme tiene sugerencias sobre este tipo de ataque?<br>
<br>
abc<br>
Ernesto Spinak</big><br>
<br>
<blockquote>
<div>
<div>
<div class="MsoNormal" style="text-align:center" align="center"><font face="Times New Roman" size="3"><span style="font-size:12.0pt">
<hr align="center" width="100%" size="2"> </span></font></div>
<p class="MsoNormal"><b><font face="Tahoma" size="2"><span style="font-size:10.0pt;font-family:Tahoma;font-weight:bold">De :</span></font></b><font face="Tahoma" size="2"><span style="font-size:10.0pt;font-family:Tahoma"> <a href="mailto:isis-users-bounces@iccisis.org" target="_blank">isis-users-bounces@iccisis.org</a>
[<a href="mailto:isis-users-bounces@iccisis.org" target="_blank">mailto:isis-users-bounces@iccisis.org</a>]
<b><span style="font-weight:bold">De la part
de</span></b> Calbet Roselló, Ernesto<br>
<b><span style="font-weight:bold">Envoyé :</span></b>
mardi 15 novembre 2011 08:46<br>
<b><span style="font-weight:bold">À :</span></b>
<a href="mailto:isis-users@iccisis.org" target="_blank">isis-users@iccisis.org</a><br>
<b><span style="font-weight:bold">Objet :</span></b>
[Isis-users] isis seguridad</span></font></p>
</div>
<p class="MsoNormal"><font face="Times New Roman" size="3"><span style="font-size:12.0pt"> </span></font></p>
<div>
<div>
<p class="MsoNormal"><big><big><font color="black" face="Arial" size="2"><big><big><span style="font-size:10.0pt;font-family:Arial;color:black">Colaboro
en una base de datos accesible en
Internet, implementada con las
herramientas de Bireme en un entorno
Linux. Los informáticos han apagado
el servidor en el que estaba
instalada la base porque dicen que
ha sido atacado por SQL injection.
Yo no soy informático, pero ¿podría
alguien darme una pista para que la
pase a los informáticos sobre algún
procedimiento para evitar la
introducción de código?. Gracias por
vuestra colaboración.</span></big></big></font></big></big><font color="black"><span style="color:black"></span></font></p>
<p class="MsoNormal"><font color="black" face="Times New Roman" size="3"><span style="font-size:12.0pt;color:black"> </span></font></p>
</div>
</div>
</div>
<br>
<fieldset></fieldset>
<br>
<pre>_______________________________________________
isis-users mailing list
<a href="mailto:isis-users@iccisis.org" target="_blank">isis-users@iccisis.org</a>
To manage your own subscription options go to: <a href="http://lists.iccisis.org/listinfo/isis-users" target="_blank">http://lists.iccisis.org/listinfo/isis-users</a>
Or contact Henk Rutten: <a href="mailto:hlrutten@xs4all.nl" target="_blank">hlrutten@xs4all.nl</a>
</pre>
</blockquote>
<br>
<br>
<pre>--
.^. .^.
( ) ( )
=== ===
=[=]================================[=]=
| | Ernesto Spinak | |
| | <a href="mailto:spinaker@adinet.com.uy" target="_blank">spinaker@adinet.com.uy</a> | |
| | Montevideo, Uruguay | |
| | tel/fax (598) 2622-3352 | |
| | celular (598) 99612238 | |
=[=]================================[=]=
=== ===
( ) ( )
V V </pre>
</div>
<br>
_______________________________________________<br>
Reddes.bvs-tech mailing list<br>
<a href="mailto:Reddes.bvs-tech@listas.bireme.br" target="_blank">Reddes.bvs-tech@listas.bireme.br</a><br>
<a href="http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech" target="_blank">http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech</a><br>
<br>
</blockquote>
</div>
<br>
<br clear="all">
<div><br>
</div>
-- <br>
Atenciosamente,<br>
Rafael Novello.<br>
</div>
</blockquote>
<br>
<br>
<pre class="moz-signature">--
.^. .^.
( ) ( )
=== ===
=[=]================================[=]=
| | Ernesto Spinak | |
| | <a class="moz-txt-link-abbreviated" href="mailto:spinaker@adinet.com.uy" target="_blank">spinaker@adinet.com.uy</a> | |
| | Montevideo, Uruguay | |
| | tel/fax (598) 2622-3352 | |
| | celular (598) 99612238 | |
=[=]================================[=]=
=== ===
( ) ( )
V V </pre>
<br>_______________________________________________<br>Reddes.bvs-tech mailing list<br>Reddes.bvs-tech@listas.bireme.br<br>http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech<br></blockquote><br></div></body></html>