Error de seguridad en btfiis.com

Hace ya unas semanas atras recuerdo haber conversado con uno de los desarrolladores de btfiis.com explicandole que las herramientas en Software Libre son mas seguras que las que son de Software Privativo, ademas de el importante hecho de conservar la soberania tecnologia y valorar la libertad del usuario, todo esto debido a que puede colaborar mas gente con la mejora del Software, ademas que siendo esta una herramienta usada en la Universidad deberia de permitir la colaboracion de los alumnos y su mejora.

Bueno sin mas ni mas, el error es (a modo de ejemplo con el usuario 19981079I ):

Usuario: 19981079I’ or ‘1’=‘1

Password: Lo que se antoje xD

Estoy remitiendo este post al desarrollador para que pueda corregir el error, ojala lo corrija antes que alguien entre .

Artículos al azar:

Esta entrada fue escrita el Domingo, marzo 14th, 2010, 11:44 am y archivada en artículo. Puedes seguir las respuestas en esta entrada a través de RSS 2.0. Puede dejar una respuesta, o hacer trackback desde su propio sitio.

#1 por Mejor_ni_les_digo - marzo 14th, 2010 a las 12:16

Que verguenza que paso esto con una facultad de chistemas.

Omar, tienen que ponerte a cargo de estos trabajos para que no vuelva a suceder.

Like or Dislike: 1 0

Citar

#2 por kazt0r - marzo 16th, 2010 a las 11:31

El SW Libre no es inmune a este tipo de problemas.

En el caso puntual, es una vulnerabilidad de tipo ‘SQL Injection’ en la validacion de datos de entrada en la DB que lo tienen MySQL (Open Source), PostgreSQL (BSD), Oracle, ms-sql, Informix, etc, etc.

El problema no es de tecnologías (lease SW), sino de los desarrolladores. Para este caso se puede solucionar con un simple script de validacion de datos de entrada que debieron haberlo hacerlo.

Like or Dislike: 2 0

#3 por ovruni - marzo 19th, 2010 a las 22:27

Lo que se quise decir era que al ser el Software Libre mas personas colaboran con el mejorar el código, de esta forma se subsanan los bug encontrados en el software.

Actualmente existe el mismo error en http://btfiis.com/admin , pero los datos serian:

usuario: btfiis’ or ‘1’=‘1
password: lo que les de la gana

Espero que en este momento haya sido subsanado el error, ya que antes se comunico al desarrollador.

#4 por laurenceHR - abril 4th, 2010 a las 13:48

esa inyección es la más conocida y la mas monse…

pero 100pre hay alguien al q c le olvida esa prOteccion …

Like or Dislike: 0 0

#5 por marco - abril 18th, 2010 a las 01:16

sigan trabajando el uso de los software open source, ojala se incorporen en los sistemas en la facultad.

#6 por RubensaiD - enero 10th, 2011 a las 03:58

jaja ya me imagino como abra encontrado el error… , lo tendre presente en mis proyectos tb

Blog FIIS UNI