Curso de Ajax en Colombia

curso de ajax en colombia

curso de ajax en colombia

Que es Ajax ?

Ajax, acrónimo de Asynchronous JavaScript And XML (JavaScript asíncrono y XML), es una técnica de desarrollo web para crear aplicaciones interactivas o RIA (Rich Internet Applications). Estas aplicaciones se ejecutan en el cliente, es decir, en el navegador de los usuarios mientras se mantiene la comunicación asíncrona con el servidor en segundo plano. De esta forma es posible realizar cambios sobre las páginas sin necesidad de recargarlas, lo que significa aumentar la interactividad, velocidad y usabilidad en las aplicaciones. (tomado de wikipedia).

Ahora en colombia podemos aprender a trabajar en ajax usando un tutor online y una opcion interesante  : a través de practicas guiadas, lo cual asegura que la teoria se practica y los resultados son mucho mejores.

curso de ajax en colombia

Si estás interesad@ en conocer mas acerca de este curso de Ajax puedes seleccionar la ciudad en la que vives y pedir mas información

 
curso de ajax en Leticia
curso de ajax en Medellin
curso de ajax en Arauca
curso de ajax en Barranquilla
curso de ajax en Cartagena
curso de ajax en Tunja
curso de ajax en Manizales
curso de ajax en Florencia
curso de ajax en Yopal
curso de ajax en Popayan
curso de ajax en Valledupar
curso de ajax en Monteria
curso de ajax en Bogota
curso de ajax en Quibdo
curso de ajax en Pto Inirida
curso de ajax en Riohacha
curso de ajax en San Jose del Guaviare
curso de ajax en Neiva
curso de ajax en Santa Marta
curso de ajax en Villavicencio
curso de ajax en Pasto
curso de ajax en Cucuta
curso de ajax en Mocoa
curso de ajax en Armenia
curso de ajax en Pereira
curso de ajax en San Andres
curso de ajax en Bucaramanga
curso de ajax en Sincelejo
curso de ajax en Ibague
curso de ajax en Cali
curso de ajax en Mitu
curso de ajax en Pto carreno

Cómo Navegar Seguro en Internet

La confianza y tranquilidad en la navegación por Internet se ha perdido con el paso del tiempo y el boom que han tenido las noticias de ataques informáticos durante los útlimos meses, los virus en las redes sociales y las falsas aplicaciones y Malware presente en la red.

Es muy necesario que la seguridad en la web sea un factor muy importante para las personas experimentadas y más que todo para los que no lo son tanto, ya que de igual forma todos estamos diría que a diario frente a un PC, tablet o SmartPhone mirando las últimas novedades, leyendo, trabajando o simplemente navegando en cientos de sitios diferentes. Anteriormente les comentaba acerca de una muy buena herramienta gratuita para defendernos de los enlaces maliciosos y Malware en Facebook, hoy les comparto una buena opción de herramienta web llamada TrafficLight potenciada por uno de los mejores antivirus que existen actualmente (Lista de Antivirus) BitDefender.

TrafficLight, es un pequeño Software o extensión que se instala en el navegador que usemos (IE, Firefox, Chrome o Safari) o para la web en general usando cualquier WebBrowser. Su funcionamiento se basa en mostrar si un sitio es o no seguro, avisándonos con anterioridad para alejarnos inmediatamente o incluso para nisiquiera llegar a entrar. No es para nada vistoso ni llamativo, solo se ve una pequeña pestaña en la parte superior del navegador que sirve para desplegar la información del sitio web actual, y que permite desde allí esconder este aviso fácilmente.

Así mismo, los resultados de los buscadores como Google, salen con un pequeño aviso al lado izquierdo con un color verde si es una web segura y con un color rojo indicando que no lo es.

La aplicación puede ser muy fácilmente desactivada, dando clic en el botón de encendido ubicado en la parte derecha (color azul claro). También se puede configurar, añadiendo o quitando opciones, y otras características que podrán probar.

Descargas

Sitio oficial | TrafficLight

 

 

Alinear una Imagen al Centro con CSS

Al no existir un método en CSS para centrar las imágenes de nuestros sitios web tan fácil como lo hacemos con los textos, o con las mismas imágenes pero con HTML, existe una opción verdaderamente sencilla que permite centrar una imagen y hacerla visible en cualquiera de los navegadores más recientes (probado en IE 9, Firefox 5 y Chrome 12) correctamente.

Hay que tener en cuenta el lugar donde se quieran centrar las imágenes, ya que si se hace en la plantilla general, se centrarán todas las imágenes del sitio y se dañará la estructura. Por lo general la clase de las imágenes en CSS es img, entonces pueden usar las demás clases para hacer que solo determinadas partes del sitio centren las imágenes.

A modo de ejemplo, voy a explicar como centrar las imágenes únicamente del cuerpo del Post. Para mi theme la clase que define el estilo del Post es #content .single por lo que para hacer el procedimiento utilizo este código y le agrego el img que es la que representa las imágenes en mi tema. Creo entonces una nueva línea en mi style.css que quedaría:

#content .single img {

}

Ahora para centrar las imágenes que contengan el anterior parámetro, basta con agregar dos líneas.

  • display: block;
  • margin: auto;
En general, las 2 anteriores líneas son las que se deben usar para centrar cualquier imagen. La primera hace que las imágenes se muestren en bloque generando un nuevo renglón entre el cuerpo del texto, y la segunda hace que el margen para todos los lados se automatice haciendo que quede igual arriba, abajo, a la izquierda y a la derecha. De esta forma la imagen queda centrada y es muy útil en mi caso por ejemplo, para centrar todas las imágenes de los Artículos automáticamente.
El código finalmente entonces debe quedar así:
#content .single img {
display: block;
margin: auto;
}

Espero que este sencillo tutorial les funcione a la perfección en sus Blogs o Sitios web. Cualquier duda será atendida a la menor brevedad.

Cómo Protegerse del Malware en Facebook

Hace tiempo que es sabido que Facebook no es una red social segura, y no solo por la falta de privacidad de las personas al dejar públicos sus datos personales, no controlar sus publicaciones y desconocer la importancia de la privacidad en este tipo de redes, sino también por las miles de aplicaciones falsas como el famoso botón de “no me gusta” que son aprovechadas por los delincuentes informáticos con el fin de infectar el computador de las personas y exponer datos sensibles que pueden luego ser usados en contra.

Para ayudar a evitar que cosas así sucedan, Symantec ha creado un “Antivirus” para Facebook llamado Norton Safe Web, que aparte de analizar nuestra red social de enlaces maliciosos, nos ayuda a detectar estos enlaces antes de que demos clic y nos salga caro luego.

Según leí en Enter.co, se han obtenido muy buenos resultados, detectando más de 250000 enlaces maliciosos cada año y aumentando esta cifra cada vez más, puesto que la red obviamente es gigantezca.

La aplicación es totalmente gratuita y no hay que descargar ni instalar nada, todo se hace desde la misma red social, mediante una aplicación que está en la FanPage de Norton Safe Web. Para instalar la aplicación enseguida del botón “Me gusta” está Ir a la aplicación, luego solo basta con dar los permisos de ejecución y esto es todo.

Ir a la aplicación

Recomiendo leer varios artículos que han sido publicados anteriormente que tratan sobre la seguridad y privacidad en Facebook | Enlace Artículos

Herramienta de Reparación para PC Windows

Las personas que usamos Windows como sistema operativo, sabemos que muchas veces hay que soportar el sistema lento, errores inesperados, esperas eternas para abrir navegadores, programas, documentos, imágenes, virus que atacan y dejan el sistema irreparable y una cantidad de situaciones que no son fáciles de solucionar para todos.

Para dejar el sistema lo más limpio posible y evitar en lo más posible estos desesperantes eventos, hay que seguir una serie de recomendaciones como mantener todo actualizado, tener un buen antivirus (Aquí varias opciones), saber navegar por internet, no descargar información basura, entre muchas otras. También existe la posibilidad de usar herramientas de software que nos ayuden con este propósito, y es por esto que hoy quiero recomendarles un software gratuito llamado D7.

La herramienta sirve para reparar varias fallas de Windows como lo son problemas en la red, en actualizaciones de flash, problemas de internet, y problemas de Windows en general, permitiendo aplicar una amplia serie de acciones como eliminación de datos temporales, limpieza de registros entre otras cosas.

También permite eliminar Malware de nuestro equipo, pero de forma manual. Cabe destacar que el uso de esta herramienta no está calificado para todos los usuarios. Hay que tener cierto conocimiento técnico de lo que se está haciendo para no caer en errores que luego pueden costar. Es ideal para informáticos, técnicos o personas apasionadas por estos temas.

El software basta con descargarlo y no necesita instalación pues es un archivo ejecutable, que luego de ser accionado muestra una pantalla inicial de acuerdo, luego muestra la configuración inicial, y por último el software como tal.

Descargar D7

Crear una cuenta en Facebook

Facebook es la red social más grande actualmente en internet, y por ende la que más usuarios tiene, sobrepasando a otras redes muy famosas como Twitter, LinkedIn, entre otras. En este sencillo manual aprenderán como crear un perfil y registrarse en Facebook para comenzar a compartir sus aficiones, gustos y vida diaria con tus amigos y conocidos en esta gran red.

Registrarse es bastante fácil y no toma más de 3 minutos. Basta con tener más de 13 Años (Regla principal de registro), una cuenta de correo electrónico en cualquier sitio de correo (Hotmail, Gmail, Yahoo, etc….) y mucho tiempo libre!

Lo primero que se debe hacer es entrar a la página principal de Facebook siguiendo el enlace de abajo:

Al entrar, saldrá el sitio web que contiene la información que debe ser ingresada para el registro de la nueva cuenta:
Luego de llenar cada uno de los datos con tu información real, basta con dar clic en Regístrate y esto es todo. El ingreso a la red social siempre seguirá siendo usando tu correo electrónico y la contraseña que diste en la información anterior. Al ingresar podrás seguir los pasos fácilmente que te da la misma red social para llenar tu perfil, actualizar información, agregar amigos, subir fotos y seguir a otras personas o grupos sociales.
Recomiendo leer otras entradas relacionadas con la red social Facebook en nuestro sitio para una mayor información:

Aplicaciones para iPhone

Gracias a GIZMODO, les comparto algunas de las mejores aplicaciones que se consideran esenciales para todas aquellas personas que poseen un iPhone como su dispositivo SmarthPhone. Dentro de las aplicaciones se encuentran muchas temáticas como redes sociales, productividad, juegos, entretenimiento, música y otros.

Algunas de las aplicaciones son muy comunes y conocidas, pero hay otras que vale la pena analizar y probar. Para ver la descripción e información de cada aplicación da clic sobre cada imagen.

Redes Sociales

Da clic en una imagen para más información

The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps

Entretenimiento

Da clic en una imagen para más información

The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps   The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps

Juegos

Da clic en una imagen para más información

The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps

Productividad

Da clic en una imagen para más información

The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps

Estilo de Vida

Da clic en una imagen para más información

The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps The Best iPhone Apps

La lista oficial está en idioma inglés, estas aplicaciones están enlazadas a su versión oficial en la App Store al idioma Español para que todos puedan verlas e informarse.

Conoce la lista oficial | GIZMODO The Best iPhone Apps

Microsoft Virtual Academy – Estudia gratis con Microsoft

Microsoft Virtual Academy (MVA), es una plataforma de estudio creada por Microsoft que le permite a los profesionales o personas interesadas en aprender sobre diferentes temáticas de informática y tecnología como Cloud Computing, Virtualización, SharePoint, SQL Server, Windows 7 y muchos otros, poco a poco volverse expertos en el tema y alcanzar reconocimientos dentro de la comunidad.

la MVA podría compararse como una Universidad virtual, donde cada uno aprende a su propio ritmo, presenta las pruebas cuando mejor lo considere y estudia los temas que le gusta y en la cantidad deseada. Bronce, Silver, Gold y Platinum son los rangos que se van alcanzando a medida que los cursos se van completando.

Puedes editar tu perfil, tu información y conocer a otros miembros de la Comunidad mediante los Tops de Estudiantes. También puedes seguir a MVA en las redes sociales e incluso contactarte con ellos para la resolución de dudas. El uso de este servicio es totalmente Gratuito, basta con registrarse usando tu cuenta de Windows Live.

Para una mejor guía de como comenzar a usar este gran servicio, dejo el enlace de la guía oficial donde se explica detalladamente de que se trata el servicio y como comenzar a usarlo adecuadamente.

Recomiendo entonces para todos los que se encuentren interesados, registrarse y comenzar a estudiar, ganar puntos y volverse expertos en los temas que más los apasionen.

Registrarse en Microsoft Virtual Academy

Sitio Oficial | MVA

Revista de Tecnología para Empresarios – Actualización Gerencial

Para los que no lo saben, Microsoft publica desde hace un par de años una revista Online [PDF] dedicada exclusivamente a informar a aquellas personas emprendedoras que tienen sus propias empresas, negocios u organizaciones, guiándolos para que la tecnología sea un factor siempre a tener en cuenta, y todo lo que tiene que ver con este tema en su empresa esté a la orden del día.

Para los administradores, jefes, directores y en general todas las personas involucradas en el mundo empresarial actual, esta revista es una excelente lectura que les permite estar a la vanguardia y conocer a fondo el provecho que pueden sacar de las herramientas más conocidas de Microsoft y en general del mundo informático e Internet.

En su edición más reciente (Junio a Agosto de 2011) se habla sobre las 5 cosas que se deben considerar en la nube.

En ediciones anteriores se pueden encontrar muchos otros temas que aún no pasan de moda y que sirven igualmente para estar siempre informado de como ha cambiado este diverso mundo.

Enlaces:

Cómo enviar un Mensaje a todos los Fans de una página en Facebook

Este sencillo tutorial, explica cómo enviar un mensaje o actualización a todos o solo a algunos de todos los fans que posee tu página o FanPage en Facebook. Es muy útil para promocionar algún producto, evento, artículo o la página en si. Recomiendo no usar este método muy seguido ya que no es muy bueno llenar la bandeja de entrada a las personas muy frecuentemente; esto cansa demasiado a los usuarios.

Lo único que hay que hacer es entrar a tu Facebook y dirigirte a la página de la que eres dueño, y en la parte superior derecha dar clic en el botón Editar la página:

Luego, en la parte izquierda de las opciones salen varios items como se muestra en la siguiente imagen. Se da clic en Recursos y luego en Enviar una actualización:

Al dar clic allí, saldrá una nueva ventana donde ya se podrá escribir el mensaje, o actualización para que todos los fans de la página de facebook puedan verlo:

Como se ve en la imagen, hay una casilla que dice Elegir el grupo de destinatarios de esta actualización, marcándola se podrá elegir un grupo específico de usuarios filtrándolos por ejemplo por países. Esto es todo lo que hay que hacer, espero sea muy funcional para todos, si tienen dudas o comentarios lo pueden hacer más abajo.

Aprende también como bloquear a un amigo o contacto, como eliminar tu cuenta y como hacer más seguro tu Facebook.

Registro de Windows – Editar o Modificar

Para los administradores de una red de usuarios de una empresa o negocio, muchas veces se hace necesario la modificación de ciertos parámetros para que no todos los usuarios de la red tengan los mismos permisos, accesos, control, etc. Por ejemplo en algunas corporaciones se hace requisito de los usuarios no cambiar el fondo de escritorio, o no poder ejecutar ciertas aplicaciones en sus computadores, por cuestiones legales, de eficiencia, rendimiento, entre muchas otras. (Ver los ejemplos de como modificar el registro de Windows más abajo).

Windows almacena la información referente a la configuración en una base de datos que se llama registro, el cual contiene los perfiles de cada usuario del equipo e información acerca del hardware del equipo, los programas instalados y las configuraciones de las propiedades. Los editores del Registro permiten inspeccionar y modificar el Registro.

Nota: La modificación incorrecta del Registro puede dañar gravemente el sistema. Antes de realizar cambios en el Registro, debe realizar una copia de seguridad de los datos importantes del equipo.

Para comenzar a editar el registro se debe abrir el programa de Ejecutar de Windows con la combinación de las teclas Windows+r y escribiendo cualquiera de estos dos comandos:

regedit

regedt32

El Registro está organizado en forma de árbol. Las carpetas representan claves del Registro y se muestran en el área de exploración en el lado izquierdo de la ventana Editor del Registro. En el área de temas de la derecha, se muestran las entradas de una clave. Al hacer doble clic en una entrada, se abre un cuadro de diálogo de edición.

Claves del Editor del Registro

El área de exploración del Editor del Registro presenta carpetas, cada una de las cuales representa una clave predefinida en el equipo local. Cuando se tiene acceso al Registro desde un equipo remoto, solamente aparecen dos de las claves predefinidas:

HKEY_USERS y HKEY_LOCAL_MACHINE

En cualquier equipo Windows normal se pueden ver las claves predefinidas normalmente:

  • HKEY_CURRENT_USER: contiene la raíz de la información de configuración del usuario que ha iniciado la sesión. Guarda carpetas de usuario, los colores de pantalla y la configuración del Panel de control.
  • HKEY_USERS: Contiene la raíz de todos los perfiles de usuario del equipo. HKEY_CURRENT_USER es una sub clave de HKEY_USERS.
  • HKEY_LOCAL_MACHINE: Contiene información de configuración específica del equipo (para cualquier usuario).
  • HKEY_CLASSES_ROOT: Subclave de HKEY_LOCAL_MACHINE\Software. Aquí se almacena la información que asegura que se abre el programa correcto al abrir un archivo con el Explorador de Windows.
  • HKEY_CURRENT_CONFIG: información acerca del perfil de hardware que utiliza el equipo local al iniciar el sistema.

Tipos de Datos:

  • REG_BINARY: Datos binarios sin procesar. Se almacena en forma de datos binarios y se presenta en formato hexadecimal.
  • REG_DWORD: Datos representados por 4 bytes. Muchos parámetros de controladores de dispositivo y de servicios son de este tipo, y se presentan en formato binario, hexadecimal o decimal.
  • REG_EXPAND_SZ: Cadena de datos de longitud variable. Este tipo de datos incluye variables que se resuelven cuando un programa o un servicio utiliza los datos.
  • REG_MULTI_SZ: Una cadena múltiple. Los valores que contienen listas o valores múltiples legibles suelen ser de este tipo. Las entradas están separadas mediante espacios, comas u otras marcas.
  • REG_SZ: Cadena de texto de longitud fija.
  • REG_FULL_RESOURCE_DESCRIPTOR: Serie de tablas anidadas, diseñadas para almacenar una lista de recursos para un componente de hardware o un controlador.

Ejemplos de Modificación

Para que no se pueda cambiar la configuración del Proxy en Internet Explorer:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel “Proxy”=dword:00000001

Se debe ingresar hasta la clave Panel de Control (sino existe la rama Internet Explorer\Control Panel, basta con crear las claves) y se debe crear el registro DWORD con nombre Proxy con valor 1 en hexadecimal.

Si se desea modificar el registro para que se pueda cambiar la configuración del proxy debe cambiar el valor de registro Proxy a 0.

_________________

Para que no se pueda cambiar la página de inicio del Internet Explorer:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel “Homepage”=dword:00000001

Se debe ingresar hasta la clave Panel de Control (sino existe la rama Internet Explorer\Control Panel, cree las claves) y debe crear el registro DWORD con nombre Homepage con valor 1 en hexadecimal.

Si se desea modificar el registro para que se pueda cambiar la configuración del proxy debe cambiar el valor de registro Proxy a 0.

_________________

Para que no se pueda cargar el panel de control

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer “NoControlPanel”=dword:00000001

_________________

No aparezca Ejecutar

En la ruta anterior crear el registro “NoRun”=dword:00000001

_________________

No se realice autorun

En la ruta anterior “NoDriveTypeAutoRun”=dword:00000091

_________________

No se ejecute el regedit

En la ruta anterior “NoRegistrytoolsregedit”=dword:00000001

_________________

No se pueda crear carpetas

En la ruta anterior “NoSetFolders”=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

“NoSetFolders”=dword:00000001

_________________

Para que no se pueda cambiar el fondo del escritorio

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]

“NoChangingWallpaper”=dword:00000001

“NoHTMLWallpaper”=dword:00000001

Se puede ubicar en cualquier parte de la rama y exportar el registro a un archivo (.reg), se puede editar el archivo y después ejecutarlo.

Espero esta guía sea de mucha ayuda para todos. Si existen dudas o comentarios, se atenderán a la menor brevedad.

 

¿Necesita mi empresa una Auditoría de Hacking Ético?

Nuestros sistemas pueden ser vulnerables y, quizás, no somos conscientes de lo que un ataque tanto interno como externo nos puede suponer, y ¿qué mejor comprobación de que nuestros sistemas son seguros o no, que la de realizar un “ataque ficticio” o lo que actualmente se llama como hacking ético?

El objetivo de esta auditoría se centra en evaluar todos sus sistemas de seguridad, intentando encontrar algún agujero para acceder a la información, cómo si de un hacker se tratase. Para realizar una buena auditoría de Hacking Ético, y siguiendo la metodología internacionalmente reconocida OSSTMM, se deberían evaluar y comprobar los siguientes aspectos:

  • Information Gathering: Mediante la fase de Information Gathering se pretende obtener toda la información de libre acceso disponible sobre la empresa o entidad a estudiar.
  • Estudio y análisis de la red: La fase de estudio de la red se efectúa desde un punto de conexión a la red a estudiar y se considera intrusiva, obteniéndose La información que se desea obtener es: Listado de equipos activos y sus servicios, mapa de red, etc.
  • Detección de vulnerabilidades: El objetivo es listar todas las posibles vulnerabilidades para todos los equipos y servicios detectados.
  • Obtención de acceso: En esta fase se pretende la obtención de contraseñas, elevación de privilegios, y acceso a datos, o ubicaciones restringidas.

El informe de la auditoría contrastaría las deficiencias detectadas y el plan de acción para mitigar los riesgos, es decir,  tendremos la información necesaria para saber donde tenemos “agujeros” y qué necesitamos para “taparlos”. Así podremos conseguir que ningún Hacker nos robe datos de carácter personal o cualquier tipo de información de la empresa.

Por tanto creemos que es fundamental realizar este tipo de auditorías que nos aportan datos reales de dónde necesitamos y tenemos que reforzar en nuestra seguridad para no vernos atacados.

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

Elisa Sánchez

www.audea.com

Proteger aplicaciones Ruby on Rails de ataques SQL INJECTION

En el siguiente artículo se va a exponer los mecanismos de protección de seguridad de las aplicaciones web Ruby on Rails frente a los ataques de inyección SQL. La seguridad de las aplicaciones web depende del conocimiento y experiencia de los programadores, y es el resultado de la seguridad aplicada en cada una de las capas de la aplicación.

Las últimas estadísticas y estudios siguen indicando que aproximadamente el 75% de los ataques realizados tienen como víctimas a las propias aplicaciones webs, y esos mismos estudios indican que casi el 100% de los sitios auditados contenían algún tipo de vulnerabilidad en la capa de aplicación. Uno de los más famosos y habituales ataques a la capa de aplicación se denomina SQL Injection, tal y como indica el TOP 10 de OWASP (The Open Web Application Security Project). Dicho ataque consiste en modificar los parámetros de entrada de un formulario para obtener, al formar la sentencia SQL, un resultado no esperado por la aplicación.

En el siguiente ejemplo se muestra código fuente vulnerable:

 Project.find(:all, :conditions => “name = ‘#{params[:name]}'”)

 Si un atacante introduce en el parámetro ‘ OR 1=1’ la sentencia SQL resultante será:

 SELECT * FROM projects WHERE name = ” OR 1 –‘

Por lo que la sentencia devolverá todos los registros de la tabla Project, ya que la condición es siempre verdadera para todos los registros.

Otro ejemplo de código vulnerable permitiría a un atacante autenticarse en la aplicación sin tener conocimiento previo de ninguna credencial:

User.find(:first, “login = ‘#{params[:name]}’ AND password =

‘#{params[:password]}'”)

Si el atacante introduce ‘ OR ‘1’=’1 en el nombre, y ‘ OR ‘2’>’1 en la contraseña, la sentencia SQL resultante será:

SELECT * FROM users WHERE login = ” OR ‘1’=’1′ AND password = ” OR ‘2’>’1′

LIMIT 1

Por lo que se encontrará el primer registro de la tabla users y se permitirá el acceso con dicho usuario.

Ruby on Rails posee un filtro para caracteres SQL especiales. Utilizando Model.find(id) o Model.find_by_something(something) automáticamente aplicará la contramedida frente a ataques de inyección SQL, aunque en fragmentos de condiciones SQL  (:conditions => “…”), los métodos connection.execute() o Model.find_by_sql (),tiene que ser aplicado de forma manual.

En lugar de pasar una cadena a la opción de condiciones, se puede pasar una matriz para limpiar las cadenas de la siguiente forma:

Model.find (: en primer lugar,: Condiciones => [“? Login = Y = contraseña”, entered_user_name, entered_password]). La primera parte de la matriz es un fragmento de SQL con signos de interrogación.

 También se puede pasar un hash para el mismo resultado:

Model.find (: first,: Condiciones => {: login => entered_user_name,: password =>entered_password}).

En otros casos se puede emplear sanitize_sql(condition, table_name = self.table_name).

Áudea Seguridad de la Información      

Antonio Martínez

Departamento Seguridad TICs

www.audea.com