Inyeccion Sql
Páginas: 2 (470 palabras)
Publicado: 16 de noviembre de 2012
A1 Inyección:
Las fallas de inyección, tales como SQL, OS, y LDAP, ocurren cuando datos no confiables son enviados a un intérprete como parte de un comando o consulta. Los datos hostiles delatacante pueden engañar al intérprete en ejecutar comandos no intencionados o acceder datos no autorizados.
Agentes de amenaza: Cualquier persona que pueda enviar datos no confiables al sistema,incluyendo usuarios externos, internos y administradores.
Vectores de Ataque: El atacante envía simples cadenas de texto que explotan la sintaxis del intérprete atacado. Casi cualquier fuente de datospuede ser un vector de inyección, incluyendo fuentes internas.
Deficiencias de Seguridad: pueden ser de tipo Prevalencia común o Detección Media
Las fallas de inyeccion ocurren cuando unaaplicación envía datos no confiables a un interprete. Las fallas de inyección son muy prevalentes, particularmente en código legado, el cual es frecuentemente encontrado en consultas SQL, LDAP, XPath, comandosde SO, argumentos de programa, etc. Las fallas de inyección son fácil de descubrir cuando se examina el código, pero más difícil a través de testeos. Los scanners y fuzzers pueden ayudar a losatacantes a descubrir estas fallas.
Impactos Técnicos
Impacto severo:
Una falla de inyección puede resultar en perdida o corrupción de datos, falta de integridad, o negación de acceso. Una falla deinyección puede algunas veces llevar a la toma de posesión completa del servidor
Impactos en el negocio: Considerar el valor para el negocio de los datos afectados y la plataforma corriendo elinterprete. Todos los datos pueden ser robados, modificados, o eliminados. ¿Puede su reputación ser dañada?
¿Cómo descubrir si se es vulnerable?
Verificar si al usar interpretes se separe datos noconfiables del comando o consulta. Para llamados SQL, esto significa utilizar variables parametrizadas en todas las declaraciones preparadas y procedimientos almacenados, como así también evitar...
Las fallas de inyección, tales como SQL, OS, y LDAP, ocurren cuando datos no confiables son enviados a un intérprete como parte de un comando o consulta. Los datos hostiles delatacante pueden engañar al intérprete en ejecutar comandos no intencionados o acceder datos no autorizados.
Agentes de amenaza: Cualquier persona que pueda enviar datos no confiables al sistema,incluyendo usuarios externos, internos y administradores.
Vectores de Ataque: El atacante envía simples cadenas de texto que explotan la sintaxis del intérprete atacado. Casi cualquier fuente de datospuede ser un vector de inyección, incluyendo fuentes internas.
Deficiencias de Seguridad: pueden ser de tipo Prevalencia común o Detección Media
Las fallas de inyeccion ocurren cuando unaaplicación envía datos no confiables a un interprete. Las fallas de inyección son muy prevalentes, particularmente en código legado, el cual es frecuentemente encontrado en consultas SQL, LDAP, XPath, comandosde SO, argumentos de programa, etc. Las fallas de inyección son fácil de descubrir cuando se examina el código, pero más difícil a través de testeos. Los scanners y fuzzers pueden ayudar a losatacantes a descubrir estas fallas.
Impactos Técnicos
Impacto severo:
Una falla de inyección puede resultar en perdida o corrupción de datos, falta de integridad, o negación de acceso. Una falla deinyección puede algunas veces llevar a la toma de posesión completa del servidor
Impactos en el negocio: Considerar el valor para el negocio de los datos afectados y la plataforma corriendo elinterprete. Todos los datos pueden ser robados, modificados, o eliminados. ¿Puede su reputación ser dañada?
¿Cómo descubrir si se es vulnerable?
Verificar si al usar interpretes se separe datos noconfiables del comando o consulta. Para llamados SQL, esto significa utilizar variables parametrizadas en todas las declaraciones preparadas y procedimientos almacenados, como así también evitar...
Leer documento completo
Regístrate para leer el documento completo.