SQL Injection

La inyección de SQL es un tipo de exploits en el que el atacante aprovechando una vulnerabilidad del software “inyecta“ código de forma malintencionada dirigido a la base de datos de la aplicación web.

Consiste en introducir instrucciones de SQL (Structured Query Language en español lenguaje de consulta estructurada) -es un estándar que se emplea en la administración de base de datos- en los campos de entrada de datos de una aplicación web, para saber si la aplicación está programada para filtrar comandos o no.

Si el programador cometió el error de no filtrar comandos SQL en los campos de las variables, es posible, que el atacante introduzca comandos SQL directamente a la base de dato de la aplicación web. Esto le podría permitir a un atacante ingresar a la aplicación web sin autorización, como así también, a la base de datos y disponer de la totalidad de los datos

Estas vulnerabilidades generalmente se pueden encontrar en formularios web, consultas online, encuestas, suscripciones a servicios, sitios donde nos solicitan usuario y contraseña. Instalaciones estándar o por defecto con la cuenta administrador “SA” sin password. Desbordamiento de buffers.

Compartir este contenido en...Share on Facebook
Facebook
Tweet about this on Twitter
Twitter