SQL Injection (esp. Inyección SQL) se define como:

[...] una vulnerabilidad informática en el nivel de la validación de las entradas a la base de datos de una aplicación. El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o de script que esté incrustado dentro de otro. [...] - Wikipedia.

Pueden seguir leyendo en Wikipedia donde se explica detalladamente, incluso con ejemplos. Pero agrego mi aporte con estos ejemplos:

Una consulta vulnerable:

 
$query = "SELECT * FROM libros WHERE autor='$autor_nombre'";

mysql_query($query);

Usando mysql_escape_string para manejar como texto las comillas, y además sprintf para dar formato a la cadena.

 
$query = sprintf("SELECT * FROM libros WHERE autor='%s'",

mysql_real_escape_string($autor_nombre));

mysql_query($query);

Ahora si nuestra consulta trabaja con instrucciones como: LIKE, GRANT ó REVOKE. Esta es una forma más segura:

 
$query = sprintf("SELECT * FROM libros WHERE autor='%s'",

addcslashes(mysql_real_escape_string($autor_nombre),'%_'));

mysql_query($query);

addcslashes muestra una barra invertida antes de las caracteres definidos en el segundo parametro de esta función. 

Los spammers llevan a muchos desarrolladores a tomar medidas de seguridad para sus aplicaciones web por lo que un buen captcha es siempre útil (aunque no lo definitivo para acabar con el spam). Pero no vayamos al extremo, como podrá apreciar en estos captchas:

A las justas sé 2x1=oferta... 

Yo no entiendo eso! pero creo que un ciego si... 

Escribiría algo si no fuera por ese protector de pantalla... 

Esto de los símbolos lo dejo a los pequeños... 

Ver más captchas

En realidad no me había dado cuenta de esto, pero el buscador de Google mantiene un lucha por combatir el malware en los navegadores web. Ya que muchos sitios web abusan de los bugs en la seguridad de algunos navegadores web, Google esta tomando medidas para proteger a los usuarios. Aquí un ejemplo de ello. En el resultado de una búsqueda, en la parte inferior del título de un sitio web, si este contiene malware (software malicioso: programa o archivo), aparecerá la siguiente advertencia: "Este sitio puede dañar tu equipo".

Si pulsamos en el enlace de la advertencia , Google nos dará la razón de esta. Y si pulsamos en el enlace del sitio web nos mostrará esta grande advertencia en el navegador.

Es un método eficaz para advertir a la mayoría de usuarios de algunos sitios web "malvados". Por supuesto, en el caso de ese sitio web que tomamos por ejemplo, se puede acceder a el de todas formas, pero el usuario esta advertido. Si haces compras o transacciones bancarias por internet  ¿te atreverías a navegar por sitios con malware? ... yo creo que no.

Spy Monitor es un software espía que registra todos los mensajes de nuestras conversaciones en el chat. Una vez instalado, se ejecuta en modo invisible. Perfecto para supervisar empleados, niños, igualmente para investigar redes de criminales y depravados (que no faltan). Spy Monitor esta disponible para los siguiente clientes de mensajería: MSN, ICQ, Yahoo! Messenger y AIM.

Esta aplicación oculta tus directorios de forma sencilla. A diferencia de la opción de Windows (Explorador -> Herramientas -> Opciones de carpeta -> Ver -> No mostrar archivos ni carpetas ocultos), la cual no proporciona un ocultado real, Free Hide Folder realmente las oculta, las hace invisible.

La configuración es fácil. Después de instalar, al iniciar por primera vez, se te pedirá escribir una contraseña, esta te permitirá acceder al programa luego. Una vez dentro de la ventana del programa presionamos Add para agregar un directorio a ocultar y listo! Podemos verificar en el Explorador de Windows. El programa también da la opción de mostrar u ocultar, asignar una contraseña ó realizar una copia de seguridad al directorio seleccionado.

• Plataforma: Windows 9x/Me/NT/2000/XP/2003
• Tamaño: 740 KB
• Licencia: Freeware
• Enlace | Información general, Descarga

Seguramente lo hemos visto ya, se trata de malware que se disfrasa tras un correo electrónico invitandonos a descargar Internet Explorer 7 Beta 2. Según los expertos de momentos no ha producido grandes daños.

El correo incluye una imagén muy convincente, estilo Microsoft en azul. El virus se descarga cuando la víctima cliquea el enlace, mas no el del fichero adjunto (ya que aparentemente trae un archivo adjunto). Tiene como asunto "Internet Explorer 7 Downloads" y como emisor: admin@microsoft.com. El supuesto ejecutable se llama IE 7.exe, pero el nombre del virus es Virus.Win32.Grum.A.

El virus esta siendo analizado, pero de momento se cree que se difunde mediante mecanismo de autoenvio a los contactos del usuario afectado. Una vez instalado este virus empieza a descargar ficheros adicionales desde Internet, incluso puede descargar software capaz de registrar toda actividad del usuario, incluido el teclado.

Así que mucho cuidado! Sobre todo los que realizamos actividades importantes a través de internet: compras con tarjeta, cuentas de bancos, etc. Si no queremos que toda información de lo que hacemos lo tengan terceros tengamos mucho cuidado al revisar nuestro correo electrónico.

Clipperz es un sistema online para contraseñas el cual trabaja con una biblioteca Javascript que provee a los desarrolladores una extensa y efectiva serie de funciones criptográficas. Es una solución a todos esos sitios donde se requiere de contraseña para un acceso seguro: Amazon, Digg, Flickr, servicios Google, Yahoo, etc.

Por otra parte, la librería Clipperz contiene porciones de código de otras bibliotecas, como: MochiKit, YUI y Ext, los que permiten una códificación más rápida.

Para ahorrar tiempo de descarga y uso de memoria, el código Clipperz esta comprimido en un solo archivo usando el Dojo Compressor. Esta biblioteca incluye diversas formas de criptografías:

• Protocolo de autentificación SRP (Secure Remote Password)
• Funciones hash SHA2
• Cifrado simétrico AES
• Fortuna PRNG
• Big Integers (enteros largos para las contraseñas)

Mas información sobre este interesante sistema online lo podremos encontrar en su blog.

Es un gusano que se propaga via correo electrónico y controla la PC infectada via IRC.

Cuando se ejecuta este gusano, crea uno de los siguientes archivos:

  c:windowssystem32wmserv.exe
  c:windowssystem32explore.exe

El gusano se propaga por correo electrónico enviándose a todas las direcciones de email encontradas en diferentes archivos de la máquina infectada.

Los mensajes tendrán las siguientes características:

Asunto: Account Alert

Texto del mensaje:

  Dear Valued Member,
  According to our terms of services, you will have to
  confirm your e-mail by the following link or your account
  will be suspended within 24 hours for security reasons.
 
  [enlace]
 
  After following the instructions in the sheet, your
  account will not be interrupted and will continue as
  normal.
 
  Thanks for your attention to this request. We apologize
  for any inconvenience.
 
  Sincerely,
  [dominio] Abuse Department

El enlace descarga una copia del gusano desde Internet.

Para poder eliminarlo tiene que entrar a Modo Prueba de Fallos del sistema y pasarle un antivirus actualizado y entra al Registro del Sistema para eliminar algunas entradas creadas. Para mas detalle puede visitar este enlace http://www.enciclopediavirus.com/.

La nueva versión de la suite ofimática de software libre OpenOffice.org 2.0.3, corrige tres vulnerabilidades las cuales permitirían ataques a través de dicho programa. Se recomienda a los usuarios actualizar sus equipos con esta nueva versión.

Las vulnerabilidades son las siguientes y afectan a las versiones  1.1.x y 2.0.x: La primera, podría romper restricciones de seguridad a través de ciertos applets de Java y facilitar el acceso a los recursos del sistema a terceros. La segunda falla, es un agujero de que permite insertar código macro en documentos, el cual se ejecutaría al cargar algún archivo y sin avisar al usuario. El último fallo esta relacionado con ejecución errónea de documentos XML, lo que provocaría un desbordamiento de 'buffer'.

Todos estos 3 fallos mencionados se corrigen con la nueva versión de este paquete, por lo que debemos de actualizar nuestros equipo lo mas antes posibles si es que usamos esta suite ofimática y tenemos acceso permanente a internet.

El boletín de seguridad del mes de junio de Microsoft, incluye soluciones para 21 errores. Se trata de 12 parches, uno de ellos centrados especialmente para Internet Explorer, que corrijen 8 fallos de seguridad críticos.

De no corregirse estos errores podrian afectar a Windows, Internet Explorer, Word, Power Point o Exchange Server. Además, 19 de los fallos que corrigen estos parches son ejecuciones de código remoto que pueden permitir a un atacante el control del equipo.

Aparte del explorador, los parches también corrigen errores en Windows Media Player, Microsoft JScript, Microsoft Word y Microsoft Power Point.

Hay que considerar también que este boletín de seguridad es el mas amplio en lo que va del año. Con estos ya son 29 parches emitidos por Microsoft (17 anteriores que ya antes habiamos mencionados). Esperemos que esto no ocurra con Windows Vista, y que la espera de este sistema valga la pena, en lo referente a seguridad.