martes, febrero 10, 2009

Pasado de moda

Cada vez que empiezo con una charla que tiene que ver con SQL Injection me gusta poner como primera diapositiva el primer documento sobre este tema. Han pasado 10 años desde aquel primer documento y el número de herramientas para detectar SQL Injection es enorme. Las herramientas de análisis de código estático, las que vienen incluidas directamente con los compiladores o símplemente una buena formación de los técnicos.

Sin embargo, no deja de maravillarme como en el año 2007 Spectra fue hackeado con una comilla de libro, o cómo IBM tuvo un exploit en un producto que indicaba que el testing que se había realizado era ninguno.

Hoy, más de 10 años después, aun seguimos teniendo charlas sobre SQL Injection como la que tendrá lugar en la próxima BlackHat Europe, o documentos con nuevas formas de extraer datos o noticias como la que la web de Karspersky ha sido hackeada por un SQL Injection.

¿Se pasará de moda algún día el SQL Injection? ¿Tendremos otros 10 años más de SQL injection? ¿No ha sido tiempo suficiente todavía?

Saludos Malignos!

5 comentarios:

penyaskito dijo...

¡Qué grande es Dani!

Audrey dijo...

Bueno, pues no se si soy una taruga o que me he liado o casualidades de la vida. Pero estaba leyendo el post del Maligno, de link en link he llegado a la web de zone-h, donde estab leyendo algunas noticias, etc..cuando de repente al pinchar en unos delos enlaces me ha aparecido esto:
"hack3d By Cyber-Terrorist & HeLL cYbEr
cyb3rt@hotmail.com
&
Jurm
lpooxd@gmail.com


uname:
Linux ubuntu1 2.6.24-22-server #1 SMP Mon Nov 24 20:06:28 UTC 2008 x86_64

Sorry, but I am bored
I wish you a fun time with the song :D lol
"
Con un carita muy mona...ains, que no puedo pegar la ventanita que pena (es para que lo vierais).

¿¿¿¿Es esto cierto????? Han defaceado (o como se diga, que yo de esto no tengo ni idea)esta web delante de mis narices? O alguien se está quedando conmigo...Estoy flipando!!!!

Audrey dijo...

Pues si creo que han hackeado la web de Zone-h, acabo de leer que no es la primera vez que pasa...Anda que ya les vale a estos....otra vez más. Pues como para fiarse de lo que publican, je je je.

Ciao!

tayoken dijo...

Internet se rompe... hoy más vale apagar el ordenador y fo... dormir...

null dijo...

Pues ¡anda que bien! en IBM hacen el mismo proceso de verificación que en MiT (la T es por trabajo :-). Supongo que será por: falta de tiempo + ganas de ganar más dinero + inútiles al mando + ...

Ahora en serio, creo que buena parte de los problemas vienen de disponer de "herramientas" (que permiten extrema libertad) con malos "profesionales" en algún punto del proceso (desde los que generar código basura, hasta los que no aplican cierta calidad en el mismo).

Salu2.

P.D.: Sobre el comentario de un forero acerca de que no comentamos los artículos técnicos, LLEVA MUUUUCHA RAZÓN ... yo particularmente los colecciono y luego (en un futuro más o menos cercano) intentaré leerlo (claro el comentario estará fuera de tiempo).

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares