Seguridad Informática para Empresas – Servicios de Ciberseguridad

SQL INJECTION

14 cibercrímenes más comunes

Marina Córdoba Poveda // 01 de noviembre de 2018

SQL CyberSecurity

PARTE 2

Los 14 cibercrímenes más comunes

Desde R3 Cybersecurity te hablaremos de los cibercrímenes más recurrentes a las que las organizaciones y usuarios se enfrentan y cómo pueden prevenirlas. Para ello, hemos recopilado los 14 ciberataques más frecuentes y de los cuáles debes estar al tanto para poder prevenirlos. Estos estarán divididos en dos partes, cada una compuesta por 7 ciberdelitos.  Podrás ver la publicación de dicho contenido todas las semanas.

Pasan los días y siguen saltando casos de robo de información tanto en PYMEs como en grandes empresas. British Airways, es la última víctima de los ciberdelincuentes que aprovechan las vulnerabilidades para lucrarse.

Por tal motivo, desde R3 CyberSecurity les ofrecemos otra entrega sobre los 14 ciberdelitos más comunes de Internet. Si no han leído la primera entrega que trataba sobre el Ramsomware les invito a leerlo. Para la entrega hoy, hablaremos del ataque SQL Injection o Inyección de SQL. El ataque más común para acceder a las bases de datos.

SQL

Para hablar de SQL en primer lugar debemos mencionar las bases de datos. Una base de datos es una aplicación independiente que almacena datos. Así que podemos decir que se trata de una colección de información organizada por campos, registros y archivos, de manera que se pueda seleccionar rápidamente los fragmentos de datos que se necesiten. 

El SQL (Structured Query Language) es un lenguaje de programación de acceso a bases de datos que capacita y facilita a los usuarios la gestión de los datos. A diferencia del resto de lenguajes este lenguaje no es difícil de leer y entender, incluso para usuarios inexpertos.

SQL INJECTION

¿Qué es?

EL Sql es un ataque que aprvecha una vulnerabilidad de validación de datos en la que se puede infiltrar código con el fin de acceder a una base de datos y poder extraer, modificar o eliminar información.

Este ataque se basa en la “inyección” de comandos SQL en los parámetros de entrada de una petición HTTP para conseguir exponer toda la base de datos de principio a fin.

Cabe mencionar que es uno de los ataques más comunes por la facilidad de ejecutarlo y la aparición de nuevos programas que lo realizan de manera automática mediante herramientas como SQLMap. Estos factores hacen que se incrementen exponencialmente con el tiempo. 

¿Qué tipos de ataques SQL injection hay?

Dentro del ataque podemos encontrar las siguientes variantes: 

 

SQL Injection: la web  arroja un error en un campo específico al introducir una comilla simple (‘). Esto permite que el atacante comenzar la modificación del código.

Blind SQL Injection: es un ataque a ciegas que se prduce cuando una web no muestra mensajes de error aunque no se reciban datos correctos a partir de una consulta. El atacante debe hacer pruebas hasta dar con el valor de los campos para poder actuar.  

¿CÓMO INFECTA?

SQL Injection

MEDIDAS DE PROTECCIÓN

 

Ante un ataque de este tipo es muy difícil saber si has sido atacado hasta que es demasiado tarde. Y solo podrás saberlo una vez que la base de datos sea modificada o robada.

Así que la mejor manera de evitar estos ataques es mediante la prevención. 

 Por ello, desde R3 CyberSecurity ofrecemos los siguientes consejos: 

Evitar los caracteres especiales al gestionar la base de datos de SQL. Evita utilizar caracteres comunes. En este lenguaje de programación suelen ser: (“/” o /x00) , ya que son los más usados.

Utiliza las comillas simples. Si utilizas las comillas simples para introducir el valor de una consulta, las instrucciones serán mucho más seguras. SELECT nombre FROM usuarios WHERE id_user = ‘$id’

Otorgar licencias mínimas al usuario. Es un consejo obvio pero nunca se debe utilizar un usuario root con acceso total a todas las bases de datos. Esto facilita mucho más el trabajo a los ciberdelincuentes.

Verificar los datos que introduce el usuario. Estos se pueden conseguir a través de funciones como ctype_digital() para número o ctype_alpha () para letras. Al igual que asegurar la longitud de de los datos.

Marina Córdoba Poveda | Marketing Digital Assistant en R3 CyberSecurity

Comparte el post con tus amigos

CON LA CONFIANZA DE

logos2

ÚNETE AL EQUIPO

Conoce todas las oportunidades profesionales que te permitirán alcanzar tus metas personales.

R3 Ciberseguridad

© R3 CyberSecurity