Mes: julio 2008

Tips de SQL Injection : How to

Hola, compañeros de geeks.

Bueno quisiera dejar unos tips para aquellas personas que deseen probar, conocer y demás acerca de esta técnica, como mencione en mi post anterior, esta vulnerabilidad va mas ligada a la forma en que los desarrolladores hacen su trabajo.

Tip 1.

Primero dejar el link de un vídeo en msdn del señor Todd Miranda

How Do I: Prevent a SQL Injection Security Flaw in an ASP.NET Application?

En este vídeo nos muestran con lujo de detalles con realizar un ataque con esta técnica y también como podemos prevenirla.

A modo de dato se recomienda desconfiar de toda la data que se puede ingresar en nuestra aplicación, por medio de cajas  de texto y demás controles que nos permiten capturar datos de los usuarios.

Tip 2.

Segundo es dejar el enlace de un articulo llamado.

How To: Protect From SQL Injection in ASP.NET

en este articulo podemos ver las distintas técnicas de desarrollo que podemos usar para limitar esta vulnerabilidad en nuestras aplicaciones.

Básicamente las técnicas son:

  • Validar y restringir cada campo, por ejemplo no permitir que en un campo de números, se diligencie con letras.
  • Usar procedimientos almacenados con parámetros.
  • usar parámetros en las sentencias SQL. (un ejemplo del articulo)
   1: using System.Data;
   2: using System.Data.SqlClient;
   3:  
   4: using (SqlConnection connection = new SqlConnection(connectionString))
   5: {
   6:   DataSet userDataset = new DataSet();
   7:   SqlDataAdapter myDataAdapter = new SqlDataAdapter(
   8:          "SELECT au_lname, au_fname FROM Authors WHERE au_id = @au_id", 
   9:          connection);                
  10:   myCommand.SelectCommand.Parameters.Add("@au_id", SqlDbType.VarChar, 11);
  11:   myCommand.SelectCommand.Parameters["@au_id"].Value = SSN.Text;
  12:   myDataAdapter.Fill(userDataset);
  13: }
  • ………

Bueno espero que sea de utilidad, y les recomiendo ver el video, es muy bueno.

Romny

SQL Injection "Complemento"

Hola.

Solo queria dar un breve complemente a lo que dijo Rodrigo sobre SQL Injection y al problema que tubo Gustavo en su portal de sharepoint sobre Sql injection por el metodo de url.

La verdad habia comentado alguna vez de la existencia de un pequeño manual, tutorial de este tema, el señor Steve Friedl’s nos comenta en su blog algunos tips en donde se muestra el poder que tiene esta tecnica; Tambien comentaba como la primera edición de la operacion Net Protector «La primera» daba algunas pautas de este tema y demostraban de como sin importar el tipo de lenguaje que uses tanto libre como propietario sufren de este sintoma. Aunque cabe resaltar que esta vulnerabilidad se da por el codigo que genera el programador, mas no por la tecnologia que se usa.

Saludos.

Off Topic – Error al imprimir en aplicaciones virtualizadas con citrix

Hola. Realmente este tema no entra aquí, pero lo quería compartir ya que se trata de administración en win 2003.

Creo que la gran parte de personas conoce el termino de virtualización ya que los win server manejan el concepto, hay mucho productos que hacen esta labor, esta vez voy a hablar es de citrix.

Primero empezare por comentarles el escenario en nuestra empresa tenemos dos redes, una para empleados directos y otra para empleados no directos por así decirlo, ambas redes son segmentos independientes. La mayoría de las aplicaciones se vitualizan a través de citrix.

Previamente comentado el escenario, les diré el problema. Resulta que como las aplicaciones son virtualizadas con citrix, en determinados momentos, que la verdad no sé por qué se da, cuando los usuarios dar la orden de imprimir, los servidores donde están alojadas las aplicaciones no mapean las impresoras y por ende genera un error.

Este error se puede solucionar de dos formas, la primera es directamente desde el Management Console for MetaFrame de citrix,  aunque no voy a explicar esta solución.

La segunda opción es la que voy a explicar. Para esto voy a lanzar el Iexplorer virtualizado.

citrix

Como el concepto de virtualizacion es muy claro la aplicación está alojada en un servidor y por ende si estoy conectado a la aplicación puedo mapear la impresora directamente, la cuestión es como hacerlo, lo primero es que tengo que llamar el task manager del servidor donde está alojada la aplicación, pero eh hay el problema, si lo hago de la forma normal me muestra es el task manager de mi pc.

citrix1

Para sacar el que necesitamos damos la combinación del teclado  Ctrl + F3.

citrix2

Ahora damos explorer, para que nos muestre el escritorio del server.

citrix4 

Ahora ya podemos mapera la impresora que necesitamos.

citrix5

para volver a nuestro desktop, cerramos el proceso explorer del task manager.

De esta forma podemos mapear la impresora en determinado caso que nuestra aplicación virtualizada no nos permita imprimir.

Bueno espero que les sea de utilidad para las pesonas que administran aplicaciones virtualizadas con citrix.

Romny

Scrum for Team System – Task Board for Team Systems Public Beta 1‏

Hola a todos.

Scrum for Team System ah sacado una beta de un proyecto interesante, el ya conocido Task Board. Un proyecto parecido lo podemos encontrar en Codeplex conocido como Scrum Dashboard.

Para un poco de informacion, la podemos conseguir en este link http://scrumforteamsystem.com/en/TaskBoardBeta/

Un poco de publicidad y algunas imagenes.

Great news! Conchango has just released the first Beta of the “Task Board for Team System (SfTS Edition)”.

Task Board for Team System is focussed around making performing the following tasks fast and painless:

1. Updating the status of existing tasks

2. Updating the Estimated Hours Remaining on Tasks

3. Adding new Sprint Backlog Tasks

4. Claiming tasks

5. Generating the Sprint Burn down chart

Screen001

Screen002

Saludos y a disfrutar de esta beta.

Romny