Historias para no dormir

Si señores, el SQL Injection y otro tipo de inyecciones es según Owasp el segundo tipo de vulnerabilidad mas común en las aplicaciones web. ¿Es de preocupar? Pues si, es bastante preocupante el tema, recientemente Chema publicó en su blog que teniamos que cuidar y mimar el software como si fuera nuestro hijo, llevarlo a las vacunas, bañarlo, etc. Y no le falta razón, hasta Spectra está preocupada con este tipo de vulnerabilidades y por eso ha hecho un pequeño advisory.

El tema es preocupante ya que hay miles de páginas legítimas con este tipo de inyecciones, y además si nos crean aplicaciones para automatizarlas pues genial, porque cualquiera que no sepa de que va la cosa y sea un script kiddie empezará a dar por saco a mucha gente.

La programación segura es un tema que ya nos inquieta desde hace tiempo, el problema normalmente no reside en php, sql, asp o asp.net, el problema reside en como se programa, en si se están validando los campos correctamente, en si las sentencias SQL están bien construidas, etc. Hay distintas aplicaciones como scrawlr, sql inject me, sql ninja, sqlbf que hacen unas pequeñas auditorias de si nuestra página es vulnerable o no, de todas maneras estas aplicaciones no son 100% fiables, lo mejor es programar bien y comprobar después a mano a ver si tenemos inyecciones, ya sabeis, eso del prueba, error, prueba, error, prueba, error, hasta que es prueba y solución!!!

Un saludo