Bueno esta es una mini serie que va paralela a la de los retos, en si para explicar como es un ataque de SQL INJECTION, parte numero 1,
primero que nada OWASP ( OPEN WEB APPLICATION SECURITY PROJECT) cataloga a la inyección, primera en su lista en los diez riesgos mas críticos en Aplicaciones Web.
un ataque por SQL INJECTION consiste en inyectar una consulta SQL por medio de los datos de entrada desde el cliente hacia la aplicación.
cuando este ataque es exitoso puede leer información sensible desde la base de datos, modificar información (insert/update/delete), ejecutar operaciones de administración sobre la base de datos, recuperar el contenido de un determinado archivo presente sobre el sistema de archivos del DBMS(sistema de gestion de base de datos) y en algunos casos emitir comandos al sistema operativo.
los ataques por SQL INJECTION permiten a los atacantes suplantar identidad, alterar datos existentes, causar problemas de repudio como anular transacciones o cambiar balances, permite la revelacion de todos los datos en el sistema, destruir los datos o si no volverlos inasequibles.
SQL INJECTION se ha convertido en un problema común con sitios web que cuentan con base de datos. la falla es fácilmente detectada y fácilmente explotada, y como tal, cualquier sitio o paquete de software con incluso una mínima base de usuario es propenso a ser objeto de un intento de ataque de este tipo.
PD: Proxima Parte Testing SQL INJECTION
No hay comentarios.:
Publicar un comentario