<html><head><style type='text/css'>p { margin: 0; }</style></head><body><div style='font-family: Courier; font-size: 12pt; color: #000000'><div style="color: rgb(0, 0, 0); font-family: Courier; font-size: 12pt; "><span>Hola Spinak y Rafael,</span></div><div style="color: rgb(0, 0, 0); font-family: Courier; font-size: 12pt; "><br></div><div><font class="Apple-style-span" face="Courier" size="3">Mucho legal y&nbsp;</font><font class="Apple-style-span" face="Courier">didáctica su explanación</font><font class="Apple-style-span" face="Courier" size="3">&nbsp;Rafa.&nbsp;</font></div><div style="color: rgb(0, 0, 0); font-family: Courier; font-size: 12pt; "><span><br></span></div><div style="color: rgb(0, 0, 0); font-family: Courier; font-size: 12pt; "><span>Si el usuario estás hablando de la aplicación lildbi-web&nbsp;</span>es <b>fuertemente</b> recomendado que todos los que tienen ese aplicativo apliquen los procedimientos de protección indicado en nuestra wiki.&nbsp;</div><div style="color: rgb(0, 0, 0); font-family: Courier; font-size: 12pt; "><br></div><span style="color: rgb(0, 0, 0); font-family: Courier; font-size: 12pt; "><div><a href="http://wiki.reddes.bvsalud.org/index.php/LILDBI-WEB-proteccion">http://wiki.reddes.bvsalud.org/index.php/LILDBI-WEB-proteccion</a></div><div><span><br></span></div><div><span>Saludos,&nbsp;</span></div><div><span><br></span></div><br><span name="x"></span>Marcos Luis Mori<br>RST/MTI<br>BIREME/OPS/OMS<span name="x"></span><br></span><br><hr id="zwchr" style="color: rgb(0, 0, 0); font-family: Courier; font-size: 12pt; "><blockquote style="color: rgb(0, 0, 0); font-family: Courier; font-size: 12pt; border-left-width: 2px; border-left-style: solid; border-left-color: rgb(16, 16, 255); margin-left: 5px; padding-left: 5px; "><b>De: </b>"spinaker" &lt;spinaker@adinet.com.uy&gt;<br><b>Para: </b>"Rafael Novello" &lt;rafa.reis.novello@gmail.com&gt;<br><b>Cc: </b>"reddes bvs-tech" &lt;reddes.bvs-tech@listas.bireme.br&gt;<br><b>Enviadas: </b>Terça-feira, 15 de Novembro de 2011 12:52:25<br><b>Assunto: </b>Re: [bvstech] [Reddes.bvs-tech] Seguridad de los aplicativos de Isis<br><br>
  
    
  
  
    ok,<br>
    voy a recomendar a ese usuario de aplicativos de Bireme que se
    comunique a la lista Reddes para que bireme de soporte<br>
    abc<br>
    Ernesto<br>
    <br>
    <br>
    El 15/11/2011 11:54, Rafael Novello escribió:
    <blockquote cite="mid:CAHWGosLNz-z8oBgrvkqx8hsMAOEcCQd-y=Y+KSBmNvngAmRLZg@mail.gmail.com">Ernesto, tudo bem?
      <div><br>
      </div>
      <div>SQL Injection é um tipo de ataque que explora
        vulnerabilidades nos formulários da aplicação. Por exemplo em um
        campo de busca, onde deveria haver uma expressão a ser
        pesquisada no banco, o hacker insere código SQL que executa
        ações indesejadas no banco de dados. Na Wikipédia existem alguns
        exemplos:</div>
      <div><br>
      </div>
      <div><a href="http://pt.wikipedia.org/wiki/Inje%C3%A7%C3%A3o_de_SQL" target="_blank">http://pt.wikipedia.org/wiki/Inje%C3%A7%C3%A3o_de_SQL</a></div>
      <div><br>
      </div>
      <div>O detalhe importante é que este tipo de ataque só vai
        funcionar em aplicações que usam bancos de dados relacionais ou
        que usam a linguagem SQL para manipular os dados do banco. Este
        não é o caso do LILDBI e de nenhuma outra aplicação do modelo da
        BVS. Então, por definição, o problema do nosso amigo na lista de
        ISIS não é SQL Injection.</div>
      <div><br>
      </div>
      <div>Mas isso não quer dizer que estas aplicações não tenham suas
        vulnerabilidades. A maioria delas faz suas manipulações nas
        bases de dados&nbsp;através&nbsp;de chamadas HTTP sem qualquer tipo de
        verificação, desta forma se uma pessoa mal intencionada
        descobrir os&nbsp;parâmetros corretos ela pode alterar as bases de
        dados sem se autenticar na aplicação. Isso se deve ao fato de
        que a camada ISIS, responsável pela&nbsp;persistência&nbsp;dos dados nas
        bases, não prove qualquer tipo de verificação ou autenticação,
        portanto este problema não esta no PHP nem a aplicação em si,
        mas sim na forma de gravar os dados.</div>
      <div><br>
      </div>
      <div>Espero ter ajudado =D</div>
      <div><br>
      </div>
      <div>Um abraço, Rafael Novello<br>
        <br>
        <div class="gmail_quote">2011/11/15 spinaker <span dir="ltr">&lt;<a href="mailto:spinaker@adinet.com.uy" target="_blank">spinaker@adinet.com.uy</a>&gt;</span><br>
          <blockquote class="gmail_quote" style="margin:0 0 0
            .8ex;border-left:1px #ccc solid;padding-left:1ex;">
            <div> <font color="navy" face="Arial" size="2"><span style="font-size:10.0pt;font-family:Arial;color:navy"></span></font><big>Recientemente

                se puso esta consulta en la lista de usuarios de ISIS<br>
                acerca de la vulnerabilidad de LILACS sobre el SQL
                Injection<br>
                ¿Bireme tiene sugerencias sobre este tipo de ataque?<br>
                <br>
                abc<br>
                Ernesto Spinak</big><br>
              <br>
              <blockquote>
                <div>
                  <div>
                    <div class="MsoNormal" style="text-align:center" align="center"><font face="Times New Roman" size="3"><span style="font-size:12.0pt">
                          <hr align="center" width="100%" size="2"> </span></font></div>
                    <p class="MsoNormal"><b><font face="Tahoma" size="2"><span style="font-size:10.0pt;font-family:Tahoma;font-weight:bold">De&nbsp;:</span></font></b><font face="Tahoma" size="2"><span style="font-size:10.0pt;font-family:Tahoma"> <a href="mailto:isis-users-bounces@iccisis.org" target="_blank">isis-users-bounces@iccisis.org</a>
                          [<a href="mailto:isis-users-bounces@iccisis.org" target="_blank">mailto:isis-users-bounces@iccisis.org</a>]
                          <b><span style="font-weight:bold">De la part
                              de</span></b> Calbet Roselló, Ernesto<br>
                          <b><span style="font-weight:bold">Envoyé&nbsp;:</span></b>
                          mardi 15 novembre 2011 08:46<br>
                          <b><span style="font-weight:bold">À&nbsp;:</span></b>
                          <a href="mailto:isis-users@iccisis.org" target="_blank">isis-users@iccisis.org</a><br>
                          <b><span style="font-weight:bold">Objet&nbsp;:</span></b>
                          [Isis-users] isis seguridad</span></font></p>
                  </div>
                  <p class="MsoNormal"><font face="Times New Roman" size="3"><span style="font-size:12.0pt">&nbsp;</span></font></p>
                  <div>
                    <div>
                      <p class="MsoNormal"><big><big><font color="black" face="Arial" size="2"><big><big><span style="font-size:10.0pt;font-family:Arial;color:black">Colaboro
                                    en una base de datos accesible en
                                    Internet, implementada con las
                                    herramientas de Bireme en un entorno
                                    Linux. Los informáticos han apagado
                                    el servidor en el que estaba
                                    instalada la base porque dicen que
                                    ha sido atacado por SQL injection.
                                    Yo no soy informático, pero &nbsp;¿podría
                                    alguien darme una pista para &nbsp;que la
                                    pase a los informáticos sobre algún
                                    procedimiento para evitar la
                                    introducción de código?. Gracias por
                                    vuestra colaboración.</span></big></big></font></big></big><font color="black"><span style="color:black"></span></font></p>
                      <p class="MsoNormal"><font color="black" face="Times New Roman" size="3"><span style="font-size:12.0pt;color:black">&nbsp;</span></font></p>
                    </div>
                  </div>
                </div>
                <br>
                <fieldset></fieldset>
                <br>
                <pre>_______________________________________________
isis-users mailing list
<a href="mailto:isis-users@iccisis.org" target="_blank">isis-users@iccisis.org</a>
To manage your own subscription options go to: <a href="http://lists.iccisis.org/listinfo/isis-users" target="_blank">http://lists.iccisis.org/listinfo/isis-users</a>
Or contact Henk Rutten: <a href="mailto:hlrutten@xs4all.nl" target="_blank">hlrutten@xs4all.nl</a>
</pre>
              </blockquote>
              <br>
              <br>
              <pre>-- 
  .^.                                .^.
  ( )                                ( )
  ===                                ===
 =[=]================================[=]=
  | |  Ernesto Spinak                | |
  | |  <a href="mailto:spinaker@adinet.com.uy" target="_blank">spinaker@adinet.com.uy</a>        | |
  | |  Montevideo, Uruguay           | |
  | |  tel/fax  (598) 2622-3352      | |
  | |  celular  (598) 99612238      | |
 =[=]================================[=]=
  ===                                ===
  ( )                                ( )
   V                                  V </pre>
            </div>
            <br>
            _______________________________________________<br>
            Reddes.bvs-tech mailing list<br>
            <a href="mailto:Reddes.bvs-tech@listas.bireme.br" target="_blank">Reddes.bvs-tech@listas.bireme.br</a><br>
            <a href="http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech" target="_blank">http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech</a><br>
            <br>
          </blockquote>
        </div>
        <br>
        <br clear="all">
        <div><br>
        </div>
        -- <br>
        Atenciosamente,<br>
        Rafael Novello.<br>
      </div>
    </blockquote>
    <br>
    <br>
    <pre class="moz-signature">-- 
  .^.                                .^.
  ( )                                ( )
  ===                                ===
 =[=]================================[=]=
  | |  Ernesto Spinak                | |
  | |  <a class="moz-txt-link-abbreviated" href="mailto:spinaker@adinet.com.uy" target="_blank">spinaker@adinet.com.uy</a>        | |
  | |  Montevideo, Uruguay           | |
  | |  tel/fax  (598) 2622-3352      | |
  | |  celular  (598) 99612238      | |
 =[=]================================[=]=
  ===                                ===
  ( )                                ( )
   V                                  V </pre>
  

<br>_______________________________________________<br>Reddes.bvs-tech mailing list<br>Reddes.bvs-tech@listas.bireme.br<br>http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech<br></blockquote><br></div></body></html>