Comentarios en: Protección contra inyección SQL con URLScan 3.0 http://codelog.climens.net/2008/07/23/proteccion-contra-inyeccion-sql-con-urlscan-30/ Desarrollo, productividad, blogging, tecnología, vida en la trinchera... Tue, 12 Jan 2010 15:28:44 +0000 http://wordpress.org/?v=2.9.2 hourly 1 Por: climens http://codelog.climens.net/2008/07/23/proteccion-contra-inyeccion-sql-con-urlscan-30/comment-page-1/#comment-57 climens Thu, 12 Feb 2009 16:23:13 +0000 http://codelog.climens.net/?p=70#comment-57 @[z76] La mejor forma de saber si lo estás configurando bien es intentar replicar el ataque o poner algunos keywords prohibidos en la URL a ver si el UrlScan los bloquea o no. Ojo que solamente filtra si la extensión es .asp y .aspx a no ser que cambies la configuración. Un saludo. @[z76] La mejor forma de saber si lo estás configurando bien es intentar replicar el ataque o poner algunos keywords prohibidos en la URL a ver si el UrlScan los bloquea o no. Ojo que solamente filtra si la extensión es .asp y .aspx a no ser que cambies la configuración.
Un saludo.

]]> Por: [z76] http://codelog.climens.net/2008/07/23/proteccion-contra-inyeccion-sql-con-urlscan-30/comment-page-1/#comment-56 [z76] Thu, 12 Feb 2009 14:16:27 +0000 http://codelog.climens.net/?p=70#comment-56 Hola climens. Aqui una victima mas de tan bonito y sencillo invento. Mientras unos confiados, nos dedicamos a pasear por la playa tranquilos durante el fin de semanas, otros en sus casitas se dedican a buscar las cinco patas al gato jeje. Tengo una duda, me he instalado el urlsan como recomiendas.. pero no se si lo tendre bien configurado. Al UrlScan.ini le pego los tres trozos de codigo que recomiendan en Common UrlScan Scenarios, pero no se si esta correcto. He añadido las siguientes etiquetas al ini, pero no estoy seguro. Gracias. Un saludo. [Options] RuleList=Foo [Foo] AppliesTo=.htm DenyDataSection=Foo Strings ScanUrl=0 ScanAllRaw=0 ScanQueryString=0 ScanHeaders=Foo-Header: DenyUnescapedPercent=1 [Foo Strings] [SQL Injection] AppliesTo=.asp,.aspx DenyDataSection=SQL Injection Strings ScanUrl=0 ScanAllRaw=0 ScanQueryString=1 ScanHeaders= DenyUnescapedPercent=1 [SQL Injection Strings] -- %3b ; a semicolon /* @ ; also catches @@ char ; also catches nchar and varchar alter begin cast convert create cursor declare delete drop end exec ; also catches execute fetch insert kill open select sys ; also catches sysobjects and syscolumns table update ansii [SQL Injection Headers] AppliesTo=.asp,.aspx DenyDataSection=SQL Injection Headers Strings ScanUrl=0 ScanAllRaw=0 ScanQueryString=0 ScanHeaders=Cookie: [SQL Injection Headers Strings] -- @ ; also catches @@ alter cast convert create declare delete drop exec ; also catches execute fetch insert kill select Hola climens.

Aqui una victima mas de tan bonito y sencillo invento.
Mientras unos confiados, nos dedicamos a pasear por la playa tranquilos durante el fin de semanas, otros en sus casitas se dedican a buscar las cinco patas al gato jeje.
Tengo una duda, me he instalado el urlsan como recomiendas.. pero no se si lo tendre bien configurado.
Al UrlScan.ini le pego los tres trozos de codigo que recomiendan en Common UrlScan Scenarios, pero no se si esta correcto.
He añadido las siguientes etiquetas al ini, pero no estoy seguro.
Gracias. Un saludo.

[Options]
RuleList=Foo

[Foo]
AppliesTo=.htm
DenyDataSection=Foo Strings
ScanUrl=0
ScanAllRaw=0
ScanQueryString=0
ScanHeaders=Foo-Header:
DenyUnescapedPercent=1

[Foo Strings]
[SQL Injection]
AppliesTo=.asp,.aspx
DenyDataSection=SQL Injection Strings
ScanUrl=0
ScanAllRaw=0
ScanQueryString=1
ScanHeaders=
DenyUnescapedPercent=1

[SQL Injection Strings]

%3b ; a semicolon
/*
@ ; also catches @@
char ; also catches nchar and varchar
alter
begin
cast
convert
create
cursor
declare
delete
drop
end
exec ; also catches execute
fetch
insert
kill
open
select
sys ; also catches sysobjects and syscolumns
table
update
ansii

[SQL Injection Headers]
AppliesTo=.asp,.aspx
DenyDataSection=SQL Injection Headers Strings
ScanUrl=0
ScanAllRaw=0
ScanQueryString=0
ScanHeaders=Cookie:

[SQL Injection Headers Strings]

@ ; also catches @@
alter
cast
convert
create
declare
delete
drop
exec ; also catches execute
fetch
insert
kill
select

]]> Por: climens http://codelog.climens.net/2008/07/23/proteccion-contra-inyeccion-sql-con-urlscan-30/comment-page-1/#comment-55 climens Wed, 23 Jul 2008 22:18:14 +0000 http://codelog.climens.net/?p=70#comment-55 Mi fiel lector. He estado probando el source code analyzer y la verdad que no funciona mal, y teniendo en cuenta que para ASP clásico las herramientas son muy escasas, lo comentaré en algún post próximo. Mi fiel lector. He estado probando el source code analyzer y la verdad que no funciona mal, y teniendo en cuenta que para ASP clásico las herramientas son muy escasas, lo comentaré en algún post próximo.

]]> Por: Cunyatman http://codelog.climens.net/2008/07/23/proteccion-contra-inyeccion-sql-con-urlscan-30/comment-page-1/#comment-54 Cunyatman Wed, 23 Jul 2008 20:33:56 +0000 http://codelog.climens.net/?p=70#comment-54 Interesante artículo, como siempre. Saludos! Interesante artículo, como siempre.

Saludos!

]]>