|
Título: [Resuelto] [Pregunta]: ¿Es posible que me toqueteen la base de datos? Publicado por: Leguim en 25 Agosto 2019, 19:52 pm Buenos días,
estaba aprendiendo sobre un poco de seguridad web en (https://www.php.net/manual/es/security.apache.php) y voy leyendo de a poco porque sino me pierdo ;-), la problemática que según entendí en las primeras lineas es que cualquiera puede editar/borrar cosas de mi base de datos sin tener necesariamente mi nombre de base de datos y contraseña. Es decir sin importar si tiene eso o no ya puede meter mano como quiera. "Es completamente posible que una araña web (bot) pudiera toparse con la página web de administración de una base de datos, y eliminar todo de la base de datos." La solución: "Una protección ante este tipo de situaciones es mediante el uso del mecanismo de autorización de Apache, o con modelos de acceso de diseño propio usando LDAP, archivos .htaccess, etc. e incluir ese código como parte de los scripts PHP" La solución no la pude entender por más que la lea lo más lento posible, busque araña web en el buscador pero me salió una "araña web" que es la que usa google para el posicionamiento seo, es decir nada que ver. Es decir, no entiendo si refiere a eso que cualquiera puede mandar mano a mi base de datos y segundo que no entiendo la solución. Gracias, quizás estoy mal interpretando algunas cosas pero no tengo idea! Título: Re: [Pregunta]: ¿Es posible que me toqueteen la base de datos? Publicado por: @XSStringManolo en 25 Agosto 2019, 20:11 pm Hola Miguel. Se puede modificar la base de datos, acceder a usuarios, corromperla, etc usando inyecciones SQL. Busca por SQLi.
Un Spider o araña web, no es más que un bot que busca bases de datos (o lo que tu le digas que busque) y prueba a hacer inyecciones para obtener la base de datos del sitio. Ya sea para obtener correos electrónicos para spam, cuentas de usuarios para usar en un sitio específico o cuentas bancaras, carnets de identidad, etc. Básicamente hace lo mismo que un atacante malicioso pero de forma automática/programada. Por ejemplo usando Google Dorks. Es decir, búsquedas muy específicas que suelan dar como resultado enlaces a sitios con la base de datos que se quiere atacar. Muchos sitios bloquean este tráfico con captachas, pero pueden usar un buscador sin estas limitaciones, cambiar los datos del spider tras cada captcha, O incluso autocompletarlos. Para protegerse puede poner un proxy en el medio, ya sea físico o por software para valodar todo lo que te envien. O solo permitir X cosas y el resto las guardas en log para comprobar si es una consulta válida bloqueada que deberías añadir a la lista blanca. Tambien puedes limitar las búsquedas por Dorks de los Spiders y usuarios malintencionados usando el archivo robots.txt así reduces la carga del proxy por los Spiders y te es más fàcil manejar los logs de las consultas. Hay muchisimas vulnerabilidades a parte de las de las bases de datos. Valida todo con el proxy. Título: Re: [Pregunta]: ¿Es posible que me toqueteen la base de datos? Publicado por: Leguim en 25 Agosto 2019, 20:50 pm Gracias manolo, me quedo un poco más claro!
Título: Re: [Pregunta]: ¿Es posible que me toqueteen la base de datos? Publicado por: MinusFour en 26 Agosto 2019, 05:46 am Lo que yo entendí es que si dejas un sistema de administración de base de datos a través de un servidor HTTP y lo dejas desprotegido alguien se puede meter a robar/destruir tu información. Es un error GARRAFAL dejar sistemas de administración de cualquier tipo así al aire sin un sistema de control de acceso. Para mi esto es el equivalente a decir que no dejes la puerta de tu casa abierta todo el tiempo, algo de sentido común.
|