SQL Injection

La inyección de SQL (al igual que la inyección XML) es un tipo de exploits en el que el atacante aprovechando una vulnerabilidad de un programa “inyecta“ código de forma malintencionada dirigido a la base de datos de la aplicación web.

Consiste en introducir instrucciones de SQL (Structured Query Language en español lenguaje de consulta estructurada) -es un estándar que se emplea en la administración de base de datos- en los campos de entrada de datos de una aplicación web, para saber si la aplicación está programada para filtrar comandos o no.

Si el programador cometió el error de no filtrar comandos SQL en los campos de las variables, es posible, que el atacante introduzca comandos SQL directamente a la base de dato de la aplicación web. Esto le podría permitir a un atacante ingresar a la aplicación web sin autorización, como así también, a la base de datos y disponer de la totalidad de los datos

Estas vulnerabilidades generalmente se pueden encontrar en formularios web, consultas online, encuestas, suscripciones a servicios, sitios donde nos solicitan usuario y contraseña. Instalaciones estándar o por defecto con la cuenta administrador “SA” sin password. Desbordamiento de buffers.