Friday, April 25, 2008

Inseguridad en Oracle



El super genio en seguridad de Bases de Datos David Litchfield ha encontrado una forma de manipular los tipos de datos comunes de Oracle, el cual no se habia pensado ser explotables, y los comandos de inyeccion arbitraria de SQL.
El nuevo método muestra que tu no puedes asumir que cualquier tipo de datos sea seguro (en ingles) de un ataque de ingreso.
Litchfield escribe, "En conclusión, aun todas esas funciones y procedimientos no toman en cuenta que los ingresos realizados por el usuario pueden ser explotados si SYSDATE es utilizado. La lección aquí es que siempre, siempre valide y prevenga este tipo de vulnerabilidad desde su código. La segunda lección es que no se debe considerar los tipos de datos DATE o NUMBER como seguros y no utilizables para inyeccion de vectores: como lo dice este documento[PDF] se ha probado, y lo son", concluye.