Archivo

jueves, 4 de noviembre de 2010

Top ten de vulnerabilidades en Bases de Datos

     Aqui les dejo un listado de las vulnerabilidades mas comunes q fue enumerada por Alex Rothacker, manager de Appsec's Team SHATTER

1 Usuario/Password por defecto, en blanco y/o debil
Este punto no solo es exclusivo de bbdd, sino de muchas aplicaciones y/o servicios, donde confiadamente los administradores luego de instalarlas, dejan las contraseñas por defecto del tipo "12345", "admin", "guest" etc.

2 SQL Injections
Tiene su origen en la falta de control (filtro) sobre variables, dando lugar a un atacante inyectar sentencias sql y de esta forma modificar el compartamiento al cual fue diseñado.

3 Privilegios de Usuario y Grupos
Es primordial asignar privilegios a los usuarios utilizando grupos y/o roles, y administrarlos atraves de ellos.

4 Caracteristicas habilitadas innecesariamente
Similar al pto 1, donde luego de la instalacion se dejan habilitadas ciertos servicios corriendo y q no son utilizadas por la organizacion. Es importante desinstalar los paquetes q sean necesarios.

5 Administracion de configuracion rota
No es buena idea dejar las configuraciones por defecto, siempre es conveniente adaptar estas configuraciones a las necesidades de la organizacion.

6 Buffer Overflows
Se trata de inundar con peticiones ciertas entradas no controladas con el objetivo de desbordar alguna seccion de memoria, logrando asi sobrescribir porciones protegidas.

7 Escala de privilegios
La mayoria de los ataques comienzan desde cuentas con pocos privilegios
y a partir de alli se trata de conseguir la cuenta con privilegios mas alto (administrador)

8 Denegacion de Servicio (DoS)
Consiste en sobreutilizar algún recurso hasta tirar el servidor de BBDD, o sea desconectarla (inutilizarla) de forma tal q la misma deje de brindar servicio por algun tiempo.

9 BBDD desactualizadas (sin parches)
Nunca esta demas decir q es de vital importancia tener la BBDD actualizadas y con todos los parches de seguridad al día. La periodicidad de los mismos dependera de sus correspondientes vendors.

10 Encriptación de datos sencibles
Nunca se debe almacenar información sencible en texto plano (numeros de cuentas, contraseñas, etc.) Teniendo en cuenta q con una simple SQLi un atacante podria llevase consigo todos los nombres usuarios (y correspondientes contraseñas, obvio ;) de una BBDD y nisiquiera tendrá q molestarse en brutear o desencriptarlas.


Para mas información ...
http://www.darkreading.com/database_security/security/vulnerabilities/showArticle.jhtml?articleID=228000482
Publicar un comentario