En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Evitar SQL injection en ColdFusion.

Cuando se incorporan consultas a ColdFusion, sin etiquetas cfqueryparams, se debilita la seguridad del sistema haciéndolo vulnerable a ataques de SQL injection. Las etiquetas cfqueryparams previenen de ataques SQL injection porque sirven para:

  • Comprobar los tipos de datos que se incorporan a un parámetro.
  • Separar el código SQL de los parámetros introducidos.
  • Garantizar que los valores de un parámetro nunca se agreguen a una consulta SQL modificando la misma para realizar un ataque.

Con la herramienta qpScanner es posible explorar el código, en busca de consultas con variables que no estén dentro de una etiqueta cfqueryparam.

Entre las características de qpScanner destaca:

  • Encuentra todas las variables en consultas sin un cfqueryparam circundante.
  • Exhibe nombres de fichero, las líneas de código y el contenido de la pregunta para todos los riesgos potenciales.
  • Múltiples formatos de presentación de resultados (HTML, XML y WDDX).
  • Soporta: ColdFusion 8, ColdFusion MX7, BlueDragon 7 y Railo 3.

Más información y descarga de qpScanner:
http://qpscanner.riaforge.org/

Más información sobre cfqueryparams en ColdFusion:
http://www.moopoint.com/tutorials/queryparam_intro.html
Evitar SQL injection en ColdFusion. Evitar SQL injection en ColdFusion. Reviewed by Álvaro Paz on jueves, octubre 15, 2009 Rating: 5
Publicar un comentario
Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.