SQL injection ¿que es y como evitarlo?

La inyección de SQL (o en inglés SQL injection) es una técnica de inyección de código que se aprovecha de una vulnerabilidad de seguridad en una aplicación o en una base de datos.

La vulnerabilidad está presente cuando en la parte del código SQL de una aplicación se produce el filtrado incorrecto de las variables. De este modo la inyección de SQL se produce cuando se inserta un código SQL (malicioso) dentro del código SQL  de la aplicación con el fin de alterar la correcta ejecución de la consulta. Esto provoca que mediante la ejecución de este código malicioso se pueda obtener, modificar o eliminar cualquier información de la base de datos de la aplicación (incluidos nombres de usuario, contraseñas, etc).

Este sería un ejemplo básico de una aplicación con una vulnerabilidad:


Evitar caracteres peligrosos:

Una forma de evitar inyecciones es evitar caracteres peligrosos ( barra invertida, punto y coma, apóstrofes). En el lenguaje de programación PHP es habitual evitar esto utilizando la función mysql_real_escape_string antes de enviar la consulta a SQL.

$Uname = mysql_real_escape_string($Uname);
$Pword = mysql_real_escape_string($Pword);
$query = “SELECT * FROM Users where UserName=’$Uname’ and Password=’$Pword’”;
mysql_query($query);


Consultas parametrizadas:

Una consulta parametrizada utiliza marcadores de posición de entrada y los valores de los parámetros se suministran en tiempo de ejecución.

$params = array($Uname, $Pword);
$sql = ‘INSERT INTO Users (UserName, Password) VALUES (?, ?)’;
$query = sqlsrv_query($connection, $sql, $params);

Existe una extensa documentación en Internet para protegerse contra las inyecciones de SQL, en este breve repaso hemos querido ayudar a entender un poco mejor qué es y cómo evitarlo.

Evalice presenta nuevos servicios y sitio web

Ayer presentamos el nuevo sitio web de Evalice y sus servicios, entre ellas están estas novedades que queremos darte a conocer.

 

Nuevos servicios y sitio web

Completamos nuestra gama de servicios de hosting compartido y registro de dominios, con nuevas soluciones de reseller hosting, servidores virtuales y servidores dedicados.

Todos los servicios incluyen sin coste adicional el panel de control WHM / cPanel y se encuentran completamente administrados, de modo que Evalice se encargará de todos los aspectos en la gestión del servidor, monitorización, seguridad y actualizaciones.

Mejoras en los servicios

Nuevo sistema de pago automatizado para tarjetas de crédito, todavía está en fase de pruebas y muy pronto lo disfrutarán todos los clientes.

En los últimos 10 meses el 80% de consultas técnicas han sido resueltas en un primer contacto y con un tiempo de respuesta en horario laboral inferior a 10 minutos. De cara a los próximos meses de 2011, estamos trabajando en mejorar la velocidad de respuesta en horario nocturno tanto para consultas urgentes como generales.

Sección de entrevistas y opiniones

En la nueva web que hemos lanzado, disponemos de una sección de entrevistas en la que queremos dar a conocer tu sitio web o proyecto, así como conocer tu opinión sobre nosotros y los servicios que te ofrecemos. Nos gustaría que participes, si lo deseas puedes escribirnos desde el área de contacto.

Twitter y Facebook

Hemos tardado, pero ya estamos presentes en estas dos redes sociales para compartir un poco mejor lo que hacemos. Te dejamos los enlaces si quieres seguirnos o apoyarnos.

http://twitter.com/#!/evalice_com

http://www.facebook.com/pages/Evalice-Web-Hosting-Profesional/

 

Si tienes alguna duda o necesitas más información, puedes contactar con nosotros respondiendo a este email o también desde Twitter.

Nuevo intento de fraude en la renovación de dominios

Desde hace varios años, se han detectado empresas fraudulentas que envían a través de correo postal una carta en la que nos informan que nuestro dominio va a expirar y debe ser renovado. Estas cartas son un engaño especialmente peligroso y queremos explicar en que consiste para evitar caer en él.

En los últimos días hemos vuelto a recibir cartas en la que una empresa que se hace llamar “Domain Renewal Group” nos invita a renovar nuestro dominio, en esta carta incluye un listado con los precios que le costará renovar su dominio durante 1, 2 o 5 años y un campo en el que introducir los datos de su tarjeta de crédito.

Este tipo de correos son fraudulentos y debemos ignorarlos, las renovaciones de dominios siempre se realizarán a través de la empresa en la que ha sido registrado. En Evalice su dominio será renovado a través del sitio web www.evalice.com y sólo le enviaremos avisos mediante email desde nuestro dominio.

La finalidad de este tipo de fraude, consiste en forzar el cambio de empresa registradora sin la autorización del cliente y secuestrar su dominio para que deba mantenerlo registrado a precios abusivos con la nueva empresa.

Esta práctica no es nueva, en NIC.ES están advirtiendo de prácticas similares desde hace meses. Por lo tanto si recibe un correo bajo el nombre de esta empresa o cualquier otra, debe ignorarlo.

El modo que siguen esas empresas para obtener su dirección postal, es a través del WHOIS público que poseen los dominios. En él figuran los datos que usted nos ha indicado durante el proceso de registro, recuerde que puede modificarlos si lo desea en el área de clientes de Evalice, dentro de la pestaña “Mis dominios”.

Si necesita más información, no dude en contactar con nosotros.

Promoción dominios .eu

Para facilitar a todos nuestros clientes la presencia en Europa queremos ponerlo un poco más fácil con una nueva promoción para los dominios .EU, hasta el 31 de Mayo de 2011 todos los nuevos registros bienales (2 años) de esta extensión tendrán un coste de sólo 9,95€ + IVA.

Debes utilizar el siguiente cupón de descuento “EUPROMO” que te proporcionará 15€ de descuento durante el proceso de registro de tus dominios.

Las condiciones de esta promoción son las siguientes:

- Se aplica a registros de nuevos dominios .EU durante un periodo de 2 años.

- Las renovaciones o transferencias tendrán el coste habitual sin descuento.

- Es posible utilizarlo sin límite de uso tanto para clientes que ya posean servicios activos en Evalice o que contraten por primera vez nuestros servicios.

 

Para registrar ahora tus dominios .EU accede al siguiente enlace de nuestro área de clientes, aquí. Para mayor información puedes contactar con nosotros.

La importancia de mantener actualizados los scripts

En este mes de Abril, queremos retomar de nuevo la seguridad en Internet. Puede ser un tema muy recurrente, pero todavía hay algunas asignaturas pendientes de las que nos gustaría hablar.

La pasada semana se produjo un ataque (más información) de gran tamaño en Internet que ha infectado millones de sitios web a través del método “SQL injection“, que consiste en añadir varias líneas de código en los sitios web con scripts vulnerables con la finalidad de crear una redirección hacia otro dominio en el que descargar un falso antivirus.

De acuerdo a las estadísticas enviadas por Google se calcula en unos 3,8 millones de dominios afectados, que lo convierte en el ataque de mayor tamaño realizado en Internet y que ya ha sido bautizado como “LizaMoon” (uno de los dominios en donde descargar ese falso antivirus). Estas aplicaciones maliciosas pueden estar creadas con múltiples fines, como recopilar datos personales del PC infectado, servir como ordenador zombie para realizar ataques ddos y en definitiva comprometer el correcto funcionamiento del equipo.

Existen múltiples métodos para protegerse de estas amenazas de Internet, los proveedores de hosting trabajamos con herramientas como Mod Security, que permite establecer unas reglas de seguridad para que estos ataques no puedan aprovechar la mayoría de los errores de diseño en el código fuente (bugs) que pueda tener un script. Pero aunque el servidor se encuentre actualizado y se utilicen variedad de aplicaciones destinadas a proteger los sitios web (y en algunas ocasiones crear dolores de cabeza a los programadores que no cumplen los estándares), los usuarios que administran un sitio web también deben tomar ciertas precauciones.

- La gran mayoría de dominios trabajan con scripts prefabricados (Joomla, WordPress, Prestashop, Moodle, etc), que deben ser actualizados de manera periódica debido a que su cada vez mayor código HTML puede esconder pequeños agujeros de seguridad que permitan al atacante aprovechar esa vulnerabilidad y atacar el sitio web. En Evalice para simplificar la actualización de los scripts sin conocimientos técnicos, disponemos de herramientas como Softaculous que permiten notificar al cliente de cuando existe una nueva versión y actualizarlo.

- La segunda precaución y que en ocasiones todavía no se le presta la suficiente importancia, es mantener actualizado el sistema operativo y protegido (con antivirus y antispyware) el equipo desde el que se administra el sitio web o la cuenta de hosting. En nuestro trabajo diario siempre observamos ciertos usuarios que no toman las suficientes precauciones y trabajan durante meses con software espía en su PC que recopila todos los movimientos, incluidas las contraseñas de acceso al sitio web, correo o ftp.

- Por último, no olvidar utilizar contraseñas seguras y actualizadas. El año pasado publicamos una entrada en el blog sobre el tipo de contraseñas y su formato más recomendable, pero no sólo es importante que sean seguras, no debemos olvidar actualizarlas periódicamente especialmente las de servicios críticos en donde se almacenen datos importantes.

Trabajando con virtualización

Hace algo más de 1 mes os hablábamos sobre cómo hemos mejorado el rendimiento de MySQL en los servicios de hosting compartido, en esta ocasión queremos comenzar a explicar que ofrecerá la nueva linea de servicios de hosting que ya disfrutan dentro de una beta privada bastantes de nuestros clientes.

En los últimos dos años hemos desarrollado  una plataforma de hosting compartido en la que poder hospedar esos sitios web con altos requisitos de cpu / ram, ¿pero qué ocurre cuando esa página web sigue creciendo y esta solución ya no es suficiente? Lo más fácil para muchos proveedores sería ofrecerle al cliente un servidor virtual o dedicado de bajo coste, pero aquí suelen ocurrir dos problemas:

- Se ofrece una solución de hosting sin ningún tipo de gestión de software o en ciertos casos una pobre configuración inicial de seguridad. La realidad es que un cliente que posee un sitio web popular, debe también contar con una solución de hosting que le ofrezca plenas garantías y que se ocupe al 100% de la gestión de software, actualizaciones proactivas de software, seguridad y la optimización del software al sitio web que va a hospedar.

- Pocos recursos garantizados, es muy común encontrar ofertas de cloud o vps hosting a bajo coste, pero que en la práctica están hospedados en máquinas saturadas lo que supone una importante pérdida de visitas al sitio web y que los recursos que le prometían nunca los pueda llegar a utilizar.

Ante esta situación, en Evalice hemos trabajado para ofrecer servidores virtuales con una de las conocidas tecnologías de virtualización para servidores, pero siendo utilizada de manera transparente y añadiendo un importante valor añadido, como es el 100% de gestión, seguridad y optimización del software del servidor virtual de cada cliente.

En este servicio nos hemos puesto los siguientes requisitos:

- Trabajar con recursos garantizados reales y monitorización del uso de cpu, ram e i/o del disco duro teniendo siempre al menos el 50% de esa máquina libre.

- Buscar la máxima escalabilidad para que no sea necesaria una gran inversión inicial para el cliente y trabajando con máquinas que permitan escalar hasta 12 cores y 24GB de Memoria RAM.

- Realizar extenso setup de seguridad y una estricta política de actualizaciones proactivas para el software. También se implementarán soluciones para actualizar partes críticas del sistema (como el kernel) de manera automática sin retrasos.

- Optimizar el software a medida de cada sitio web, en Evalice estudiamos cada caso individualmente y no nos limitaremos a dar soluciones prefabricadas o sugerir una ampliación de servicio siempre que el software pueda ser optimizado.

- Seguridad y disponibilidad en los datos, todas las máquinas estarán equipadas con RAID10 de 4 o 6 discos duros y un sistema de copias de seguridad remotas en RAID5.

Aunque todavía no podemos dar una fecha exacta para su lanzamiento oficial, puedes conocer más detalles o entrar en la beta privada contactando con nosotros.

Bases de datos MySQL más rápidas

Desde hace meses hemos estado trabajando sobre múltiples configuraciones de hardware tratando de buscar el modo de aprovechar el 100%  de las prestaciones de los servidores. Una de nuestras principales inquietudes, era mejorar el tiempo de acceso a las bases de datos MySQL en los servicios de web hosting compartido y reducir el consumo de recursos del sistema operativo en su trabajo diario al ejecutar Apache, Dovecot, Exim, cPanel y todo el software instalado en el servidor.

¿Cómo hemos hecho esto? Incorporando discos duros  de estado sólido (SSD) a los servidores, una tecnología que se ha ido popularizando desde hace unos 2 años pero que no era fácil de implementar al no existir controladoras RAID con la suficiente fiabilidad y compatibilidad. La elección del modelo de disco SSD tampoco ha sido sencilla, algunos son lentos y otros no tienen una buena velocidad de acceso, aunque todos ellos en pruebas de escritura aleatoria (utilizando MySQL) obtienen resultados muy elevados comparados con cualquier disco duro tradicional.

Estos resultados son fácilmente comprensibles si analizamos la velocidad de acceso. Un disco duro tradicional SATA 7,2rpm tiene un tiempo de acceso real de 10-12ms, los discos SAS de 15krpm es de 5-6ms y en el caso de los SSD de tan sólo 0,1ms.

Para comprender esto de manera práctica, realizamos la migración de un servidor con 300 cuentas bajo 4 discos duros SATA 7,2rpm en RAID10 a una nueva máquina con el sistema operativo y MySQL instalados en un RAID1 SSD. Las pruebas realizadas nos mostraron que MySQL puede ser en situaciones de mayor carga hasta 50 veces más rápido, permitiendo aprovechar mejor la cpu / ram instalada y hospedar sitios web populares sin perjudicar al resto de dominios hospedados.

Una importante parte de nuestros clientes han sido migrados a servidores bajo discos SSD, tenemos previsto en las próximas semanas migrar todas las antiguas máquinas a esta nueva plataforma.

Nuevo autoinstalador de scripts

Queremos comenzar el año presentando el nuevo autoinstalador de scripts Softaculous que hemos incorporado en los servicios de web hosting, una nueva herramienta que sustituye al antiguo Fantastico Deluxe y que está destinada a simplificar la instalación de scripts sin conocimientos técnicos de blogs, foros, tiendas ecommerce, wiki, gestores de proyectos, galerías de imágenes y todo tipo de herramientas profesionales.

Softaculous posee un amplio catálogo con más de 170 scripts muy solicitados por nuestros clientes. Entre ellos los ya conocidos WordPress, PHPBB3, Joomla y nuevas incorporaciones en Evalice como Magento, Prestashop, OpenCart o Elgg. Puedes conocer la lista completa, aquí.

Muy pronto todos nuestros servidores tendrán esta herramienta disponible, que además de ser muy sencilla e intuitiva, te ofrece acceso a puntuaciones de los mejores scripts, opiniones de usuarios y un sistema de notificaciones para estar informado de las nuevas versiones de los scripts instalados.

Feliz Navidad desde Evalice

Tras felicitar la navidad a todos nuestros clientes, también queremos tener nuestros mejores deseos para los lectores de nuestro blog.

De parte de todo el equipo de evalice te queremos felicitar la navidad de este año 2010, deseando que tengas prosperidad y suerte en todo lo que quieras alcanzar.

En este proyecto del que tú formas parte, seguimos trabajando día a día en nuevos e inquietantes retos, destinados a ofrecerte la máxima satisfacción como cliente de evalice.

Para nosotros en el año 2011 comienza una nueva etapa, con importantes novedades y mejoras en tus servicios que muy pronto presentaremos.

Sigue este blog para mantenerte informado de todo lo que tenemos preparado.

Un saludo,
El equipo de Evalice Internet S.L.

Nuevas mejoras en el soporte técnico

Hoy queremos hablaros de unas pequeñas pero importantes mejoras en nuestro sistema de soporte técnico. En Evalice trabajamos mediante un sistema de tickets, el cuál te permite contactar con nosotros mediante email o via web desde el área de “Ayuda y soporte“, permitiendo que tu consulta sea atendida de manera individual por un técnico.

Hasta ahora en los tres departamentos de (Comercial, Facturación y Soporte técnico), ofrecíamos distintas prioridades (Baja, Media, Alta y Crítica) que no se ajustaban con la filosofía y manera de trabajar que tenemos en Evalice. A partir de ahora utilizaremos sólo las prioridades Importante y Crítica.

Prioridad Importante: Consideramos que cualquier problema o pregunta que tengas debe ser siempre tratada y atendida de manera rápida, ya sea para conocer el estado de una factura o para recibir ayuda del soporte técnico en la configuración de un script. Cuando nos escribas, por defecto se asignará siempre esta prioridad que deberás utilizar para la mayor parte de consultas.

Prioridad Crítica: Este nivel de respuesta que ya existía, está diseñado para ser utilizado sólo en problemas que necesitan atención inmediata. Por ejemplo, si posees un servicio que ha dejado de funcionar o un problema técnico grave. Esta prioridad asigna automáticamente el ticket a un técnico disponible en ese momento para que lo revise.

Con estas nuevas prioridades se cumplirán de manera más eficaz todas las tareas que entendemos todos los clientes esperan de nosotros.