ley 15
Páginas: 5 (1214 palabras)
Publicado: 16 de marzo de 2014
QUE ES SQL INJECTION
‡Es el uso de comandos SQL para poder alterar la información, ganar acceso o crear negaciones de servicio mediante la ejecución de estos comandos a través de páginas Webs. Este tipo de ataque aprovecha las falencias de programación que no validan las entradas realizadas por los usuarios a nivel de URL o Formularios
TECNICAS DE ATAQUE EN SQLINJECTION
‡Sobrepaso deautorización .Es usada para sobrepasar controles de autorización y ganar acceso.‡Usando el comando SELECT .Es usada para conseguir información de las bases de datos. Usando el comando INSERT.Usada para alterar el contenido de una base de datos. Usando procedimientos al
MEDIDAS DE PROTECCION
1. 1Uso de reglas a nivel de IDS que detecten expresiones de SQL injection.
2. 2 Minimice los privilegios deconexión a la DB
3. 3.Realice hardening de la cuenta sa´Audite código fuente.
4. 4Valide las entradas en los campos de texto.
5. 5No use SQL dinámico, trate de usar consultas parame trizadas o procedimientos almacenados.
6. 6No almacene información sensible en texto claro
7.Use errores personalizados y evite revelar datos sensibles cuando ocurre un error.
8.Use herramientas de monitoreo comoSQL Block.
9.Realice pruebas de vulnerabilidad con herramientas que se especializadas en SQL injection (Acunetix) marcenados de SQL
. Orígenes y evolución
Los orígenes del SQL están ligados a los de las bases de datos relacionales. En 1970 E. F. Cód. Propone el modelo relacional y asociado a este un su lenguaje de acceso a los datos basado en el cálculo de predicados. Basándose en estas ideas,los laboratorios de IBM definen el lenguaje SEQUEL (Estructura English Query Lenguaje) que más tarde sería ampliamente implementado por el sistema de gestión de bases de datos (SGBD) experimental Sistema R, desarrollado en 1977 también por IBM. Sin embargo, fue Oracle quien lo introdujo por primera vez en 1979 en un programa comercial.
El SEQUEL terminaría siendo el predecesor de SQL, siendoeste una versión evolucionada del primero. El SQL pasa a ser el lenguaje por excelencia de los diversos sistemas de gestión de bases de datos relacionales surgidos en los años siguientes y es por fin estandarizado en 1986 por el ANSI, dando lugar a la primera versión estándar de este lenguaje, el "SQL-86" o "SQL1". Al año siguiente este estándar es también adoptado por la ISO.
Sin embargo, esteprimer estándar no cubre todas las necesidades de los desarrolladores e incluye funcionalidades de definición de almacenamiento que se consideró suprimirlas. Así que, en 1992, se lanzó un nuevo estándar ampliado y revisado del SQL llamado "SQL-92" o "SQL2".
En la actualidad el SQL es el estándar de facto de la inmensa mayoría de los SGBD comerciales. Y, aunque la diversidad de añadidosparticulares que incluyen las distintas implementaciones comerciales del lenguaje es amplia, el soporte al estándar SQL-92 es general y muy amplio.
El ANSI SQL sufrió varias revisiones y agregados a lo largo del tiempo:
Año Nombre Alias Comentarios
1986 SQL-86 SQL-87 Primera publicación hecha por ANSI. Confirmada por ISO en 1987.
1989 SQL-89 Revisión menor.
1992 SQL-92 SQL2 Revisión mayor.1999 SQL: 1999 SQL2000 Se agregaron expresiones regulares, consultas recursivas (para relaciones jerárquicas), triggers y algunas características orientadas a objetos.
2003 SQL: 2003 Introduce algunas características de XML, cambios en las funciones, estandarización del objeto séquense y de las columnas auto numéricas. (Ver Iceberg et al.: SQL: 2003 Has Been Published.)
2006 SQL:2006ISO/IEC 9075-14:2006 Define las maneras en las cuales el SQL se puede utilizar conjuntamente con XML. Define maneras de importar y guardar datos XML en una base de datos SQL, manipulándolos dentro de la base de datos y publicando el XML y los datos SQL convencionales en forma XML. Además, proporciona facilidades que permiten a las aplicaciones integrar dentro de su código SQL el uso de XQuery,...
‡Es el uso de comandos SQL para poder alterar la información, ganar acceso o crear negaciones de servicio mediante la ejecución de estos comandos a través de páginas Webs. Este tipo de ataque aprovecha las falencias de programación que no validan las entradas realizadas por los usuarios a nivel de URL o Formularios
TECNICAS DE ATAQUE EN SQLINJECTION
‡Sobrepaso deautorización .Es usada para sobrepasar controles de autorización y ganar acceso.‡Usando el comando SELECT .Es usada para conseguir información de las bases de datos. Usando el comando INSERT.Usada para alterar el contenido de una base de datos. Usando procedimientos al
MEDIDAS DE PROTECCION
1. 1Uso de reglas a nivel de IDS que detecten expresiones de SQL injection.
2. 2 Minimice los privilegios deconexión a la DB
3. 3.Realice hardening de la cuenta sa´Audite código fuente.
4. 4Valide las entradas en los campos de texto.
5. 5No use SQL dinámico, trate de usar consultas parame trizadas o procedimientos almacenados.
6. 6No almacene información sensible en texto claro
7.Use errores personalizados y evite revelar datos sensibles cuando ocurre un error.
8.Use herramientas de monitoreo comoSQL Block.
9.Realice pruebas de vulnerabilidad con herramientas que se especializadas en SQL injection (Acunetix) marcenados de SQL
. Orígenes y evolución
Los orígenes del SQL están ligados a los de las bases de datos relacionales. En 1970 E. F. Cód. Propone el modelo relacional y asociado a este un su lenguaje de acceso a los datos basado en el cálculo de predicados. Basándose en estas ideas,los laboratorios de IBM definen el lenguaje SEQUEL (Estructura English Query Lenguaje) que más tarde sería ampliamente implementado por el sistema de gestión de bases de datos (SGBD) experimental Sistema R, desarrollado en 1977 también por IBM. Sin embargo, fue Oracle quien lo introdujo por primera vez en 1979 en un programa comercial.
El SEQUEL terminaría siendo el predecesor de SQL, siendoeste una versión evolucionada del primero. El SQL pasa a ser el lenguaje por excelencia de los diversos sistemas de gestión de bases de datos relacionales surgidos en los años siguientes y es por fin estandarizado en 1986 por el ANSI, dando lugar a la primera versión estándar de este lenguaje, el "SQL-86" o "SQL1". Al año siguiente este estándar es también adoptado por la ISO.
Sin embargo, esteprimer estándar no cubre todas las necesidades de los desarrolladores e incluye funcionalidades de definición de almacenamiento que se consideró suprimirlas. Así que, en 1992, se lanzó un nuevo estándar ampliado y revisado del SQL llamado "SQL-92" o "SQL2".
En la actualidad el SQL es el estándar de facto de la inmensa mayoría de los SGBD comerciales. Y, aunque la diversidad de añadidosparticulares que incluyen las distintas implementaciones comerciales del lenguaje es amplia, el soporte al estándar SQL-92 es general y muy amplio.
El ANSI SQL sufrió varias revisiones y agregados a lo largo del tiempo:
Año Nombre Alias Comentarios
1986 SQL-86 SQL-87 Primera publicación hecha por ANSI. Confirmada por ISO en 1987.
1989 SQL-89 Revisión menor.
1992 SQL-92 SQL2 Revisión mayor.1999 SQL: 1999 SQL2000 Se agregaron expresiones regulares, consultas recursivas (para relaciones jerárquicas), triggers y algunas características orientadas a objetos.
2003 SQL: 2003 Introduce algunas características de XML, cambios en las funciones, estandarización del objeto séquense y de las columnas auto numéricas. (Ver Iceberg et al.: SQL: 2003 Has Been Published.)
2006 SQL:2006ISO/IEC 9075-14:2006 Define las maneras en las cuales el SQL se puede utilizar conjuntamente con XML. Define maneras de importar y guardar datos XML en una base de datos SQL, manipulándolos dentro de la base de datos y publicando el XML y los datos SQL convencionales en forma XML. Además, proporciona facilidades que permiten a las aplicaciones integrar dentro de su código SQL el uso de XQuery,...
Leer documento completo
Regístrate para leer el documento completo.