¿Qué es la inyección SQL y cómo prevenirla?

Publicada en por Gabriel Melo
Gabriel Melo
Últimas entradas de Gabriel Melo (ver todo)

La inyección de SQL es un tipo de ataque en el que se manipula la base de datos backend para obtener acceso a la información que está prohibida para ser compartida.

La inyección de SQL es un tipo de ataque en el que se manipula la base de datos backend para obtener acceso a la información que está prohibida para ser compartida. Los datos pueden consistir en numerosos elementos, datos confidenciales de la empresa, detalles privados de clientes. 

El impacto de este ataque es muy severo y perturbador para la empresa que lo enfrenta. Un ataque exitoso provocará una visualización no autorizada de la lista de clientes, tablas desaparecidas, cambios en el contenido, el comportamiento de la web y, a veces, el atacante intenta obtener acceso a la base de datos de administración, todas las causas anteriores son cruciales para el funcionamiento de una empresa. El atacante puede atacar continuamente el sistema de la empresa, lo que provoca daños a largo plazo y pasa desapercibido durante un período prolongado.

Muchas empresas de alto perfil se han enfrentado al ataque de la inyección SQL y han sufrido daños en la reputación y multas reglamentarias.  La inyección SQL se lleva a cabo solo por las empresas que utilizan la aplicación de datos que no son de confianza, como los campos de formularios web. Cuando la página web no puede limpiar el caché antes de solicitar la consulta SQL al mismo tiempo, el atacante también ejecutará su inyección SQL que ejecutará la empresa. 

Ejemplos de inyección SQL

  • Recuperando datos ocultos  : donde puede modificar la consulta SQL para recuperar los datos ocultos.
  • Subvertir la lógica de la aplicación : donde puede modificar la consulta SQL para interferir con la lógica de las aplicaciones.
  • Inyección ciega de SQL : donde el resultado de una consulta que usted controla no se devuelve a las respuestas de la aplicación.
  • Examinar la base de datos : donde puede obtener información sobre la versión y estructura de la base de datos.
  • Ataques UNION : donde puede recuperar los datos de varias tablas de la base de datos.

 

Tipos de inyecciones de SQL 

 

El atacante usa el mismo ataque con diferentes tipos de SQLi para que un hotspot diferente pueda descifrarlo y obtener acceso a él.

1. SQLi en banda

El atacante utiliza el mismo canal para preceder al ataque y recopilar el resultado. SQLi en banda es muy simple y eficiente y es el ataque SQLi más utilizado. 

SQLi en banda se subdivide en dos partes:

  1. SQLi basado en errores: el atacante toma medidas en la base de datos, lo que hace que la página web genere mensajes de error. El atacante logrará recopilar información sobre la estructura de la base de datos mediante los mensajes de error producidos.
  2. SQLi basado en Unión: obtiene la ventaja del operador UNION SQL que amalgama varias declaraciones generadas por la base de datos en una única respuesta HTTP. Estas respuestas que contienen datos serán compradas por el atacante.

2.SQLi inferencial (ciego)

El atacante enviará cargas útiles de datos falsos a los servidores web, supervisará la salida y el comportamiento del servidor y conocerá su estructura. Los datos no se transfieren al atacante desde la página web al sitio web del atacante. 

El ataque inferencial depende de las respuestas y el comportamiento de la página web, por lo que son más lentos de verificar y resultan dañinos. 

El SQL inferencial se puede clasificar en:

  1. Booleano: esto le permite al atacante cargar datos falsos aunque no se devuelvan datos de la base de datos. Este ataque es lento, especialmente en grandes bases de datos.
  2. Basado en tiempo: es una técnica para enviar consultas SQL a la base de datos que contiene la base de datos durante un período específico.

3. SQLi fuera de banda

Este es un ataque alternativo en caso de que los ataques en banda o inferenciales no funcionen. Este ataque solo funcionará si los servidores tienen sus funciones habilitadas. Este ataque tiene lugar en una situación en la que el atacante no puede utilizar el mismo canal para realizar el ataque y recopilar información o cuando el servidor es demasiado lento o no es adecuado para realizar tales acciones. 

Maneras en que los atacantes explotan los muros de seguridad de SQLi

 

 El atacante realiza una entrada de calidad superior para que el ataque funcione con éxito y rompa las barreras de seguridad. El atacante explota la seguridad de las siguientes formas:

  • Los datos que se encuentran en la base de datos se basan en el control del comportamiento de la aplicación. Por ejemplo, engañando a una aplicación para que inicie sesión sin una contraseña correcta y válida.
  • Realizar cambios en la base de datos sin ningún permiso legal. Por ejemplo, crear registros falsos, promover al usuario a niveles más altos de acceso, eliminar datos.
  • Tener una concesión con los datos sin ninguna autorización legal. Por ejemplo, manipular la base de datos para que proporcione demasiados resultados para una consulta. 

MacBook Pro with images of computer language codes

Cómo detectar ataques SQLi

 

Los ataques SQLi se pueden detectar manualmente mediante el uso de una prueba específica diaria en la aplicación. Son los siguientes:

  • Buscando errores u otros maliciosos y enviando el carácter de comillas simples ”’“.
  • Usando alguna sintaxis específica de SQL que analiza el valor original del punto de entrada, y el valor también difiere, y busca diferencias legales en las respuestas de la aplicación resultante.
  • De acuerdo con condiciones booleanas como 1 = 1 o 1 = 2 y también buscando diferencias en las respuestas.
  • Pegar tráfico falso a la aplicación por retrasos de tiempo cuando se mezcla con un anuncio de consulta SQLi en busca de diferentes respuestas.
  • Pegar tráfico falso de OAST a la aplicación para acciones de red fuera de banda cuando se verifica con una consulta SQL y monitorea cualquier interacción.

Cómo prevenir la inyección de SQL

Hay formas sencillas de defenderse de los ataques SQLi. Son los siguientes: 

  • Examine las vulnerabilidades de SQLi comprobando su aplicación diariamente mediante pruebas dinámicas y de reposo estáticas.
  • Evite y repare la vulnerabilidad SQLi mediante el uso de consultas parametrizadas. Debe evitar las consultas falsas y reparar las vulnerabilidades en las que SQLi es débil mientras las aborda.
  • Rectifique las vulnerabilidades de SQLi en el sistema y aborde las entradas antes de que se agreguen a la consulta.
  • Disminuya el efecto de SQLi otorgando un privilegio mínimo a la base de datos. Cada base de datos de la aplicación debe tener diferentes contraseñas para mantenerla segura y confidencial.
  • El empleo de WAF es el mejor plan de defensa para ser atacado.
  • WAF también puede reducir el porcentaje de ataques de SQLi. WAF permite una respuesta rápida a la prevención de ataques SQLi y revela nuevas vulnerabilidades y amenazas de día cero.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *