tag:blogger.com,1999:blog-74908175706521803122024-03-06T03:00:22.062-03:00Security HackSitio personal de Ariel M. Liguori De GottigAriel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.comBlogger2125tag:blogger.com,1999:blog-7490817570652180312.post-52975614192020154502009-04-06T15:21:00.000-03:002009-04-06T15:21:38.751-03:00SQL Injection Countermeasures: Green SQL<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiP7QWxDEucjaQfJ6HTrspm5pc_m5cFsGlZpoPYc8kDj3gfSTKVwWR0nyCl7lovY2s-nn5IBsZn_-Am5o-MAPYJ2_2lSzOISsfZa8BsfEhKePJ1uhroXjYxNAFZQPSt9OE3Mo0lQIadclM/s1600-h/greensql.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiP7QWxDEucjaQfJ6HTrspm5pc_m5cFsGlZpoPYc8kDj3gfSTKVwWR0nyCl7lovY2s-nn5IBsZn_-Am5o-MAPYJ2_2lSzOISsfZa8BsfEhKePJ1uhroXjYxNAFZQPSt9OE3Mo0lQIadclM/s200/greensql.gif" style="cursor: move;" /></a> <br />
De la mano de la gente de <a href="http://www.securitybydefault.com/">sbd</a> me he ahorrado unas lineas programadas a la hora de buscar <i>countermeasures</i> para las SQLi. Esta vez nos presentan <a href="http://www.greensql.net/">GreenSQL</a>, un web app. firewall destinado a quitarnos la tarea de protegernos de esas molestas SQLi. El modo de funcionamiento es muy simple y se basa en el siguiente esquema:<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiAFX-Q0mQ8H4jm1Xwhg6nKkOt6FTNwbWssLcG9LcQOfR9umFjmdkYHL5BmC2ncf1qiMvRpA_3xvDuq6PCJw6Lt9uSYJgAp5Y0rqTdeH03G9YcvElG2w0Oysryi3zutv3gjE7TcEOt7xgY/s1600-h/b.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiAFX-Q0mQ8H4jm1Xwhg6nKkOt6FTNwbWssLcG9LcQOfR9umFjmdkYHL5BmC2ncf1qiMvRpA_3xvDuq6PCJw6Lt9uSYJgAp5Y0rqTdeH03G9YcvElG2w0Oysryi3zutv3gjE7TcEOt7xgY/s320/b.jpg" /></a> </div><div class="separator" style="clear: both; text-align: center;"></div><div class="separator" style="clear: both; text-align: left;"> El resto de la información pueden buscarla en el <a href="http://www.securitybydefault.com/2009/04/protegete-contra-el-sql-injection.html">post de la gente de sbd</a> y en la página del <a href="http://www.greensql.net/">proyecto GreenSQL</a>.</div><div class="separator" style="clear: both; text-align: left;">Saludos,</div>Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-44696602674382810222009-01-26T10:20:00.007-02:002009-01-26T11:04:51.836-02:00RequestPolicy: Protegiéndonos de CSRF, Clickjacking y más.<a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://www.requestpolicy.com/images/flag-large.png"><img style="margin: 0px auto 10px; display: block; text-align: center; cursor: pointer; width: 128px; height: 128px;" src="http://www.requestpolicy.com/images/flag-large.png" alt="" border="0" /></a><br /><br />Hace unos días estuvimos hablando del creciente <a href="http://sechack.blogspot.com/2009/01/clickjacking-cuidado-dende-clickeas.html">problema del Clickjacking</a> y surgió entonces una pregunta básica, ante un problema siempre buscamos la solución, pero ante estos temas el camino parecía sinuoso y oscuro, ¿qué hemos conseguido entonces? <span style="font-weight: bold;">RequestPolicy</span>.<br /><br /><span style="font-style: italic;">¿Qué es RequestPolicy?</span><br />Un addon para Firefox que nos permite tener el control sobre todas las peticiones de cross-site que pasen sobre nuestro cadáver/browser.<br /><br /><span style="font-style: italic;">¿Qué logramos con ésto?</span><br />Pues tener control sobre una infinidad de peticiones que no necesariamente serán las que nosotros hacemos ;).<br /><br /><span style="font-style:italic;">¿Qué quiere decir ésto?</span><br />Que no caeremos más en la trama de enviar peticiones o consultas falsas (<a href="http://en.wikipedia.org/wiki/Cross-site_request_forgery">CSRF</a>), ni tampoco dejaremos que esos pequeñísimos iframes se carguen en la página que estamos visitando (<a href="http://www.kriptopolis.org/clickjacking">clickjacking</a>).<br /><br />Actualmente RequestPolicy nos brinda su versión 0.5.2 y es desarrollada por Justin Samuel. Aunque hay muchas mejoras en camino ya es una obra digna de tener en nuestra PC ayudándonos en la interminable tarea de la seguridad.<br /><br />Pueden descargarse RequestPolicy desde la página de <a href="https://addons.mozilla.org/en-US/firefox/addon/9727/">addons firefox</a>.<br />Pueden encontrar un breve tutorial en la <a href="http://www.requestpolicy.com/">página oficial del proyecto</a>.<br /><br />Algo más, se ve que lo que dijimos en áquel post no estaba tan errado, por lo cual seguimos insistiendo que el <a href="https://addons.mozilla.org/es-ES/firefox/addon/722">addon NoScript</a> <img src="https://addons.mozilla.org/en-US/firefox/images/addon_icon/722/1232179624" />sigue siendo más que valioso, úsenlo!Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0