[GTER] RES: Como saber informacoes sobre um IP

Rodolfo Andrade rodolfo at anasoft.com.br
Thu Jun 21 10:48:50 -03 2007


Caro Marco,

Vou discordar da sua mensagem. Supondo que você acesse uma página de um
produto na seguinte URL: www.umaloja.com/produto.php?id=20 e depois teste
SQL Injection passando: www.umaloja.com/produto.php?id='. Se o resultado
indicar vulnerabilidade na consulta SQL, o certo, IMHO, é reportar ao
administrador da UMALOJA.COM e não a outros órgãos.

Se fosse assim, entupiríamos os orgãos com probleminhas triviais, enquanto
os problemas mais graves (como DDoS) que tiram do ar, às vezes, redes
inteiras, ficariam "pra depois". Sinceramente, sou totalmente contra
reportar problemas simples que deveriam ser resolvidos por programadores
competentes. E mais, SQL Injection não é algo novo, existem centenas de
sites em dezenas de idiomas tratando disso e só vai gerar danos se o
programador for "ingênuo" (e, em alguns casos, se o atacante perder muito
tempo estudando a estrutura do banco de dados).

E olha que estamos apenas falando de UMA vulnerabilidade WEB. Imagina então
se fossemos reportar sites com servidores desatualizados, vulnerabilidades
em sessões, inclusão remota de arquivos, XSS, HTML Injection, etc etc etc.

Mais uma coisa: Você acha que os órgãos competentes vão atrás de alguém por
causa de um simples SQL Injection via Web?

Meus R$0,02.

Abraços,

Rodolfo Andrade
[applying to ZCE]
rodolfo at anasoft.com.br
www.anasoft.com.br


----- Original Message ----- 
Date: Wed, 27 Jun 2007 08:43:20 -0300
From: "Marco Aurelio Miranda" <macmiranda at gmail.com>
Subject: Re: [GTER] RES: Como saber informacoes sobre um IP
To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
<gter at eng.registro.br>
Message-ID:
<a957cd420706270443t2d8ea6ffgc4986fd1268106e0 at mail.gmail.com>
Content-Type: text/plain; charset=UTF-8; format=flowed

Acho que independente de ser um problema simples de resolver, devemos
reportar os ataques ?s entidades competentes por uma quest?o ?tica. ?
poss?vel que este sujeito, al?m de estar tentando invadir sistemas web por
a?, seja um grande spammer. Pode ser que voc? consiga resolver seu problema
facilmente mas quantos outros podem estar tendo dor de cabe?a por causa do
cara. Se voc? tem a chance de sacanear ele, por que n?o faz?-lo?

On 6/20/07, Rodolfo Andrade <rodolfo at anasoft.com.br> wrote:
>
> Prezado Paulo,
>
> Duvido muito que a Telef?nica forne?a os dados ? voc?. At? onde sei, os
> dados somente s?o fornecidos mediante mandato judicial.
>
> E mais, SQL injection ? algo muito simples de ser resolvido, n?o vale a
> pena
> perder tempo brigando com a Telef?nica. Corrija o problema e seja feliz.
> =)
>
> Na empresa que trabalho, ? direto cara acessando /admin /administrator
> /logs, tentando injection, etc.. ? obriga??o do programador fazer um
> sistema
> seguro e confi?vel. Se fosse algo mais grave, como citaram anteriormente
> (synflood), a? sim...
>
> Abra?os
>
> Atenciosamente,
>
> Rodolfo Andrade
> [applying to ZCE]
> rodolfo at anasoft.com.br
> www.anasoft.com.br
>




More information about the gter mailing list