Inyección SQL - Historial de revisiones

Carlos idict: Texto reemplazado: «
» por «»

2019-08-23T11:59:28Z

Texto reemplazado: «<div align="justify">» por «»

Yosbanyequipoprovincialgrm en 17:10 9 nov 2011

2011-11-09T17:10:58Z

Leydis jc.manzanillo4: /* Descripción */

2011-11-04T14:17:59Z

‎Descripción

Leydis jc.manzanillo4: /* Descripción */

2011-11-04T14:17:11Z

‎Descripción

Leydis jc.manzanillo4: /* Descripción */

2011-11-04T14:13:54Z

‎Descripción

Leydis jc.manzanillo4 en 14:12 4 nov 2011

2011-11-04T14:12:05Z

Yosbanyequipoprovincialgrm en 11:54 4 nov 2011

2011-11-04T11:54:05Z

Yosbanyequipoprovincialgrm: Página creada con '{{Ficha Software |nombre=Inyección SQL |familia= Base de Datos |imagen=Inyeccion_SQL.png }}
'''Inyección SQL''' es un mecanismo de infiltración de [[có...'

2011-11-03T21:12:13Z

Página creada con '{{Ficha Software |nombre=Inyección SQL |familia= Base de Datos |imagen=Inyeccion_SQL.png }} <div align="justify"> '''Inyección SQL''' es un mecanismo de infiltración de [[có...'

Yosbanyequipoprovincialgrm en 21:03 3 nov 2011

2011-11-03T21:03:37Z

Página nueva

{{Ficha Software
|nombre=Inyección SQL
|familia= Base de Datos
|imagen=Inyeccion_SQL.png
}}
<div align="justify">
'''Inyección SQL''' es un mecanismo de infiltración de [[código]] malicioso que se vale de una vulnerabilidad [[informática]] que contiene una aplicación en el nivel de validación de las entradas para ejecutar determinadas consultas en una base de datos.
El origen de la vulnerabilidad radica en el incorrecto chequeo y/o filtrado de las variables utilizadas en un programa que contiene, o bien genera, [[código SQL]].

==Descripción==
Se dice que existe o se produjo una inyección [[SQL]] cuando, de alguna manera, se inserta o "inyecta" código SQL invasor dentro del código [[SQL]] programado, con el fin de alterar las funcionalidades normales de la [[aplicación]] y lograr así que se ejecute el código "invasor" incrustado, en la [[base de datos]].

Este tipo de intrusión normalmente es de carácter malicioso, dañino o espía, por tanto es un problema de [[seguridad informática]], y debe ser tomado en cuenta por el [[programador]] de la [[aplicación]] para poder prevenirlo. Un [[programa]] elaborado con descuido o con ignorancia del problema, podrá resultar ser vulnerable, y la [[seguridad del sistema]] ([[base de datos]]) podrá quedar eventualmente comprometida. La intrusión ocurre durante la ejecución del [[programa]] vulnerable.

La vulnerabilidad se puede producir automáticamente cuando un programa "arma descuidadamente" una [[sentencia SQL]] en tiempo de ejecución, o bien durante la fase de desarrollo, cuando el programador explicita la sentencia [[SQL]] a ejecutar en forma desprotegida. En cualquier caso, siempre que el [[programador]] necesite y haga uso de parámetros a ingresar por parte del usuario, a efectos de consultar una [[base de datos]]; ya que, justamente, dentro de los parámetros es donde se puede incorporar el [[código SQL]] intruso.
Al ejecutarse la [[consulta]] en la [[base de datos]], el [[código SQL]] inyectado también se ejecutará y podría efectuar múltiples operaciones sobre la [[aplicación]], como insertar [[registros]], modificar o eliminar datos, autorizar accesos violando [[formularios]] de autenticación, e incluso, ejecutar otro tipo de [[código malicioso]] en la [[computadora]].

==Ejemplos==

'''Ej:1'''

Este ejemplo demuestra una posible violación de la entrada a un sistema sin conocer la contraseña.
//se reciben los datos
<source lang ="php">
$us=$_POST['usuario'];
$pass=$_POST['pass'];
//se construye la consulta (sin antes filtrar o limpiar los datos) esto es lo vulnerable
$sql="SELECT * FROM usuarios WHERE user = '$us' AND password='$pass'";
//…
if(mysql_fetch_array($exc)){
echo "Inicio de sesión correcto";
}
</source>
Este es el típico sistema de verificación de contraseñas.
Utiliza la instrucción '''mysql_fetch_array'''(funcion de mysql, que devuelve '''falso''' si no hay ningún resultado, en la 'querry', o petición), así que si no hay ningún resultado donde el usuario y el password coincidan, el resultado es '''false'''

'''¿Cómo hacer que devuelva ‘’’true’’’ y permita entrar entrar?'''
* Con el password correcto.
* Inyectando código malicioso.
Inyectando código… se haría algo así:

Esta es la petición que solo deja pasar si se conoce el password
<source lang ="sql">
SELECT * FROM usuarios WHERE user = '$us' AND password='$pass'
</source>
Ahora, ¿cómo se puede hacer que nos devuelva ‘’’true’’’ aunque no se conozca el password, sabiendo que solo se puede modificar $pass y $us?
Con un poco de creatividad:
En el formulario se introduce:
* de usuario: yosba
* de password: ' OR ''='
La sentencia SQL recibirá:
<source lang ="sql">
SELECT * FROM usuarios WHERE user = 'yosba' AND password='' OR ''=''
</source>
Devolverá '''true''', si hay algún resultado, y como NADA siempre es igual a NADA, devolverá ‘’’true’’’, y así se vurla la ignorancia del programador de este sistema y se entra sin credenciales.

'''Otros posibles valores que devuelven true son:'''
* usuario: yosba AND /* password: */ ''='
* usuario: ' OR 1=1 //

'''Ej:2'''

Existe un parámetro "nombreUsuario" que contiene el nombre de usuario a consultar, una inyección SQL se podría provocar de la siguiente forma:
El código SQL original y vulnerable es:
<source lang ="cpp">
consulta := "SELECT * FROM usuarios WHERE nombre = '" + nombreUsuario + "';"
</source>
Si se escribe un nombre, por ejemplo "Jorge", nada anormal sucederá, la aplicación generaría una sentencia SQL similar a la siguiente, que es perfectamente correcta, donde se seleccionarían todos los registros con el nombre "Jorge" en la base de datos:
<source lang ="sql">
SELECT * FROM usuarios WHERE nombre = 'Jorge';
</source>
Pero si un intruso escribe como nombre de usuario a consultar:
<source lang ="sql">
Jorge'; DROP TABLE usuarios; SELECT * FROM datos WHERE nombre LIKE '%
</source>
Se generaría la siguiente consulta SQL:
<source lang ="sql">
SELECT * FROM usuarios WHERE nombre = 'Alicia';
DROP TABLE usuarios;
SELECT * FROM datos WHERE nombre LIKE '%';
</source>
En la base de datos se ejecutaría la consulta en el orden dado, se seleccionarían todos los registros con el nombre 'Jorge', se borraría la tabla 'usuarios' y finalmente se seleccionaría toda la tabla "datos", que no debería estar disponible para los usuarios web comunes.
En resumen, cualquier dato de la base de datos puede quedar disponible para ser leído o modificado por un usuario malintencionado.

'''Ej:3'''
Cuando se reciben parámetros por el método ‘’’GET_[]’’’ y no se filtran correctamente las variables:
En este caso se le pasa al archivo uno.php el parámetro id con valor 4 para ser seleccionado ese registro:
<a href="uno.php?id=4">Noticia 4</a>
...
<source lang ="sql">
$result = mysql_query("SELECT * FROM UNATABLA WHERE id=".$_GET['id']);
$row = mysql_fetch_row($result); </source>

...
Esto sería vulnerable, de manera que si alguien conociendo el nombre de una tabla hace algo así:
<source lang ="html4strict">
http://tusitio.cu/uno.php?id=1%20UNION%20DROP%20TABLE%20UNATABLA
</source>
¿Qué pasaría en realidad?:
Se ejecutaría la siguiente consulta:
<source lang ="sql">
“SELECT * FROM UNATABLA WHERE id=1 UNION DROP TABLE UNATABLA”
</source>
donde primero selecciona un registro y luego elimina la tabla completa.

==Formas de evitar los ataques por inyección SQL.==
'''Importante:''' Qué se hacer para evitar estos errores?
La inyección SQL es fácil de evitar, por parte del programador, en la mayoría de los lenguajes de programación que permiten desarrollar aplicaciones web. Es muy recomendable siempre validar correctamente los datos evitando que los usuarios puedan entrar caracteres como \ / “ ‘ o cualquier otros que no se correspondan con los datos que se piden.
'''Ej:1'''
En el lenguaje PHP, hay diferentes funciones que pueden contrarestar ataques mediante inyección SQL. Para MySQL, la función a usar es '''mysql_real_escape_string''':
<source lang ="php">
$query_result = mysql_query("SELECT * FROM usuarios WHERE nombre = \"" . mysql_real_escape_string($nombre_usuario) . "\"");
</source>
Tanbién con '''str_replace("x","'",$var)'''
También con $var=htmlentities(addslashes($var));// Por cada var, aunque por defecto el addslashes está implícito en la config de PHP.

'''Ej:2'''
Encriptando las passwords:
<source lang ="php">
$user=$_POST["user"];
$pass=$_POST["pass"];

//…

$pass=md5($pass); // La encriptamos.
$sql = "SELECT * FROM usuarios WHERE usuario='$user' AND contra='$pass'";
</source>

Suponiendo que en la Base de Datos esté almacenada la password encriptada; antes de colocar el parámetro pass en la consulta la encriptamos, de manera que si un malintencionado entrara un ‘ OR ‘’=’ el parámetro pass sería ‘ OR ‘’=’ pero al encriptarla sería como d20da3888278ec814f6a837f260b60df, entonces la consulta generada sería como:
<source lang ="sql">
SELECT * FROM usuarios WHERE usuario='yosba' AND contra='d20da3888278ec814f6a837f260b60df'
</source>
Y no lo que pretendía el intruso:
<source lang ="sql">
SELECT usuario, contra, tipo FROM usuarios WHERE usuario='yosba' AND contra='’ OR ‘’=’' </source>

== Fuentes ==
*[http://www.unixwiz.net/techtips/sql-injection.html Inyección SQL]
*[http://www.forosdelweb.com/f18/ejemplos-inyeccion-sql-314674/ Ejemplos de Inyección SQL]
*[http://www.maestrosdelweb.com/editorial/inyecsql/ Inyección SQL]
*[http://www.solingest.com/blog/sql-injection-en-sql-server Inyección SQL en SQL Server]
[[Category:Bases_de_datos]]

@@ Línea 3: / Línea 3: @@
 |familia= Base de Datos
 |imagen=Inyeccion_SQL.png
-}}<div align="justify">
+}}
 '''Inyección SQL''' es un mecanismo de infiltración de código malicioso que se vale de una vulnerabilidad [[informática]] que contiene una aplicación en el nivel de validación de las entradas para ejecutar determinadas consultas en una [[base de datos]].
 El origen de la vulnerabilidad radica en el incorrecto chequeo y/o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código [[SQL]].

@@ Línea 13: / Línea 13: @@
 La vulnerabilidad se puede producir automáticamente cuando un programa "arma descuidadamente" una sentencia [[SQL]] en tiempo de ejecución, o bien durante la fase de desarrollo, cuando el programador explicita la sentencia [[SQL]] a ejecutar en forma desprotegida. En cualquier caso, siempre que el [[programador]] necesite y haga uso de parámetros a ingresar por parte del usuario, a efectos de consultar una [[base de datos]]; ya que, justamente, dentro de los parámetros es donde se puede incorporar el código SQL intruso.
-Al ejecutarse la [[consulta]] en la [[base de datos]], el código SQL inyectado también se ejecutará y podría efectuar múltiples operaciones sobre la aplicación, como insertar registros, modificar o eliminar datos, autorizar accesos violando formularios de autenticación, e incluso, ejecutar otro tipo de código malicioso en la [[computadora]].
+Al ejecutarse la consulta en la [[base de datos]], el código SQL inyectado también se ejecutará y podría efectuar múltiples operaciones sobre la aplicación, como insertar registros, modificar o eliminar datos, autorizar accesos violando formularios de autenticación, e incluso, ejecutar otro tipo de código malicioso en la [[computadora]].
 ==Ejemplos==

@@ Línea 12: / Línea 12: @@
 Este tipo de intrusión normalmente es de carácter malicioso, dañino o espía, por tanto es un problema de seguridad informática, y debe ser tomado en cuenta por el [[programador]] de la aplicación para poder prevenirlo. Un programa elaborado con descuido o con ignorancia del problema, podrá resultar ser vulnerable, y la seguridad del sistema ([[base de datos]]) podrá quedar eventualmente comprometida. La intrusión ocurre durante la ejecución del programa vulnerable.
-La vulnerabilidad se puede producir automáticamente cuando un programa "arma descuidadamente" una sentencia [[SQL]] en tiempo de ejecución, o bien durante la fase de desarrollo, cuando el programador explicita la sentencia [[SQL]] a ejecutar en forma desprotegida. En cualquier caso, siempre que el [[programador]] necesite y haga uso de parámetros a ingresar por parte del usuario, a efectos de consultar una [[base de datos]]; ya que, justamente, dentro de los parámetros es donde se puede incorporar el [[código SQL]] intruso.
+La vulnerabilidad se puede producir automáticamente cuando un programa "arma descuidadamente" una sentencia [[SQL]] en tiempo de ejecución, o bien durante la fase de desarrollo, cuando el programador explicita la sentencia [[SQL]] a ejecutar en forma desprotegida. En cualquier caso, siempre que el [[programador]] necesite y haga uso de parámetros a ingresar por parte del usuario, a efectos de consultar una [[base de datos]]; ya que, justamente, dentro de los parámetros es donde se puede incorporar el código SQL intruso.
-Al ejecutarse la [[consulta]] en la [[base de datos]], el [[código SQL]] inyectado también se ejecutará y podría efectuar múltiples operaciones sobre la [[aplicación]], como insertar registros, modificar o eliminar datos, autorizar accesos violando formularios de autenticación, e incluso, ejecutar otro tipo de código malicioso en la [[computadora]].
+Al ejecutarse la [[consulta]] en la [[base de datos]], el código SQL inyectado también se ejecutará y podría efectuar múltiples operaciones sobre la aplicación, como insertar registros, modificar o eliminar datos, autorizar accesos violando formularios de autenticación, e incluso, ejecutar otro tipo de código malicioso en la [[computadora]].
 ==Ejemplos==

@@ Línea 10: / Línea 10: @@
 Se dice que existe o se produjo una inyección [[SQL]] cuando, de alguna manera, se inserta o "inyecta" código SQL invasor dentro del código [[SQL]] programado, con el fin de alterar las funcionalidades normales de la aplicación y lograr así que se ejecute el código "invasor" incrustado, en la [[base de datos]].
-Este tipo de intrusión normalmente es de carácter malicioso, dañino o espía, por tanto es un problema de [[seguridad informática]], y debe ser tomado en cuenta por el [[programador]] de la [[aplicación]] para poder prevenirlo. Un [[programa]] elaborado con descuido o con ignorancia del problema, podrá resultar ser vulnerable, y la [[seguridad del sistema]] ([[base de datos]]) podrá quedar eventualmente comprometida. La intrusión ocurre durante la ejecución del [[programa]] vulnerable.
+Este tipo de intrusión normalmente es de carácter malicioso, dañino o espía, por tanto es un problema de seguridad informática, y debe ser tomado en cuenta por el [[programador]] de la aplicación para poder prevenirlo. Un programa elaborado con descuido o con ignorancia del problema, podrá resultar ser vulnerable, y la seguridad del sistema ([[base de datos]]) podrá quedar eventualmente comprometida. La intrusión ocurre durante la ejecución del programa vulnerable.
-La vulnerabilidad se puede producir automáticamente cuando un programa "arma descuidadamente" una [[sentencia SQL]] en tiempo de ejecución, o bien durante la fase de desarrollo, cuando el programador explicita la sentencia [[SQL]] a ejecutar en forma desprotegida. En cualquier caso, siempre que el [[programador]] necesite y haga uso de parámetros a ingresar por parte del usuario, a efectos de consultar una [[base de datos]]; ya que, justamente, dentro de los parámetros es donde se puede incorporar el [[código SQL]] intruso.
+La vulnerabilidad se puede producir automáticamente cuando un programa "arma descuidadamente" una sentencia [[SQL]] en tiempo de ejecución, o bien durante la fase de desarrollo, cuando el programador explicita la sentencia [[SQL]] a ejecutar en forma desprotegida. En cualquier caso, siempre que el [[programador]] necesite y haga uso de parámetros a ingresar por parte del usuario, a efectos de consultar una [[base de datos]]; ya que, justamente, dentro de los parámetros es donde se puede incorporar el [[código SQL]] intruso.
 Al ejecutarse la [[consulta]] en la [[base de datos]], el [[código SQL]] inyectado también se ejecutará y podría efectuar múltiples operaciones sobre la [[aplicación]], como insertar registros, modificar o eliminar datos, autorizar accesos violando formularios de autenticación, e incluso, ejecutar otro tipo de código malicioso en la [[computadora]].
-−
 ==Ejemplos==

@@ Línea 104: / Línea 104: @@
 ==Formas de evitar los ataques por inyección SQL.==
-'''Importante:''' Qué se hacer para evitar estos errores?
+'''Importante:''' Qué hacer para evitar estos errores?
 La inyección SQL es fácil de evitar, por parte del programador, en la mayoría de los lenguajes de programación que permiten desarrollar aplicaciones web. Es muy recomendable siempre validar correctamente los datos evitando que los usuarios puedan entrar caracteres como \ / “ ‘ o cualquier otros que no se correspondan con los datos que se piden.
 '''Ej:1'''

@@ Línea 36: / Línea 36: @@
 Utiliza la instrucción '''mysql_fetch_array'''(funcion de mysql, que devuelve '''falso''' si no hay ningún resultado, en la 'querry', o petición), así que si no hay ningún resultado donde el usuario y el password coincidan, el resultado es '''false'''
-'''¿Cómo hacer que devuelva ‘’’true’’’ y permita entrar entrar?'''
+'''¿Cómo hacer que devuelva ‘’’true’’’ y permita entrar?'''
 *  Con el password correcto.
 *  Inyectando código malicioso.
@@ Línea 139: / Línea 139: @@
 *[http://www.unixwiz.net/techtips/sql-injection.html Inyección SQL]
 *[http://www.forosdelweb.com/f18/ejemplos-inyeccion-sql-314674/ Ejemplos de Inyección SQL]
-*[http://www.maestrosdelweb.com/editorial/inyecsql/ ]
+*[http://www.maestrosdelweb.com/editorial/inyecsql/ Inyección SQL]
 *[http://www.solingest.com/blog/sql-injection-en-sql-server Inyección SQL en SQL Server]
 [[Category:Bases_de_datos]]

Inyección SQL - Historial de revisiones

Carlos idict: Texto reemplazado: «» por «»

Yosbanyequipoprovincialgrm en 17:10 9 nov 2011

Leydis jc.manzanillo4: /* Descripción */

Leydis jc.manzanillo4: /* Descripción */

Leydis jc.manzanillo4: /* Descripción */

Leydis jc.manzanillo4 en 14:12 4 nov 2011

Yosbanyequipoprovincialgrm en 11:54 4 nov 2011

Yosbanyequipoprovincialgrm: Página creada con '{{Ficha Software |nombre=Inyección SQL |familia= Base de Datos |imagen=Inyeccion_SQL.png }} '''Inyección SQL''' es un mecanismo de infiltración de [[có...'

Yosbanyequipoprovincialgrm en 21:03 3 nov 2011

Carlos idict: Texto reemplazado: «
» por «»

Yosbanyequipoprovincialgrm: Página creada con '{{Ficha Software |nombre=Inyección SQL |familia= Base de Datos |imagen=Inyeccion_SQL.png }}
'''Inyección SQL''' es un mecanismo de infiltración de [[có...'