post-title Ataques de inyección de SQL – Un método demasiado sencillo https://softlutions.es/wp-content/uploads/Ataques-de-inyección-de-SQL.jpg 2017-10-01 12:36:32 yes no Publicado por Categorías: Programación, Seguridad, Web

Ataques de inyección de SQL – Un método demasiado sencillo

Publicado por Categorías: Programación, Seguridad, Web
Ataques de inyección de SQL – Un método demasiado sencillo

Uno de los ataques informáticos que cada vez se producen con más frecuencia son los ataques de inyección de SQL, los cuales pueden ser muy peligrosos incluso fatales para nuestro negocio online.

Los ataques a aplicaciones web se han convertido en un modelo de negocio muy suculento para muchos hackers, por este motivo tenemos que proteger al máximo nuestras aplicaciones web y el acceso a los datos de nuestro negocio online. Cada vez se está extendiendo más el uso de ataques de inyección de código SQL por la facilidad de ser ejecutados por cualquier persona aunque esta no tenga experiencia apenas en SQL, simplemente conociendo la cadena de texto adecuada (que se puede conseguir en algún foro de esta temática), o simplemente seguir cualquiera de los cientos de tutoriales sobre ataques de inyección de SQL en MySql por ejemplo.

Los ataques de inyección de código cada vez son más usados debido al aumento de webs poco seguras desarrolladas con aplicaciones online tipo WordPress o 1&1 cuya seguridad normalmente brilla por su ausencia. A continuación os dejamos un ejemplo del ataque más común que se está realizando para saltarse el login de un sitio web:

sqlinyect

Se pueden evitar estos ataques en muchos lenguajes distintos, e incluso hay lenguajes, como Ruby on Rails, que por defecto ya protegen la aplicación de este y otros tipos de ataques, pero lo que tenemos que tener claro es que donde hay una consulta SQL puede haber una brecha de seguridad, por lo que se recomienda prestarles un mínimo de atención.

Por suerte para los usuarios de CMS del tipo de WordPress, Prestashop, Drupal o Joomla, por nombrar algunas de las más utilizadas, la seguridad que ofrecen va en aumento, pero los hackers informáticos van siempre un paso por delante y todas ellas ofrecen siempre alguna brecha de seguridad. Principalmente para versiones no actualizadas o simplemente a tavés de plugins o themes piratas que bajamos de internet por ser de pago y no querer costear su licencia.

Qué es la inyección de SQL

Se trata de un mecanismo muy sencillo por el que introduces lenguaje intrusivo en la BBDD para que esta la interprete cómo código en vez de como texto y realice alguna acción en la web (sea hackeada). Se suele realizar a través de formularios, ya que es un método sencillo de saber al 100% que se va a hacer una iteracción con la base de datos y además tenemos campos de texto para poder incluir el código que queramos.

Otros métodos

– Inyección de SQL (interactuar con la base de datos de manera no deseada, por ejemplo, a través de un formulario mal protegido).

– Inyección de Javascript (interactuar con la aplicación de una manera no deseada utilizando javascript directamente sobre la web).

– XSS o Scripting Crosside (interactuar con la aplicación de una manera no deseada utilizando javascript alojado en otra web).

– Session Hijacking (robo de sesiones).

– CSRF (falsificación del request y response desde otro sitio).

Si no quiere encontrarse una mañana con que le han robado datos de sus servidores o, peor aún, se lo han borrado todo y ya no puede continuar con su negocio online, debe tener sus CMS actualizados, así como los temas y plugins 100% originales y actualizados a fecha de hoy.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Cargando…