Archive for the 'seguridad' Category

Ataques SQL Wildcard

Published septiembre 26, 2008 programación , seguridad Leave a Comment
Etiquetas: ,

En un post anterior comentaba el uso de ficheros comprimidos para la realización de ataques DoS. Otro tipo de ataque de denegación de servicio es el denominado «SQL Wildcard Attack«. Este ataque consiste en saturar la CPU del servidor donde se aloja el gestor de BBDD a través de consultas plagadas de caracteres comodín.

Una consulta simple como esta:

SELECT * FROM Article WHERE Content LIKE '%foo%'

…en una base de datos decente de entre 1 y 100000 registros, tardaría en ejecutarse menos de 1 segundo. Sin embargo, esta otra query:

SELECT TOP 10 * FROM Article WHERE Content LIKE '%_[^!_%/%a?F%_D)_(F%)_%([)({}%){()}£$&N%_)$*£()$*R"_)][%](%[x])%a][$*"£$-9]_%'

… tardaría en ejecutarse unos 6 segundos por cada 2600 registros.

Moraleja: Cuidado con lo que te meten (vía input :-))

Más literatura al respecto: DoS attacks using wildcards

42.zip – El zip de la muerte

Published septiembre 7, 2008 curiosidades , seguridad Comments
Etiquetas: , ,

42.zip es un fichero zip de 42.374 bytes, contiene 16 zips que a su vez contienen otros 16 zips y así hasta 6 veces. Los 16 últimos zips contienen un fichero de 4,3 Gb cada uno. Si descomprimimos el fichero 42.zip de 42.374 bytes obtendriamos 4.5 Pb de datos descomprimidos.

  • 16 x 4294967295 = 68.719.476.720 (68GB)
  • 16 x 68719476720 = 1.099.511.627.520 (1TB)
  • 16 x 1099511627520 = 17.592.186.040.320 (17TB)
  • 16 x 17592186040320 = 281.474.976.645.120 (281TB)
  • 16 x 281474976645120 = 4.503.599.626.321.920 (4,5PB)

Este tipo de ficheros se denominan Zips de la muerte o Zips bomba y suelen usarse como herramienta para ataques DoS.

Generador de claves robustas y fáciles de recordar

Published agosto 28, 2008 programación , seguridad Comment
Etiquetas: , , , , ,

Tal y como andan las cosas hoy en día, es una buena práctica usar contraseñas minimamente robustas para acceder a cualquier sistema privado especialmente cuando lo que esconden suelen ser datos sensilbles. Este tipo de contraseñas suelen ser difíciles de recordar… han de tener un mínimo de caracteres y dichos caracteres han de ser lo más heterogéneos posibles (letras, numeros, signos de puntuación, mayúsculas, minúsculas).

El problema de este tipo de constraseñas es que suelen ser difíciles de recordar (a mi se me suele olvidar hasta el pin de la Visa). Si te pasa como a mi quizás te interese PasswordChart. PasswordChart es una aplicación online que convierte claves sencillas y fáciles de recordar en claves más complejas.

Si te interesa un medidor de robusted de passwords en este blog tienes una recopilación.

Creative Commons License
Hermoso día by https://hermosodia.wordpress.com is licensed under a Creative Commons Reconocimiento-No comercial-Compartir bajo la misma licencia 2.5 España License.
Add to Technorati Favorites
Clicky Web Analytics Clicky

Flickr Photos

AljibeluzC1C1
Más fotos