SQL Injection

Un gran porcentaje de los Web Sites que se encuentran en Internet son vulnerables a los ataques de SQL Injections, especialmente aquellos que tienen algunos años de desarrollados. Muchos Sitios Web desarrollados bajo ASP 3.0, PHP, Perl y Java que tienen forman las sentencias SQL mediante string que son ejecutadas directamente desde el web site a la base de datos son muy propensa al este tipo de ataque. Ahora veamos un ejemplo:

var = "select count(*) from users where username = ' " + username +" ' and password = ' " + pass + " ' ";

ese mismo código puede ser interceptado ya sea cambiando un campo hidden o una variable por querystring de esta forma:

var = "select * from users where username = ' " + username +" ' or 1 = 1 and password = ' " + pass + " ' or 1 = 1";

De esta forma es posible se puede conseguir las cuentas de usuarios con todos los privilegios, y podemos seguir hasta pasar un query en la sentencia con algunas tablas del sistemas con las cuentas de usuarios. Algunos métodos para protegerse de este tipo de ataques son:
  • Una forma de prevenir esto es utilizando procedimientos almacenados que reciban parámetros cerrados (con longitud definida, si es posible encriptado).
  • No pasando variables importantes por querystring (si es posible cambiar las variables a tipo Guid que puedan ser cambiada en la plataforma).
  • En .Net podemos usar los SqlCommand para crear nuestras consultas y asignar parámetros que reciban el valor de forma indirecta mediante la clase parameters.
  • No utilizar cuentas con privilegios administrativos (muy importante).
  • No Proporcionar mayor información de la necesaria.
  • Cuidado con las sentencias que utilicen UNION (muy utilizado en los injectios, al unir un query con una sentencia que llame los registros de alguna tabla de sistema).

Comentarios

Publicar un comentario

Entradas populares de este blog

Como ejecutar una aplicación desde SQL.

Hola Jóvenes. Me estoy estrenando en el blog con esta publicación, así que espero brindarles en lo adelante muchas informaciones que les sirvan de soporte. Entrando en materia, en ocasiones necesitamos que al ejecutar cierto Store Procedure, DTS, etc.; requerimos la utilización de alguna aplicación para que efectúe una operación secundaria. La aplicación, podemos ejecutarla (dispararla) mediante el Store Procedure "xp_cmdshell", utilizando la siguiente instrucción dentro del Query que estemos ejecutando: Exec xp_cmdshell 'C:\WINDOWS\system32\calc.exe' Este Store Procedure usualmente no está habilitado por lo que, es necesario solicitar autorización al DBA de los usuarios que van a utilizarlo. Además, en otros casos, es posible que no este habilitado el SP en la base de datos (Master), en dado caso, es necesario su configuración (para lo cual necesitamos privilegios de administrador) vía el SP "sp_configure" de la siguiente forma: --Permitir que las opciones
Leer más

Crear un Cursor SQL Server

Saludos, En esta ocación voy a mostrarle como crear un cursor en SQL Server y explicar la importancia del mismo. Un cursor es una herramienta de SQL Server que nos permite recorrer el resultado de una consulta SQL y realizar operaciones con estos resultados dentro de un bucle de datos. Para mostrar la sintaxis del cursor utilizemos el siguiente planteamiento, tenemos una tabla denominada persona y deseamos imprimir en pantalla los nombres y apellidos de todos los registros almacenados en la table persona. La sintaxis de declaración de un cursor es la siguiente: declare cursor_prueba cursor for select nombres, apellidos from persona /*ahora declaramos las variables con las que vamos a recorrer el cursor:*/ declare @nombres varchar (25) declare @apellidos varchar (25) /*Abrimos el cursor para iniciar el recorrido del mismo*/ open cursor_prueba /*Se mueve al siguiente registro dentro del cursor y los asignamos a las variables antes declaradas*/ fetch next from cursor_prueba into
Leer más

Desahogo

En esta oportunidad no voy a hablar sobre base de datos, técnicas de programación ni alguna que otra noticia relacionada con el mundo de la tecnología. Hoy quiero expresar mi gran malestar que estoy sintiendo con las cosas que veo en mi querido país República Dominicana. La situación del país es preocupante, uno de los pocos países latinoamericanos que no ha logrado solucionar los graves problemas eléctricos que provocan apagones de hasta 12 horas en casi todo el territorio nacional. El auge de la delincuencia es alarmante, y el consumo de drogas (cocaína, marihuana, entre muchas otras) es cada vez mayor. Hace unos días salió a relucir que el país era el número 7 en todo el mundo en tráfico de drogas sirviendo como puente de Colombia a Estados Unidos. Hasta donde las autoridades van a seguir permitiendo eso, la seguridad nacional es casi inexistente, ya que al parecer de cada 10 militares, 8 son corruptos. Y sin contar la gran cantidad de militares que le han quitado la visa el gob
Leer más