Inyecciones sql
Páginas: 24 (5879 palabras)
Publicado: 26 de junio de 2011
Universidad Tecnológica Nacional
Ingeniería en Sistemas de Información
Cátedra: Gestión de Datos
TRABAJO de INVESTIGACIÓN
Inyecciones SQL
Comisión Nº: 3º01
Integrantes:
Rodríguez Vivanco, Mercedes 36188(responsable)
Ron, Jorge 34095
Email contacto: mechivivanco@hotmail.com
Indice
Inyecciones Sql. Definición………………………………………………………………………………….3
Tipos deinyecciones SQL ………..………………………………………………………………………….3
Prueba y ejemplo de la caja negra ……………………………………………………………………..4
Bases de datos susceptibles a inyecciones……….…………………………………………………7
Seguridad contra SQL injection…………………………………………………………………………..7
Herramientas para evitar inyecciones sql………….……………………………………………….8
Ejemplos de Inyecciones sql………………………………………………………………………………10
Inyección Ciega deSQL………………………………………………………………………………………12
Noticias sobre Inyecciones SQL…………………………………………………………………………..16
Bibliografía…………………………………………………………………………………………………………18
Historial de versiones…………………………………………………………………………………………19
Inyecciones Sql. Definición.
Una inyección SQL sucede cuando se inserta o "inyecta" un código SQL "invasor" dentro de otro código SQL para alterar su funcionamientonormal, y hacer que se ejecute maliciosamente el código "invasor" en la base de datos.
Las inyecciones utilizan información de entrada del usuario combinado con comandos SQL para construir una consulta SQL maliciosa. En otras palabras, se "inyecta" un código SQL malicioso para alterar el funcionamiento normal de las consultas SQL programadas por los diseñadores/webmasters. Al no haber seguridad,el código se ejecuta con consecuencias alarmantes.
Con estas inyecciones se pueden obtener datos escondidos, eliminar o sobrescribir datos en la base de datos y hasta lograr ejecutar comandos peligrosos en la máquina donde está la base de datos.
El hecho de que un servidor pueda verse afectado por las inyecciones SQL se debe a la falta de medidas de seguridad por parte de susdiseñadores/programadores, especialmente por una mala filtración de las entradas (por formularios, cookies o parámetros).
La inyección SQL es un problema de seguridad informática que debe ser tomado en cuenta por el programador para prevenirlo. Un programa hecho con descuido, displicencia, o con ignorancia sobre el problema, podrá ser vulnerable y la seguridad del sistema puede quedar ciertamente comprometida.Esto puede suceder tanto en programas ejecutándose en computadores de escritorio, como en páginas Web, ya que éstas pueden funcionar mediante programas ejecutándose en el servidor que las aloja.
La vulnerabilidad puede ocurrir cuando un programa "arma" descuidadamente una sentencia SQL, con parámetros dados por el usuario, para luego hacer una consulta a una base de datos. Dentro de losparámetros dados por el usuario podría venir el código SQL inyectado.
Al ejecutarse esa consulta por la base de datos, el código SQL inyectado también se ejecutará y podría hacer un sinnúmero de cosas, como insertar registros, modificar o eliminar datos, autorizar accesos e, incluso, ejecutar código malicioso en el computador.
Tipos de Inyecciones SQL
Los ataques de inyección SQL se puedendividir en las tres clases siguientes:
• Inband: los datos se extraen usando el mismo canal que se utiliza para inyectar el código del SQL. Ésta es la clase más directa del ataque, en la cual los datos recuperados se presentan directamente en la página web de la aplicación.
• Fuera de banda: los datos se recuperan usando un diverso canal (ej., un email con los resultados de la pregunta que segenera y se envían al tester).
• Deductivo: no hay transferencia real de datos, pero el tester puede reconstruir la información enviando peticiones particulares y observando el comportamiento resultante del servidor de la DB.
Con independencia de la clase del ataque, un ataque acertado de inyección SQL requiere al atacante hacer una pregunta sintácticamente correcta en SQL. Si la...
Ingeniería en Sistemas de Información
Cátedra: Gestión de Datos
TRABAJO de INVESTIGACIÓN
Inyecciones SQL
Comisión Nº: 3º01
Integrantes:
Rodríguez Vivanco, Mercedes 36188(responsable)
Ron, Jorge 34095
Email contacto: mechivivanco@hotmail.com
Indice
Inyecciones Sql. Definición………………………………………………………………………………….3
Tipos deinyecciones SQL ………..………………………………………………………………………….3
Prueba y ejemplo de la caja negra ……………………………………………………………………..4
Bases de datos susceptibles a inyecciones……….…………………………………………………7
Seguridad contra SQL injection…………………………………………………………………………..7
Herramientas para evitar inyecciones sql………….……………………………………………….8
Ejemplos de Inyecciones sql………………………………………………………………………………10
Inyección Ciega deSQL………………………………………………………………………………………12
Noticias sobre Inyecciones SQL…………………………………………………………………………..16
Bibliografía…………………………………………………………………………………………………………18
Historial de versiones…………………………………………………………………………………………19
Inyecciones Sql. Definición.
Una inyección SQL sucede cuando se inserta o "inyecta" un código SQL "invasor" dentro de otro código SQL para alterar su funcionamientonormal, y hacer que se ejecute maliciosamente el código "invasor" en la base de datos.
Las inyecciones utilizan información de entrada del usuario combinado con comandos SQL para construir una consulta SQL maliciosa. En otras palabras, se "inyecta" un código SQL malicioso para alterar el funcionamiento normal de las consultas SQL programadas por los diseñadores/webmasters. Al no haber seguridad,el código se ejecuta con consecuencias alarmantes.
Con estas inyecciones se pueden obtener datos escondidos, eliminar o sobrescribir datos en la base de datos y hasta lograr ejecutar comandos peligrosos en la máquina donde está la base de datos.
El hecho de que un servidor pueda verse afectado por las inyecciones SQL se debe a la falta de medidas de seguridad por parte de susdiseñadores/programadores, especialmente por una mala filtración de las entradas (por formularios, cookies o parámetros).
La inyección SQL es un problema de seguridad informática que debe ser tomado en cuenta por el programador para prevenirlo. Un programa hecho con descuido, displicencia, o con ignorancia sobre el problema, podrá ser vulnerable y la seguridad del sistema puede quedar ciertamente comprometida.Esto puede suceder tanto en programas ejecutándose en computadores de escritorio, como en páginas Web, ya que éstas pueden funcionar mediante programas ejecutándose en el servidor que las aloja.
La vulnerabilidad puede ocurrir cuando un programa "arma" descuidadamente una sentencia SQL, con parámetros dados por el usuario, para luego hacer una consulta a una base de datos. Dentro de losparámetros dados por el usuario podría venir el código SQL inyectado.
Al ejecutarse esa consulta por la base de datos, el código SQL inyectado también se ejecutará y podría hacer un sinnúmero de cosas, como insertar registros, modificar o eliminar datos, autorizar accesos e, incluso, ejecutar código malicioso en el computador.
Tipos de Inyecciones SQL
Los ataques de inyección SQL se puedendividir en las tres clases siguientes:
• Inband: los datos se extraen usando el mismo canal que se utiliza para inyectar el código del SQL. Ésta es la clase más directa del ataque, en la cual los datos recuperados se presentan directamente en la página web de la aplicación.
• Fuera de banda: los datos se recuperan usando un diverso canal (ej., un email con los resultados de la pregunta que segenera y se envían al tester).
• Deductivo: no hay transferencia real de datos, pero el tester puede reconstruir la información enviando peticiones particulares y observando el comportamiento resultante del servidor de la DB.
Con independencia de la clase del ataque, un ataque acertado de inyección SQL requiere al atacante hacer una pregunta sintácticamente correcta en SQL. Si la...
Leer documento completo
Regístrate para leer el documento completo.