Inyección de SQL en Oracle 11g

En Error-Based SQL Injection in Oracle 11g una entrada bastante técnicas sobre el tema de inyección SQl en el conocido gestor de bases de datos. Me pareció intersante por el detallado proceso de ir buscando fallos, indicios de que algo puede ir mal y, finalmente, la forma de atacar a la base de datos en ese caso concreto, saltándose la comprobación en la autentificación.

El fallo inesperado con el SQL

Revisando un montón de papeles encontré el otro día este artículito que ya
tiene un tiempo y que puede servir como introducción al tema si no hemos oido hablar de él nunca y como recordatorio, si lo hemos escuchado de vez en cuando: The Unexpected SQL Injection. When Escaping Is Not Enough.

NoSQL

Cuando uno tiene muchos (demasiados) datos, una base de datos tradicional puede no ser la solución adecuada. Tenía pendiente hablar del NoSQL, término acuñado para referirse a los almacenes de datos que no se basan en el modelo relacional pero no había visto más que un encuentor que se celebró el año pasado sobre el tema y la información asociada NOSQL debrief que es lo bastante diversa y ‘áspera’ como para no recomendarlo.

Ahora veo algunos artículos sobre el tema más divulgativos y me animo a enlazarlos: The NoSQL Ecosystem, que apunta a NoSQL Ecosystem, o No to SQL? Anti-database movement gains steam. También en nuestro idioma, en NoSQL: el movimiento en contra de las bases de datos, donde se hace un amplio resumen.

De todas formas, yo no puedo evitar recordar aquel otro NoSQL, con el que anduve jugando una temporada.

Inyección ciega de SQL

Puede haber quien piense que si su aplicación no muestra los mensajes de error ya está seguro frente a los ataques de inyección de SQL. Lo cierto es que hay toda una serie de metodologías para ‘adivinar’ los nombres de los campos relevantes. En Blind SQL Injection hay algunas explicaciones sobre cómo hacerlo sin complicarse mucho la vida.