Inyección de código SQL

La inyección de SQL es una técnica utilizada para abusar de programas de consultas de bases de datos que no realizan comprobaciones exhaustivas.

Los gusanos utilizan las inyecciones de código SQL junto con secuencias de comandos entre sitios para introducirse en sitios web y extraer datos o incrustar código malicioso.

El código SQL inyectado envía órdenes a un servidor web vinculado a una base de datos SQL. Si el servidor no está diseñado o protegido correctamente, puede tratar los datos introducidos en campos de formularios (por ejemplo, el nombre de usuario) como si fueran órdenes que deben ejecutarse en el servidor de la base de datos. Por ejemplo, un agresor puede introducir un comando diseñado para extraer el contenido de la base de datos de registros de clientes e información de pagos en su totalidad.

Una de las infracciones de datos mediante ataques de inyección de SQL más conocidas se produjo en marzo de 2008, cuando los ciberdelincuentes se infiltraron en los sistemas del procesador de pagos Heartland Payment Systems, poniendo en peligro los datos de 134 millones de tarjetas de crédito.

Los cortafuegos de aplicaciones web ofrecen protección contra este tipo de ataques mediante un sistema avanzado de patrones diseñados para detectar comandos SQL transmitidos al servidor web. Al igual que con cualquier otro sistema basado en patrones, para conseguir la máxima protección y poder hacer frente a los nuevos métodos de incrustación de código SQL, los patrones deben estar actualizados.

Descargar Diccionario de amenazas
Descargar