Inyección de SQL al ejército norteamericano

Inyección de SQL al ejército norteamericano

A partir de hoy este blog contará con la colaboración de noticias de seguridad escritas por Juan Carlos Alvarez Mesa – (GIAC Certified Intrusion Analyst) quién trabaja en Interlan; gracias a Juan Carlos y a Interlan por su colaboración para la construcción de conocimiento.

Recientemente un grupo de hackers con base en Turquía atacaron dos sitios del ejército norteamericano utilizando ataques de inyección de SQL.   Los hackers lograron desfigurar dos sitios web del ejército insertando además mensajes con propaganda anti-americana y anti-israelita.  (El artículo completo fue publicado en Information Week)   Los ataques de SQL se han incrementado últimamente  y las organizaciones no prestan la suficiente atención a este tema.   Empresas en Colombia ya han sufrido fuga de registros sensibles gracias a este tipo de ataques.

Como sucede un ataque de SQL inyection? Es fácil de lo que suena,  la mayoría de los aplicativos web tienen una base de datos atras y campos donde se captura la entrada de datos del usuario.   Si la aplicación no filtra adecuadamente los campos (user input),  una persona con conocimientos de SQL puede insertar caracteres de escape  (una simple comilla en SQL o — en Oracle ) y comandos con Querys para tener acceso a la información subyacente y también para ejecutar comandos con altos privilegios, porque normalmente la aplicación web estará corriendo con una cuenta debidamente autenticada en SQL y en muchas ocasiones con altos privilegios.

Como me puedo proteger? Es importante enseñar a los desarrolladores a escribir el código de manera cuidadosa no dejando campos des protegidos y fallas de programación que puedan ser explotadas facilmente.   Si tiene el tiempo suficiente puede explorar el sitio OWASP (Open Web Application Security Project) una comunidad orientada a mejorar la seguridad de las aplicaciones web donde se comparte información y recursos de manera gratuita. Incluso allí se listan una buena cantidad de tipos de ataques. También interesantes algunas charlas en español sobre el tema. Si las aplicaciones ya están desarrolladas y quiero verificar su seguridad puedo utilizar aplicaciones que escanean contra vulnerabilidades de este y otros estilos. Qualys tiene un módulo de Web Application Scanning que recorre una aplicación en busca de estas y muchas otras vulnerabilidades que los programadores pudieron haber introducido involuntariamente.  No sería mala idea antes de recibir a satisfacción un proyecto web,  correr un escaneo de vulnerabilidad.  InterLAN como distribuidor de Qualys puede suministrar este módulo de web application scanning. WAS con Qualys ver más...

Noticia original escrita por:

Juan Carlos Alvarez Mesa

(GIAC Certified Intrusion Analyst)

InterLAN

comment Sin comentarios aún

Puede ser el primero en dejar un comentario

mode_editDejar un comentario

Your e-mail address will not be published. Also other data will not be shared with third person. Required fields marked as *

menu
menu