SQL Injection

---

Una inyección SQL es un tipo de vulnerabilidad de seguridad web que permite a los atacantes manipular consultas a bases de datos, accediendo a datos que normalmente no deberían ser accesibles. Los atacantes insertan código SQL malicioso en campos de entrada de formularios o parámetros de URL para ejecutar comandos no autorizados en la base de datos. Esto puede llevar a la exposición de información sensible, modificación o eliminación de datos, e incluso al compromiso del servidor.

¿Cómo funciona una inyección SQL?

1. Vulnerabilidad:

La vulnerabilidad surge cuando una aplicación web no valida o no filtra adecuadamente la entrada del usuario, permitiendo que código SQL malicioso se inserte en las consultas.

2. Inyección:

El atacante envía una solicitud con código SQL malicioso, por ejemplo, en un campo de nombre de usuario o contraseña, o en un parámetro de URL.

3. Ejecución:

La aplicación web, al no detectar el código malicioso, lo ejecuta junto con la consulta legítima, permitiendo al atacante manipular o acceder a la base de datos.

Tipos de ataques de inyección SQL:

En banda:

El atacante recibe la información del ataque a través del mismo canal que utiliza para enviar la consulta (ej: a través de la respuesta HTTP).

Fuera de banda:

El atacante utiliza un canal diferente para recibir la información, como el envío de datos a un servidor controlado por el atacante.

Basado en errores:

El atacante explota los mensajes de error de la base de datos para obtener información sobre la estructura de la base de datos.

Basado en unión:

El atacante utiliza el operador SQL UNION para combinar resultados de diferentes consultas y extraer información.

Ejemplos de ataques:

• Robo de datos:
  Un atacante puede extraer nombres de usuario, contraseñas, información de tarjetas de crédito, etc.
• Modificación de datos:
  Un atacante puede cambiar datos en la base de datos, como modificar el saldo de una cuenta bancaria.
• Eliminación de datos:
  Un atacante puede eliminar datos importantes de la base de datos.
• Ejecución de comandos:
  En casos más graves, un atacante puede ejecutar comandos a nivel de sistema operativo, tomando control total del servidor.

Prevención de inyecciones SQL:

1. Sentencias preparadas:
   Utilizar sentencias preparadas con parámetros evita que la aplicación interprete la entrada del usuario como código SQL.
2. Validación de entrada:
   Validar rigurosamente la entrada del usuario, verificando tipos de datos y longitudes, para evitar la inserción de código malicioso.
3. Acceso de mínimo privilegio:
   Limitar los permisos de acceso de la aplicación a la base de datos, para que solo pueda acceder a los datos necesarios.
4. Uso de ORM:
   Utilizar ORMs (Object-Relational Mapping) que sanitizan automáticamente la entrada del usuario.
5. Actualizaciones de software:
   Mantener el software de la base de datos y la aplicación web actualizados para corregir vulnerabilidades conocidas.
6. Auditorías de seguridad:
   Realizar auditorías de seguridad periódicas para identificar y corregir vulnerabilidades.