Inseguridad en Oracle

on



El super genio en seguridad de Bases de Datos David Litchfield ha encontrado una forma de manipular los tipos de datos comunes de Oracle, el cual no se habia pensado ser explotables, y los comandos de inyeccion arbitraria de SQL.
El nuevo método muestra que tu no puedes asumir que cualquier tipo de datos sea seguro (en ingles) de un ataque de ingreso.
Litchfield escribe, “En conclusión, aun todas esas funciones y procedimientos no toman en cuenta que los ingresos realizados por el usuario pueden ser explotados si SYSDATE es utilizado. La lección aquí es que siempre, siempre valide y prevenga este tipo de vulnerabilidad desde su código. La segunda lección es que no se debe considerar los tipos de datos DATE o NUMBER como seguros y no utilizables para inyeccion de vectores: como lo dice este documento[PDF] se ha probado, y lo son”, concluye.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s