La inyección de SQL es un tipo de ataque, que se ha convertido en ciberataque debido a su explotación casi a diaria utilizada y explotado por los ciber atacantes en los sitios web y/o servicios publicados.
¿Qué es SQL?
SQL, de sus siglas en inglés Structured Query Language, es un lenguaje de programación diseñado para gestionar y administrar la información de bases de datos relacionales.
En 1986 fue estandarizado por el organismo ANSI (American nacional Standard Institute), dando lugar a la primera versión estándar de este lenguaje, el SQL-86 o SQL1. Al año siguiente este estándar es adoptado también por el organismo internacional ISO (International Standarization Organization).
SQL nos permite generar bases de datos utilizadas por muchos programas y plataformas web, también permite a través de consultas, obtener y modificar la información que contienen.
¿Qué es el ataque de inyección SQL?
A diario los atacantes están pendientes de aprovechar cualquier tipo de error de programación en las páginas web, es por ello por lo que el ataque de inyección SQL es utilizado desde qué se creó el lenguaje SQL.
Un ataque de inyección SQL podría estar orientado en comprometer páginas web o bases de datos. Un ciberdelincuente podría manipular, robar o eliminar información y datos que hay en esas webs comprometidas o bases de datos.
¿Cómo se realiza este ataque?
Para realizar este ataque se deberá de inyectar consultas SQL maliciosas en el campo de entrada de una web (formulario, newsletter, etc.). De esta forma podría engañar al sitio para que ejecute comandos y acceder a su base de datos. Lógicamente un ataque de este tipo puede hacer que el funcionamiento de la web no sea el adecuado. Puede afectar al rendimiento. Sin embargo, también afecta a la privacidad al robar datos e información, modificarlo o incluso eliminarlo.
¿Cómo puedo solucionarlo?
Desde Optimumtic se recomiendan seguir los siguientes puntos:
• Escapar los comandos. Consiste en evitar que el formulario procese ciertos caracteres o códigos específicos de la sintaxis del lenguaje SQL. En otras palabras, se aplica un filtro sobre los campos del formulario y este evita que los caracteres o palabras no permitidos puedan llegar a la base de datos en forma de consulta.
• Verificar los datos. Con esta técnica se busca comprobar que los datos que solicitan los usuarios concuerdan con lo esperado. Por ejemplo, si un usuario a través de una consulta solicita una dirección de correo, la verificación debe comprobar que el tipo de dato que se le va a proporcionar es el esperado por una dirección de correo y no otro tipo de fsdffdfds, como pudieran ser el número de teléfono o la contraseña.
• Evitar la exposición. En muchas ocasiones el problema se basa en dejar accesibles a Internet bases de datos de carácter interno. Este tipo de descuidos puede permitir a los ciberdelincuentes acceder a información crítica de la empresa. Es aconsejable dejar estas bases de datos aisladas en la red interna de la empresa.
• Uso de herramientas de análisis. Existen herramientas de análisis automatizado que permiten comprobar la seguridad de los formularios que tenemos en la página web, de tal modo que faciliten en gran medida encontrar posibles fallos de seguridad para poder subsanarlos.
¿Cómo puedo detectar esta vulnerabilidad en mi web?
Para la detección de la vulnerabilidad es necesario realizar un ejercicio de pentest a las páginas web públicas, de forma periódica, y sobre todo auditorias de Código En OptimumTIC, contamos con un equipo de Cybersecurity, formado por especialistas en investigación y forense, los cuales son especialistas en realizar escaneo de vulnerabilidades y pentest en todas las categorías para detectar cualquier tipo de puerta de entrada de un posible atacante. De esta manera siempre recomendamos una estrategia transversal completa, y no solo realizar este tipo de auditorías y/o pentest, sino ir acompañado del cuerpo normativo adecuado que garantice la seguridad desde el marco de la empresa, aplicando políticas, normas y procedimientos.
Si desea más información sobre nuestros servicios o productos, puede contactar con nosotros sin compromiso a través de nuestra página web: www.optimumtic.com o escribiéndonos a info@optimumtic.com
.png)
