Inyecciones SQL en Access
Aunque parezca mentira hay multitud de webs desarrolladas aún hoy en día sobre bases de datos Access. Supongo que entre las razones estará el coste, aunque esto es difícil de entender cuando se trata de webs comerciales que tienen que dar acceso a varios usuarios y que además contienen información personal. Y quiero suponer que se trata normalmente del coste por no pensar que se deba a cierto desconocimiento o incompetencia, que en este caso sería lo mismo, que es lo primero que me viene a la mente si además veo que la aplicación es vulnerable a los ataques más simples existentes.
Cada vez que veo una ventana de autenticación en una web tengo que hacer esfuerzos por no comprobar al menos si están protegidos contra los ataques más básicos, pero claro, la carne es débil y en algunas ocasiones no me resisto y lo pruebo y al final resulta que en muchas ocasiones puedes entrar hasta la cocina.
Bueno, para aquellos temerarios que utilicen Access en sus aplicaciones web, les recomiendo que echen un vistazo a esta lista de ataques SQL Injection para MS Access, para que al menos sepan como protegerlas. Quizás algún desarrollador se sorprenda de cómo es de fácil entrar en su aplicación con un simple ' or 1=1%00
y cómo es posible obtener toda la estructura de tablas y campos con un poco de paciencia o un sencillo programa que automatice el envío de diferentes cadenas de SQL Injection, o incluso el contenido total de la base de datos utilizando Blind SQL Injection.
El link que dejaste ya no funciona ¿podrías publicar la lista?
Gracias
Hola Luis, ya está actualizado el enlace, gracias por el aviso
No Funciona el link