Posts Tagged 'seguridad'

Ataques SQL Wildcard

En un post anterior comentaba el uso de ficheros comprimidos para la realización de ataques DoS. Otro tipo de ataque de denegación de servicio es el denominado “SQL Wildcard Attack“. Este ataque consiste en saturar la CPU del servidor donde se aloja el gestor de BBDD a través de consultas plagadas de caracteres comodín.

Una consulta simple como esta:

SELECT * FROM Article WHERE Content LIKE '%foo%'

…en una base de datos decente de entre 1 y 100000 registros, tardaría en ejecutarse menos de 1 segundo. Sin embargo, esta otra query:

SELECT TOP 10 * FROM Article WHERE Content LIKE '%_[^!_%/%a?F%_D)_(F%)_%([)({}%){()}£$&N%_)$*£()$*R"_)][%](%[x])%a][$*"£$-9]_%'

… tardaría en ejecutarse unos 6 segundos por cada 2600 registros.

Moraleja: Cuidado con lo que te meten (vía input :-))

Más literatura al respecto: DoS attacks using wildcards

Anuncios

Bolsa para bocadillo antirrobo

¿A quién no le han robado alguna vez el almuerzo? Con estas bolsas especiales no hubiera ocurrido 😉

Visto en: http://www.skforlee.com/independent_work/lunch_bag.html

Descargar ficheros “prohibidos” desde el curro

Algunas empresas tienen como política el “filtrar” los contenidos de Internet. En muchas ocasiones no permiten la descarga de software con determinadas extensiones (exe, rar, zip, etc). Si es tu caso y el proxy no te deja descargar lo que quieres hay una utilidad online llamada Download at work. Esta utilidad crea un enlace con la extensión que se le especifique a partir de la url del fichero a descargar.

42.zip – El zip de la muerte

42.zip es un fichero zip de 42.374 bytes, contiene 16 zips que a su vez contienen otros 16 zips y así hasta 6 veces. Los 16 últimos zips contienen un fichero de 4,3 Gb cada uno. Si descomprimimos el fichero 42.zip de 42.374 bytes obtendriamos 4.5 Pb de datos descomprimidos.

  • 16 x 4294967295 = 68.719.476.720 (68GB)
  • 16 x 68719476720 = 1.099.511.627.520 (1TB)
  • 16 x 1099511627520 = 17.592.186.040.320 (17TB)
  • 16 x 17592186040320 = 281.474.976.645.120 (281TB)
  • 16 x 281474976645120 = 4.503.599.626.321.920 (4,5PB)

Este tipo de ficheros se denominan Zips de la muerte o Zips bomba y suelen usarse como herramienta para ataques DoS.

Generador de claves robustas y fáciles de recordar

Tal y como andan las cosas hoy en día, es una buena práctica usar contraseñas minimamente robustas para acceder a cualquier sistema privado especialmente cuando lo que esconden suelen ser datos sensilbles. Este tipo de contraseñas suelen ser difíciles de recordar… han de tener un mínimo de caracteres y dichos caracteres han de ser lo más heterogéneos posibles (letras, numeros, signos de puntuación, mayúsculas, minúsculas).

El problema de este tipo de constraseñas es que suelen ser difíciles de recordar (a mi se me suele olvidar hasta el pin de la Visa). Si te pasa como a mi quizás te interese PasswordChart. PasswordChart es una aplicación online que convierte claves sencillas y fáciles de recordar en claves más complejas.

Si te interesa un medidor de robusted de passwords en este blog tienes una recopilación.


Add to Technorati Favorites
Clicky Web Analytics Clicky

Flickr Photos