sábado, 10 de mayo de 2008

Crea tus paginas web de forma fácil

Si eres principiante en la creación de paginas web, o no sabes como crear un carrito de compras como Virtue Mart, o vender libros y accesorios como Amazon, e inclusive hacer una red social como Facebook, Myspace o Hi5; o tal vez una simple pagina estática sin tocar los tags html, ni el codigo php.

La solución que estabas buscando es un CMS (Content Management System) o Sistema Gestor de Contenidos, esta tecnología consiste en agregar o quitar componentes que tu desees para tus páginas web. Es decir, tu administras y das soporte a tus páginas; además agregas contenidos tipo blog. Los componentes están almacenados en una base de datos, se puede agregar o quitar componentes por medio de la interfaz grafica modificandose estos en la base de datos.
El CMS mas usado es JOOMLA ya que es open source, es decir, si tienes mayores conocimientos puedes modificar los componentes. JOOMLA viene con una serie de plugins básicos, sin embargo si quieres hacer algo mas elaborado tienes bastantes plugins gratuitos e interesantes para descargar desde plugins de Amazon, Google Maps, Virtue Mart, Real Estate, hasta de Social Network, etc.

Para poner en funcionamiento a JOOMLA lo que tienes que hacer primero es instalar tu Base de Datos MySql, PHP5 ya que este CMS esta en Php y finalmente tu servidor web Apache para correr tu aplicación web. Te puedes decargar Joomla dedes su pagina http://www.joomla.org/, te recomiendo la version 1.0.15 ya que puedes importar los plugins sin problemas de compatibilidad. Si deseas utilizar la version 1.5.3 es más amigable aún pero no todos los plugins han sacado versiones compatibles con esta, ya que estos fueron hechos por usuarios de la comunidad open source o empresas que quieren colaborar con Joomla. Y la actualización de esos plugins no depende de Joomla en si, sino de los mismos usuarios que las crearon.



viernes, 9 de mayo de 2008

Bienvenidos

Este blog tiene como principal función proporcionar información sobre tecnología y los aspectos relacionados a ella.

Se veran temas de desarrollo de aplicaciones web, aplicaciones empresariales, bugs de sistemas, gestión empresarial, algo de redes y tecnología en general. Dada la tendencia en el uso de las tecnologías en nuestra vida diaria es una necesidad conocer el uso y funcionamiento de las mismas.

Espero que este espacio sea un sitio de entretenimiento, de solucion de problemas sobre tecnologia e investigacion. Solo quiero mencionarles que estamos en la era del conocimiento, y quien la posee, dicen, que tiene poder. Si esto es verdad quiero que ese poder sea para mejor el lugar donde vivimos por eso creo que es clave vivir la filosofia del Hacker: "Resolver preguntas mediante la investigación y transmitiendo el conocimiento aprendido".

Ataques Sql Injection a Base de Datos

Una Base de Datos se encuentra confirmada por registros las operaciones que se puedan hacer en ella, llámese modificación, borrado o inserción de registros se realiza mediante código SQL (Structure Query Language). Entonces el Sql inyectado es la técnica de modificación de las sentencias sql lanzadas por un programa gestor de base de datos. Esta técnica te permite el acceso no autorizado a la base de datos y también te permite el control del sistema operativo.

Estos accesos no son fáciles de detectar para los administradores de red ya que las consultas a la base de datos viajan a través de la red en forma encriptada. Cada gestor de base de datos tiene su propio lenguaje Sql aunque todos son similares. Los ejemplos que pondré serán basados en SQL Server de Microsoft.

Cuando se accede a un portal el query o consulta es la siguiente:

Select username, password from users where username= ‘fulano’ and password = ‘1234’

Si los registros recogidos por el dataset (tabla de almacenamiento temporal de la consulta) son mayores a cero accedemos al aplicativo o portal web.

Pero esta consulta puede ser alterada y mostrarnos el tabla users sin conocer el usuario y contraseña valida. Debemos tener en cuenta que las comillas las introduce el programador para campos de tipo cadena. También el símbolo “--“ no se ejecutará.

Select username, password from users where username= ‘(sentencia del programador)

‘ or 1=1 -- (código en la primera caja de texto) y nos dará acceso al aplicativo, si nos damos cuenta la parte de la consulta “ and password=…” no se ejecuta por el símbolo “--“. O sino probar con ‘ or ‘1’ = ‘1 . Podemos obtener también sea cual sea la contraseña. También se puede poner cualquier cosa en el username y poner el comodin en el password.

Entonces si quieres probar esta técnica tendrías que buscar un portal o aplicativo form cuyo gestor de base de datos no este actualizado con el parche del bug sql injection para que así esta técnica sea exitosa. Para que el aprendisaje sea completo les dejo este videito.