elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web (Moderador: #!drvy)
| | |-+  [Resuelto] [Pregunta]: ¿Es posible que me toqueteen la base de datos?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [Resuelto] [Pregunta]: ¿Es posible que me toqueteen la base de datos?  (Leído 799 veces)
Leguim


Desconectado Desconectado

Mensajes: 699



Ver Perfil
[Resuelto] [Pregunta]: ¿Es posible que me toqueteen la base de datos?
« en: 25 Agosto 2019, 19:52 pm »

Buenos días,
estaba aprendiendo sobre un poco de seguridad web en (https://www.php.net/manual/es/security.apache.php) y voy leyendo de a poco porque sino me pierdo  ;-), la problemática que según entendí en las primeras lineas es que cualquiera puede editar/borrar cosas de mi base de datos sin tener necesariamente mi nombre de base de datos y contraseña. Es decir sin importar si tiene eso o no ya puede meter mano como quiera.

"Es completamente posible que una araña web (bot) pudiera toparse con la página web de administración de una base de datos, y eliminar todo de la base de datos."

La solución:
"Una protección ante este tipo de situaciones es mediante el uso del mecanismo de autorización de Apache, o con modelos de acceso de diseño propio usando LDAP, archivos .htaccess, etc. e incluir ese código como parte de los scripts PHP"

La solución no la pude entender por más que la lea lo más lento posible, busque araña web en el buscador pero me salió una "araña web" que es la que usa google para el posicionamiento seo, es decir nada que ver.

Es decir, no entiendo si refiere a eso que cualquiera puede mandar mano a mi base de datos y segundo que no entiendo la solución.

Gracias, quizás estoy mal interpretando algunas cosas pero no tengo idea!


« Última modificación: 9 Septiembre 2019, 20:59 pm por #!drvy » En línea

@XSStringManolo
<svg/onload=alert()>
Colaborador
***
Desconectado Desconectado

Mensajes: 2.333


Turn off the red ligth


Ver Perfil WWW
Re: [Pregunta]: ¿Es posible que me toqueteen la base de datos?
« Respuesta #1 en: 25 Agosto 2019, 20:11 pm »

Hola Miguel. Se puede modificar la base de datos, acceder a usuarios,  corromperla, etc usando inyecciones SQL. Busca por SQLi.

Un Spider o araña web, no es más que un bot que busca bases de datos (o lo que tu le digas que busque) y prueba a hacer inyecciones para obtener la base de datos del sitio. Ya sea para obtener correos electrónicos para spam, cuentas de usuarios para usar en un sitio específico o cuentas bancaras, carnets de identidad, etc. Básicamente hace lo mismo que un atacante malicioso pero de forma automática/programada. Por ejemplo usando Google Dorks. Es decir, búsquedas muy específicas que suelan dar como resultado enlaces a sitios con la base de datos que se quiere atacar. Muchos sitios bloquean este tráfico con captachas, pero pueden usar un buscador sin estas limitaciones, cambiar los datos del spider tras cada captcha, O incluso autocompletarlos.

Para protegerse puede poner un proxy en el medio, ya sea físico o por software para valodar todo lo que te envien. O solo permitir X cosas y el resto las guardas en log para comprobar si es una consulta válida bloqueada que deberías añadir a la lista blanca. Tambien puedes limitar las búsquedas por Dorks de los Spiders y usuarios malintencionados usando el archivo robots.txt así reduces la carga del proxy por los Spiders y te es más fàcil manejar los logs de las consultas.
Hay muchisimas vulnerabilidades a parte de las de las bases de datos. Valida todo con el proxy.


En línea

Leguim


Desconectado Desconectado

Mensajes: 699



Ver Perfil
Re: [Pregunta]: ¿Es posible que me toqueteen la base de datos?
« Respuesta #2 en: 25 Agosto 2019, 20:50 pm »

Gracias manolo, me quedo un poco más claro!
En línea

MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.290


I'm fourth.


Ver Perfil WWW
Re: [Pregunta]: ¿Es posible que me toqueteen la base de datos?
« Respuesta #3 en: 26 Agosto 2019, 05:46 am »

Lo que yo entendí es que si dejas un sistema de administración de base de datos a través de un servidor HTTP y lo dejas desprotegido alguien se puede meter a robar/destruir tu información. Es un error GARRAFAL dejar sistemas de administración de cualquier tipo así al aire sin un sistema de control de acceso. Para mi esto es el equivalente a decir que no dejes la puerta de tu casa abierta todo el tiempo, algo de sentido común.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Ayuda con posible inyección SQL en una base de datos.... « 1 2 »
Nivel Web
RON06 10 5,479 Último mensaje 9 Enero 2010, 15:08 pm
por RON06
[AYUDA][RESUELTO] Base de datos ASN de ips
Desarrollo Web
LaThortilla (Effort) 0 966 Último mensaje 14 Marzo 2015, 17:52 pm
por LaThortilla (Effort)
[Resuelto] mostrar mas de un registro de base de datos mysql en textarea
PHP
demonstrator 4 3,457 Último mensaje 7 Abril 2015, 22:13 pm
por demonstrator
[Pregunta]: Un array en la base de datos.
Desarrollo Web
Leguim 2 699 Último mensaje 18 Enero 2019, 01:18 am
por Leguim
[Resuelto] [Pregunta]: ¿Como pasar UTF-8 datos PHP?
PHP
Leguim 8 1,716 Último mensaje 25 Julio 2019, 00:20 am
por WHK
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines