rss

Ataques: Inyección de comandos SQL

Opciones Necesitan su ayuda Todos los mensajes sin respuesta

Inyección SQL

Los ataques de inyección SQL atacan los sitios web que dependen de bases de datos relacionadas.

En este tipo de páginas Web, los parámetros se pasan a la base de datos como una consulta de SQL. Si un diseñador no verifica los parámetros que se pasan en la consulta de SQL, un hacker puede modificar la consulta para acceder a toda la base de datos e incluso modificar su contenido.

Algunos caracteres posibilitan coordinar varias consultas de SQL o ignorar el resto de la consulta. Al insertar este tipo de carácter en la consulta, un hacker puede ejecutar potencialmente la consulta que elija.

Ante la siguiente consulta, que espera un nombre de usuario como parámetro: 

SELECT * FROM usuarios WHERE nombre="$nombre";

Un intruso sólo necesita escribir un nombre, por ejemplo, "toto" O 1=1 O nombre="titi" para que la consulta quede de la siguiente manera: 

SELECT * FROM usuarios WHERE nombre="toto" OR 1=1 OR nombre="titi";

Con la consulta anterior siempre se realiza la cláusula WHERE, lo que significa que devolverá registros que corresponden a todos los usuarios.

Procedimientos almacenados

Además, algunos sistemas de administración de bases de datos, como por ejemplo Microsoft SQL Server, poseen procedimientos almacenados que posibilitan ejecutar comandos de administración. Estos procedimientos son potencialmente peligrosos ya que permiten que un usuario malintencionado ejecute comandos de sistema que puedan causar una posible intrusión.

Contramedidas

Estas son algunas reglas que pueden ayudarle a protegerse contra ataques de inyección SQL:

  • Verifique el formato de los datos de entrada y, en particular, si hay caracteres especiales;
  • No deje que se vean mensajes de error explícitos que muestren la consulta o parte de la consulta de SQL;
  • Elimine las cuentas de usuario que no se usen y especialmente las predeterminadas;
  • No acepte cuentas sin contraseñas;
  • Mantenga al mínimo los privilegios de las cuentas que se usan;
  • Elimine los procedimientos almacenados.

Este documento intitulado « Ataques: Inyección de comandos SQL » de Kioskea (es.kioskea.net) esta puesto a diposición bajo la licencia Creative Commons. Puede copiar, modificar bajo las condiciones puestas por la licencia, siempre que esta nota sea visible.
 
Sql server visual basic (Resuelto)Hola, SQLSERVER me gustaria saber si hay alguna funcion en sqlserver q se pueda usar de este estilo iif(condicion,resultado1,resultado2) necesito usarlo dentro de un select. VISUAL BASIC en visual kiero saber cual es el funcionamiento de funcion... es.kioskea.net/forum/affich-2295-sql-server-visual-basic
Como crear procesos almacenados en SQL Server (Resuelto)Hola Una mi cuestion es como crear procesos almacenados en sql server Saludos es.kioskea.net/forum/affich-2920-como-crear-procesos-almacenados-en-sql-server
CONEXION A SQL DESDE VB.NET CON .INIHola, Como hago para conectarme a sql con un archivo .ini desde Visual Basic .net 2003, e buscado en muchas web y encuentro muchos codigos pero nada concreto y muy enredados. Estare muy agradesido si alguno de ustedes me hece el gran favor de... es.kioskea.net/forum/affich-16293-conexion-a-sql-desde-vb-net-con-ini
[WiFi] Curso de introducción1. Las redes inalámbricas Una red inalámbrica es una red en la cual dos o más terminales se pueden comunicar entre ellos gracias a señales radioeléctricas. Las redes inalámbricas no son del todo reciente, pero con el desarrollo de la informática y... es.kioskea.net/faq/sujet-56-wifi-curso-de-introduccion
[WiFi] Problemas de conexión WiFiSi suconexión inalámbrica se desconecta y reconecta regularmente, esto puede deberse a: un problema de potencia de emisión: en este caso, el punto de acceso debe estar lo más accesible posible, para ello, retire todos los objetos que se... es.kioskea.net/faq/sujet-54-wifi-problemas-de-conexion-wifi
[Redes] Concentrador (hub), conmutador (switch) y routerIntroducción Dependiendo del tipo de red y su tamaño, por lo general se utilizan uno de los tres concentradores: Hubs, Switchs o routers. 1. El Hub 2. El Switch 3. El Router 4. El repetidor 5. Mayor información 1. El Hub El hub... es.kioskea.net/faq/sujet-656-redes-concentrador-hub-conmutador-switch-y-router
Creacion de formularios en base de datos (Resuelto)Hola, Como creo un formulario en una bsae de datos? es.kioskea.net/forum/affich-4186-creacion-de-formularios-en-base-de-datos
APACHE (Resuelto)Hola, donde puedo consegir el APACHE gratis Gracias es.kioskea.net/forum/affich-739-apache
Problema con coneccion VPNHola, estube leyendo su articulo sobre coneccion VPN, me parece muy bien, pero tengo un problema que es el siguiente: yo me conecto a internet por medio de un moden ADSL el cual tengo conectado a el un reuter en el cual tengo conectadas dos maquinas,... es.kioskea.net/forum/affich-121-problema-con-coneccion-vpn
Descargar SQLBalance for MySQLSQLBalance for MySQL es una herramienta mas que util si trabajas habitualmente con bases de datos. Basicamente compara la esctructura de diferentes bases de datos que corran bajo MySQL. El programa es capaz de acceder a dos servidores MySQL en... es.kioskea.net/telecharger/telecharger-982-sqlbalance-for-mysql
Descargar EasyPHPPara poder empezar a programar en PHP se supone que debes instalar Apache, PHP, MySQL, módulos, extensiones Con EasyPHP, no tendrás ninguna complicación de ningún tipo, porque en este pack encontraras Apache, PHP, MySQL, PHPMyAdmin y SQLiteManager,... es.kioskea.net/telecharger/telecharger-52-easyphp
Descargar PHP EditorPHP Editor es una herramienta perfecta para los programadores en lenguaje PHP, además puede ser utilizado para HTML, SQL, Java, JavaScript, C++, Python, etc. Con PHP Editor podrás trabajar con varios documentos al mismo tiempo, éste incorpora un... es.kioskea.net/telecharger/telecharger-303-php-editor
Todas las respuestas a « Inyección SQL »