Inyección SQL: El riesgo más crítico en Aplicaciones Web.


Una base de datos por dentro. MySQL Workbench

Existen muchas formas de atacar un servidor o aplicación web vulnerables. Una ocupa habitualmente la primera posición en el Top Ten de OWASP. Nos referimos a la técnica de inyección; sobre todo la de código SQL.

SQL significa Lenguaje estructurado de consultas. Es un estándar que se aplica a diversos motores de bases de datos relacionales.

Tiene infinidad de ventajas y funcionalidades para poder trabajar con inmensas bases de datos y sacarles todo el partido, realizando consultas en que crucemos gran cantidad de información hasta llegar al dato deseado. Lo hemos visto muchas veces en películas y series policiacas y de espionaje.

Aunque este aspecto está muy exagerado en cine y TV, imaginemos que en una investigación por un delito, necesitamos encontrar a un varon entre 25 y 35 años, con grupo sanguíneo A+ y que conduce un coche cuya matrícula empieza por 17 y acaba en VG. Con consultas SQL en las bases de datos adecuadas se podría llegar a una lista más o menos extensa de sospechosos.


En el video se comenta sobre el histórico ataque de Anonymous a HB Gary y se muestra el famoso servidor de entrenamiento de vulnerabilidades DVWA.

Los que quieran profundizar un poco sobre esta máquina virtual de hacking pueden consultar la entrada correspondiente al Curso de Hacking  Ético de la Universidad de Mondragón.

La inyección SQL puede resultar tremendamente destructiva. Hemos visto en Youtube adueñarse del servidor web de una compañía aérea o asaltar la base de datos de alguna de las Fuerzas de Seguridad del Estado.

El hacktivista PhineasFisher realizaba en YouTube un ataque en directo con herramientas de inyección SQL (en concreto Sqlmap dentro de Kali Linux); que exponía una base de datos de los Mossos d'Escuadra, en menos de una hora.

El mencionado hacktivista (singular o plural) pirateo a dos importantes empresas que vendian troyanos a gobiernos para espiar a sus ciudadanos. Sí, tambien a regímenes no democráticos que encontraron la herramienta precisa para arremeter contra la disidencia política.

Bien como futuros desarrolladores e implementadores de bases de datos, bien como pentesters, la inyección SQL es una aspecto técnico fundamental a valorar.


'or '1'='1

Comentarios

Entradas populares