¿Qué es la inyección SQL?

que es la inyección sql

La inyecciónSQL es un método e infiltración de código intruso basado en unavulnerabilidad informática que se encuentra presente en una aplicación abstraídaen la validación de entradas que permite efectuar operaciones respecto a unabase de datos.

Tabla de contenido

    ¿Dónde se origina la inyección SQL?

    El origen de la vulnerabilidad está focalizadoen un infiltrado de las variables que son usadas en un programa que se encargade generar un código SQL. Estavulnerabilidad es muy común en cualquier script o lenguaje de programación quese encuentre embebido dentro del resto.

    Se considera que hay una inyección SQL, enel momento que, de cierta forma, se inyecta el código SQL invasor en el códigoSQL programado, con el objetivo de alterar el funcionamiento óptimo del programa,logrando así que pueda ejecutarse el código invasor que ha sido incrustado enla base de datos.

    Esta instrucción posee un caráctermalicioso, con una base espía o dañina, por eso tiende a catalogarse como unproblema del ámbito informático, y tiene que ser estudiado por el programadorde la aplicación para que logre prevenirlo. Los programas elaborados condisplicencia, descuido, o bien, con ignorancia del problema, terminarían siendovulnerables y su base de datos estará comprometida.

    La intrusión tiende aparecer en laejecución de un programa vulnerable, invariablemente si es sitios webs o en computadoresde escritorio, en el primer caso se ejecuta en el servidor donde es alojado.

    La vulnerabilidad tiende a producirsecuando el programa, de forma descuidada, termina armando una sentencia SQL dentro de un tiempo de ejecución,o bien, en la fase del desarrollo, que es el momento en el que el programadortermina explicitando la sentencia SQL a ejecutarse de manera desprotegida.

    Cuando se ejecuta la consulta en la base dedatos, el código SQL que se inyecta también se ejecutará, logrando realizar unagran variabilidad de cosas, tales como eliminar datos, modificar e insertarregistros, además de autorizar o ejecutar cualquier tipo de código malicioso enel ordenador.

    La estructurade una SQL típica es:  SELECT[Columnas] FROM [Tabla] WHERE [Condiciones]

    En primer lugar, se tienden a seleccionarlas columnas que se desea mostrar, después de proceder a indicar la BBDD y latabla de la cual deseamos obtener las columnas, siendo, por último, lascondiciones que permiten filtrar dichos datos.

    En el momento que se realizan lasconsultas, se enfocan en un usuario de BBDD que tendrá distintos permisos.

    Es fundamental recordar que, los motores deBBDD poseen sus propias tablas que le facilitan el almacenamiento de metadatos,por ejemplo, qué tablas tiene cada BBDD, tipo y columnas de cada una focalizadaen las bases de datos existentes.

    Se debe mantener presente que, en elmomento que se hace una SQL injection,se efectuará con los permisos que disponga el usuario ejecutable.

    Hay diferentes tipos de ataques de SQLinjection, considerando la forma en que se consiga inyectar y modificar lasvariables a consultar, de forma que se obtengan los datos deseados: SQL Injection(Mediante UNION), Stack-Queries, Heavy-Queries SQL Injection, Time-Base SQLInjection, Boolean-Base SQL Injection, Bypass de un login mediante SQLInjection, etc.

    ¿Qué es el Blind SQL Injection?

    El BlindSQl Injection, o bien, ataque a ciegas por inyección SQL, es una de lastécnicas de ataque que son usadas en la inyección SQL. Han quedado en evidenciacuando una página web, por motivos de fallos en seguridad, no muestran mensajesde error al momento que no se producen los resultados adecuados frente a una consultaen la base de datos, llegando a facilitar siempre el contenido exacto. En pocaspalabras, sólo existe respuesta si el resultado es correcto.

    No cabe duda de que los ataques XSS son peligrosos, ya que puede provocarse un robo de sesión, sin embargo, los SQLi lo son aún más ya que permiten tener acceso y manipular la BBDD. Es ideal que se modifiquen las consultas donde se hace aplicación a la base de datos, de modo que se pueda aprovechar las entradas de usuario a la app.

    Tal vez te interese: https://ihackear.com/que-es-el-vpn-y-como-funciona/

    Artículos que te pueden interesar

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir