quinta-feira, maio 15, 2008

ASPROX

Tenho o prazer de apresentar o Asprox.
Além de ser uma óptima injecção SQL, que mais uma vez apenas ataca os produtos da M$, que bem ministrada obrigará os "burros" dos programadores a terem cuidado com o código que copiam/colam criam sob pena de, dentro de pouco tempo, ficarmos perante mais umas centenas de milhares de ataques.


Já agora, e apesar do Danmec já andar por aí há uns anos, é assinalável o número de anti-vírus que detectam esta praga...

PS: Não dá para acreditar. Mais uma vez o SQL Server!?


6 comentários:

Anónimo disse...

Os developers competentes devem estar a morrer de medo aqui da aspirina.

Victor

Anónimo disse...

Há tanta informação que só mesmo por desleixo ou preguiça insiste em não perceber:

Leia bem este artigo para perceber que nada do que aconteceu é novidade, se reparar é de Outubro de 2006...

Só continua vulneravel quem quer e quem não tem noção nenhuma do que anda a fazer.

http://weblogs.asp.net/scottgu/archive/2006/09/30/Tip_2F00_Trick_3A00_-Guard-Against-SQL-Injection-Attacks.aspx

Victor

jocaferro disse...

Caro Victor:
Já que tanto insiste, queira sff. ler até onde foi este problema.
Com um pouco de cuidado encontra com toda a certeza alguns, "casos de sucesso", onde a M$ cuida pessoalmente.

Não lhe vou retirar o prazer de andar a vasculhar pelos seus dedos, arte em que é perito.

Pena é que demore tantas horas ou dias a responder...
Não consigo perceber como uma máquina de propaganda dessas não consegue ter resposta pronta.
Ah!, desculpe esqueci-me completamente que usa o espécie de SO e o IE.
Lamento imenso.

Do amigo jocaferro.

Anónimo disse...

Ok, então vamos lá.

O meu amigo está cada vez mais enigmático, está a tornar-se dificil percebê-lo...

Por mais voltas que dê, e por muito longe que este problema tenha ido, e à falta de outros factos, a natureza do mesmo não muda por muito quer você queira, continua a ser um ataque de SQL Injection, por isso perfeitamente evitável.

Infelizmente até é simples descobrir sites potencialmente vulneráveis.

http://portal.spidynamics.com/blogs/msutton/archive/2006/09/26/How-Prevalent-Are-SQL-Injection-Vulnerabilities_3F00_.aspx

Grave, grave é você ter toda a informação de que necessita para resolver o problema, e ficar à espera que alguém faça o seu trabalho, coitadinho do developer.

É quase o mesmo que dizer que lá porque você pode dar um tiro nos pés por não saber usar ponteiros em C, temos de corrigir o C...

Para si penso que só lá vamos com desenhos:

http://imgs.xkcd.com/comics/exploits_of_a_mom.png

Deve haver um qq SQL Injection for dummies.

Mas se estou errado, faça favor, corrija-me e deixe de dizer generalidades, estou a desafiá-lo para que o faça.

Victor

jocaferro disse...

"Por mais voltas que dê, e por muito longe que este problema tenha ido, e à falta de outros factos, a natureza do mesmo não muda por muito quer você queira, continua a ser um ataque de SQL Injection, por isso perfeitamente evitável."

E!?

"Infelizmente até é simples descobrir sites potencialmente vulneráveis.

http://portal.spidynamics.com/blogs/msutton/archive/2006/09/26/How-Prevalent-Are-SQL-Injection-Vulnerabilities_3F00_.aspx "

?

"Grave, grave é você ter toda a informação de que necessita para resolver o problema, e ficar à espera que alguém faça o seu trabalho, coitadinho do developer.

É quase o mesmo que dizer que lá porque você pode dar um tiro nos pés por não saber usar ponteiros em C, temos de corrigir o C..."

?

"Grave, grave é você ter toda a informação de que necessita para resolver o problema, e ficar à espera que alguém faça o seu trabalho, coitadinho do developer.

É quase o mesmo que dizer que lá porque você pode dar um tiro nos pés por não saber usar ponteiros em C, temos de corrigir o C...

Para si penso que só lá vamos com desenhos:

http://imgs.xkcd.com/comics/exploits_of_a_mom.png"

tss, tss

"Deve haver um qq SQL Injection for dummies."

Não me diga.


"Mas se estou errado, faça favor, corrija-me e deixe de dizer generalidades, estou a desafiá-lo para que o faça."

Desculpe, errado ou certo em quê!?
Neste monte de caracteres sem qualquer nexo que escreveu!?
Ontem bem avisei mas o caro Victor não quis saber de nada. Foram precisas 24 horas para vir aqui escrever isto!?
Vá lá. Um bocadinho de esforço, ok?

Do amigalhaço jocaferro.

Anónimo disse...

"Desculpe, errado ou certo em quê!?"

Joca mas não percebeu nada? O que se passa consigo? Percebeu as analogias? Já sabe o que é um SQL Injection? Já sabe que neste tipo de ataque não se explora vulnerabilidades do motor de base de dados? Pelo menos primeiro tem de lá conseguir chegar, e é através da confiança que o developer deposita no que o utilizador lhe vai dar, e que este cegamente entrega ao motor, para o motor é simples o pedido é legitimo... contudo é efectivamente muito simples resolver este problema aplicacional, por isso estes ataques (concordo que é chato) mas não exploram vulnerabilidades nos componentes da infra-estrutura (Windows, IIS, ou SQL Server), apenas este tipo de desleixo do lado das aplicações.

Vou perguntar outra vez, não concorda?

"Neste monte de caracteres sem qualquer nexo que escreveu!?"

Eu apenas escrevi o que lhe disse acima várias vezes, por outras palavras, existe escrito por muitos outros, e continuo sem perceber o seu ar de incredualidade, que tem mantido nesta discussão.

"Ontem bem avisei mas o caro Victor não quis saber de nada. Foram precisas 24 horas para vir aqui escrever isto!?"

E cá estou eu passadas 24 horas a reafirmar o que disse, e à espera que diga que não concorda e porquê, também gosto de aprender...

"Vá lá. Um bocadinho de esforço, ok?"

A minha insistência, é o reconhecimento de que vai ter mesmo de me explicar se quiser que eu perceba...

DO seu grande amigo Victor

PS: Gostei do seu esforço em não responder a nada ;o) vejamos se mantém a mesma postura 24 horas depois e com o meu pedido expresso de que não o faça