martes, 17 de abril de 2018

Los Sysadmin no tienen culpa de todos los ataques

Cada vez que audito una empresa siempre pregunto a los administradores de sistemas que qué es lo que han hecho y quién se lo ha mandado. Posteriormente, hablo con el/la responsable y me doy cuenta que los administradores de sistemas muchas veces saben que no tienen que hacer algo pero que el/la jefe/a les ha obligado hacer, y aquí es donde está el problema.



Muchas veces, los administradores de sistemas de cada empresa me han dicho "Sé que esto no es lo que tenía que hacer, pero me han exigido que lo hiciese". Y esto la verdad es que me suena.

Recientemente, me han pedido que en un wordpress, para realizar búsquedas de información meta un cuadro de búsqueda que envie consultas sql para mostrar la información. Yo estaba en plan "Why so stupid?".

Era una web de información donde podías encontrar artículos. Normalmente suben 4 artículos al año por persona, y no había ni 8 personas que subiesen cosas, por lo que no es eficiente meter la capa de Base de Datos por encima del Wordpress. Si hubiese mucha información, vale, puedes buscar por el id del artículo y te libras de resultados repetidos.

Tened en cuenta que meter la base de datos ahí cuando el widget de Búsqueda de Wordpress ya lo hace con sus propios contenidos. Wordpress es un gestor de contenidos, por lo que su cuadro de búsqueda ya te busca en su propio CMS y si saliesen resultados repetidos, bueno, en este caso, como mucho pueden salir 2 datos repetidos que a unas malas, te puede interesar que la gente vea resultados repetidos por el tema de que un investigador participe en varios proyectos.

Eso si buscas por investigador, si buscas por título puede que te salgan repetidos, pero bueno, así el usuario pasa rato en tu web leyendo artículos.

Pero ya el problema no es ese, el problema es que, si metes la capa de la base de datos cuando no es necesario, ya estás dejando entreabierta la puerta a tus sistemas, ya que puedes estar posibilitando un SQL Injection sin necesidad.

Es por esto que no tenemos que meter tanta caña a los administradores de sistemas, ellos hacen lo que se les manda, a los que tenemos que regañar es a quien manda hacer esas chapuzas. Critiquemos a quien no piensa, esos son el principal problema.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...