En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Evitar SQL injection en ColdFusion.

Cuando se incorporan consultas a ColdFusion, sin etiquetas cfqueryparams, se debilita la seguridad del sistema haciéndolo vulnerable a ataques de SQL injection. Las etiquetas cfqueryparams previenen de ataques SQL injection porque sirven para:

  • Comprobar los tipos de datos que se incorporan a un parámetro.
  • Separar el código SQL de los parámetros introducidos.
  • Garantizar que los valores de un parámetro nunca se agreguen a una consulta SQL modificando la misma para realizar un ataque.

Con la herramienta qpScanner es posible explorar el código, en busca de consultas con variables que no estén dentro de una etiqueta cfqueryparam.

Entre las características de qpScanner destaca:

  • Encuentra todas las variables en consultas sin un cfqueryparam circundante.
  • Exhibe nombres de fichero, las líneas de código y el contenido de la pregunta para todos los riesgos potenciales.
  • Múltiples formatos de presentación de resultados (HTML, XML y WDDX).
  • Soporta: ColdFusion 8, ColdFusion MX7, BlueDragon 7 y Railo 3.

Más información y descarga de qpScanner:
http://qpscanner.riaforge.org/

Más información sobre cfqueryparams en ColdFusion:
http://www.moopoint.com/tutorials/queryparam_intro.html
Evitar SQL injection en ColdFusion. Evitar SQL injection en ColdFusion. Reviewed by Álvaro Paz on jueves, octubre 15, 2009 Rating: 5

2 comentarios:

Alvaro Paz dijo...

Hola Daniel
El principal consejo que te doy sobre Joomla es tenerlo actualizado. Y otra consideración muy importante no usar extensiones para Joomla de terceros si no es un sitio de confianza.
Un saludo

Alvaro Paz dijo...

Hola Daniel
Puede publicar cualquier artículo de este blog solo tienes que incluir una referencia en el poniendo de donde lo sacaste. Le echare un vistazo al artículo
Un saludo

Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.