¿Qué es la inyección SQL?

que es la inyección sql

La inyección SQL es un método e infiltración de código intruso basado en una vulnerabilidad informática que se encuentra presente en una aplicación abstraída en la validación de entradas que permite efectuar operaciones respecto a una base de datos.

¿Dónde se origina la inyección SQL?

El origen de la vulnerabilidad está focalizado en un infiltrado de las variables que son usadas en un programa que se encarga de generar un código SQL. Esta vulnerabilidad es muy común en cualquier script o lenguaje de programación que se encuentre embebido dentro del resto.

Se considera que hay una inyección SQL, en el momento que, de cierta forma, se inyecta el código SQL invasor en el código SQL programado, con el objetivo de alterar el funcionamiento óptimo del programa, logrando así que pueda ejecutarse el código invasor que ha sido incrustado en la base de datos.

Esta instrucción posee un carácter malicioso, con una base espía o dañina, por eso tiende a catalogarse como un problema del ámbito informático, y tiene que ser estudiado por el programador de la aplicación para que logre prevenirlo. Los programas elaborados con displicencia, descuido, o bien, con ignorancia del problema, terminarían siendo vulnerables y su base de datos estará comprometida.

La intrusión tiende aparecer en la ejecución de un programa vulnerable, invariablemente si es sitios webs o en computadores de escritorio, en el primer caso se ejecuta en el servidor donde es alojado.

La vulnerabilidad tiende a producirse cuando el programa, de forma descuidada, termina armando una sentencia SQL dentro de un tiempo de ejecución, o bien, en la fase del desarrollo, que es el momento en el que el programador termina explicitando la sentencia SQL a ejecutarse de manera desprotegida.

Cuando se ejecuta la consulta en la base de datos, el código SQL que se inyecta también se ejecutará, logrando realizar una gran variabilidad de cosas, tales como eliminar datos, modificar e insertar registros, además de autorizar o ejecutar cualquier tipo de código malicioso en el ordenador.

La estructura de una SQL típica es:  SELECT [Columnas] FROM [Tabla] WHERE [Condiciones]

En primer lugar, se tienden a seleccionar las columnas que se desea mostrar, después de proceder a indicar la BBDD y la tabla de la cual deseamos obtener las columnas, siendo, por último, las condiciones que permiten filtrar dichos datos.

En el momento que se realizan las consultas, se enfocan en un usuario de BBDD que tendrá distintos permisos.

Es fundamental recordar que, los motores de BBDD poseen sus propias tablas que le facilitan el almacenamiento de metadatos, por ejemplo, qué tablas tiene cada BBDD, tipo y columnas de cada una focalizada en las bases de datos existentes.

Se debe mantener presente que, en el momento que se hace una SQL injection, se efectuará con los permisos que disponga el usuario ejecutable.

Hay diferentes tipos de ataques de SQL injection, considerando la forma en que se consiga inyectar y modificar las variables a consultar, de forma que se obtengan los datos deseados: SQL Injection (Mediante UNION), Stack-Queries, Heavy-Queries SQL Injection, Time-Base SQL Injection, Boolean-Base SQL Injection, Bypass de un login mediante SQL Injection, etc.

¿Qué es el Blind SQL Injection?

El Blind SQl Injection, o bien, ataque a ciegas por inyección SQL, es una de las técnicas de ataque que son usadas en la inyección SQL. Han quedado en evidencia cuando una página web, por motivos de fallos en seguridad, no muestran mensajes de error al momento que no se producen los resultados adecuados frente a una consulta en la base de datos, llegando a facilitar siempre el contenido exacto. En pocas palabras, sólo existe respuesta si el resultado es correcto.

No cabe duda de que los ataques XSS son peligrosos, ya que puede provocarse un robo de sesión, sin embargo, los SQLi lo son aún más ya que permiten tener acceso y manipular la BBDD. Es ideal que se modifiquen las consultas donde se hace aplicación a la base de datos, de modo que se pueda aprovechar las entradas de usuario a la app.

Tal vez te interese: https://ihackear.com/que-es-el-vpn-y-como-funciona/

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir