domingo, junio 12, 2005

64 bits e inyección de SQL

Finalmente me decidí a aprovechar el poder de mi notebook la cual compre ya hace algunos meses con un procesador AMD64; en el tiempo en que la compre no existía buen soporte tanto para Windows ni Linux en 64 bits, principalmente por la falta de los drivers necesarios para la notebook.

Con la liberación de Windows XP 64 y la liberación de los drivers para mi tarjeta inalámbrica en Linux, finalmente mi pc corre a 64 bits !!!

En el caso de Linux si existía el soporte ya desde hace bastante tiempo, pero mi tarjeta inalámbrica de red Broadcom no funcionaba en Linux, y aunque aun no existen drivers nativos para Linux, con el soporte para 64 bits del paquete Ndiswrapper y los drivers de Windows, finalmente me puedo conectar con Linux a mi red.

Por el lado de Windows, el soporte es muy reciente – hace apenas unas semanas que se libero el Windows XP64, hay una versión de evaluación en sitio de Microsoft por 180 días - el único problema que encontré es que los drivers de la tarjeta de vídeo ATI Radeon – aun en beta – no se podían instalar, fallaban con un error muy raro, y obviamente no encontré soporte por parte de ATI, así que buscando en Internet me encontré con los drivers “modificados” que alguien hizo, probé con ellos y ya puedo disfrutar de mi monitor wide-screen en Windows XP64.

En lo referente a las aplicaciones disponibles Linux le lleva una buena ventaja a Windows, ya que una gran cantidad de estas han sido modificadas/compiladas para funcionar en 64 bits, mientras que en Windows las aplicaciones son prácticamente inexistentes.

Realmente el comentar si veo alguna diferencia de rendimiento entre un SO de 32 y 64 en mi pc, seria un tanto subjetivo, ya que no ejecuto ninguna aplicación que me permita probarlo de momento; pero en base a experiencias previas – migración de aplicaciones de Unix 32 a Unix 64 -, puedo comentar que en aplicaciones que usan el CPU de forma intensiva el rendimiento puede incrementarse hasta en un 400%.

Cambiando de tema hoy tuve que conectarme a una aplicación web del Tecnologico de Tijuana para realizar una actividad, pero se me olvido que no tengo aun mi clave de acceso para mi usuario, estaba a punto de cerrar el navegador cuando se me ocurrió hacer un muy simple intento de inyectarle SQL, y funciono !!!!, pude entrar a mi cuenta, probé con la cuenta de otros usuarios y de la misma forma pude entrar !!!.

El “ataque” que realice es de lo mas sencillo, me parece un tanto increíble que el Tec haya hecho disponible esta aplicación en Internet con una vulnerabilidad tan grande; mañana lo voy a reportar para ver si lo arreglan. Lo mas triste del caso es que seguramente la realizo un alumno de Ing. en Sistemas Computacionales ya de los últimos semestres, por cierto note que la hicieron en VB.NET; pero el tremendo error hubiese existido en Java, PHP o algún otro lenguaje/tecnología, ya que el problema que presenta de inyección de SQL es un problema de mala programación y no del lenguaje.

2 comentarios:

gabo dijo...

Espero no te metas en problemas por ello, pero hey, deben comprender.

Suerte con eso.

Mario Alberto Chavez dijo...

Gabriel;
No hay ningun problema al respecto, de hecho lo reporte y como que no le dieron mucha importancia...
El unico problema que tengo al respecto, es que la aplicacion seguramente fue un proyecto de algun alumno, el cual algun maestro reviso y califico.