artículos
 comentarios

Hackeando

Abril 23rd, 2008 por Alf

Ya está en marcha el Centro Estrada (Centro Nacional de Tratamiento de Denuncias Automáticas) que tramita de forma automática hasta 4 millones de multas al año.

A este centro, situado en la provincia de León, llegan las fotos realizadas por los radares de velocidad, donde son procesadas automáticamente mediante reconocimiento automático de matrículas. Una vez identificado el coche, me imagino que los datos irán a parar a algún tipo de base de datos.

No se si veis a dónde quiero ir a parar :)

17 comentarios »

17 respuestas a “Hackeando”

  1. 29 Abr 2008 9:20 am    Daniel Matey

    :-D que bueno.

  2. 30 Abr 2008 7:43 am    Sejanus

    Super :D

  3. 30 Abr 2008 8:28 am    Morten

    Tøhø….
    (Danish giggle)

  4. 30 Abr 2008 9:11 am    Petr

    Хахаха! (Russian laughter)
    Just wonderful!

  5. 30 Abr 2008 9:34 am    Jax

    haha

  6. 30 Abr 2008 10:25 am    Bruno

    Para los neofitos en SQL, nos la puedes explicar macho? ;-)

  7. 30 Abr 2008 10:33 am    WebsiteSecurityBook

    Ha ha, love it! Thanks for sharing.

  8. 30 Abr 2008 11:10 am    Santi

    Enhorabuena, Bruce Schneier lo ha sacado en su blog:

    http://www.schneier.com/blog/archives/2008/04/sql_injection_a_1.html

    (No creo que tenga muchos enlaces en su blog a un sitio que no sea en inglés…)

    Un saludo

  9. 30 Abr 2008 11:36 am    Alf

    Bruno, es un ataque de inyección de código. Básicamente consiste en añadir “cosas” al final de una entrada de usuario para que se interprete como comandos SQL al pasar a la base de datos.

    Por ejemplo, si tenemos una aplicación que coge la matrícula interpretada por el OCR y la mete en la base de datos, posiblemente el código sea algo así (en pseudocódigo)

    query = “INSERT INTO tablaMatriculas (strMatricula) VALUES (” & MatriculaDelOCR & “)”

    Si metes en la matrícula algo como

    7756BKR’);DROP tablaMatriculas;–

    La query que se lanza a la BD es:

    INSERT INTO tablaMatriculas (strMatricula) VALUES ( 7756BKR’);DROP tablaMatriculas;– )

    Que como se puede ver, inserta el registro, y luego se carga la tabla entera :)

    Te sorprendería saber cúantas aplicaciones tienen estos problemas. Es uno de los métodos más habituales de “hackear” una aplicación web.

    Lo del ejemplo ‘ OR 1=1;– es un caso típico para saltarse páginas que tienen usuario y password :)

    SELECT * FROM tablaUsers WHERE username=’xxxx’ AND password=’yyyy’ OR 1=1;– ‘

    Siempre te deja pasar :)

  10. 01 May 2008 1:24 am    ZaD MoFo

    Finalmente un buen uso de una impresora personal!

  11. 02 May 2008 11:41 am    Sql injection sul Gate di Milano? - Lastknight.com di Matteo Flora

    [...] Non so a voi, ma a me che abito a Milano questa immagine fa venire in mente tantissimi giochini interessanti…. :) L’ho rubata qui. [...]

  12. 06 May 2008 12:50 pm    License Plate SQL Injection « Leonardo Anceschi YASB

    [...] License Plate SQL Injection Maggio 6, 2008 at 11:50 am | In sicurezza | Tags: ANPR, security, SQL Injection Articolo molto divertente (anche se un po’ da nerd) quello pubblicato su http://www.areino.com/hackeando/ [...]

  13. 09 May 2008 2:35 am    sankar

    jajajajaja….

    Wow, es muy listo.

    Me gustaria ver la policia trata buscar el database para el registrado. Pero probablemente, los inginieros han lo cuentado para una problema asi.

  14. 15 May 2008 5:43 pm    Alex Williamson

    Very clever – something really obscure too and could easily be overlooked!

  15. 15 May 2008 10:45 pm    Luke Welling

    I did not now know little Bobby Tables was old enough to drive already.

  16. 24 May 2008 8:35 pm    Sysadminų blog’ai » Blog Archive » Pic of the day: sql injection

    [...] Via http://www.areino.com/hackeando/ [...]

  17. 17 Jul 2008 6:27 pm    SQL injection humour « D0R’s blog

    [...] Source: Alfredo Reino’s blog. [...]