sql injection
Post on 24-Jul-2015
105 Views
Preview:
TRANSCRIPT
NIVEL DE ATAQUE
Nivel de Sistema Nivel de Aplicacion
INTRODUCCION
Las principales vulnerabilidades de este tipo de aplicaciones incluyen fallas de inyección de código o de archivos (SQL injection o system commands injection)
Las Aplicaciones Web que son vulnerables a SQL injection pueden permitir que un a atacante obtenga acceso completo a su base de datos, este tipo de ataques se manifiesta en los sistemas de base de datos introduciendo sentencias SQL
(inyección directa de comandos SQL o SQL injection) Técnica utilizada por personas maliciosas con el fin de alterar o atacar un sitio o servidor a través de comandos SQL.
Las inyecciones utilizan información de entrada del usuario combinado con comandos SQL para construir una consulta SQL maliciosa
Con estas inyecciones se pueden obtener datos escondidos, eliminar o sobrescribir datos en la base de datos y hasta lograr ejecutar comandos peligrosos en la máquina donde está la base de datos.
El objetivo de SQL Injection es introducir datos arbitrarios, mayormente en las consultas a la base de datos, Introduce una cadena que es finalmente ejecutada por la base de datos,
Tipos de SQL Injection Inyección Básica.
Conocimiento de la Base de Datos Realizar Consultas con una o mas
acciones La información de errores, herramienta
para realizar SQL Injection
Nombres: Ju'; drop table authors--
Apellidos:
La consulta quedara asi:
EJEMPLO DE SQL INJECTION BASICO
Inyección A través de Cookies:
La vulnerabilidad de la aplicacion Web esta cuando utiliza estos cookies para hacer consultas SQL.
Inyección a través de variables del Servidor:
El atacante puede falsificar estas variables y ponerla en el network header.
Inyección de Segundo Orden:
se introduce de manera indirecta un disparador a la base de datos
MECANISMOS DE INYECCION SQL
Identificación de parámetros inyectables
Descubrir tipo y versión de la base de datos
Determinar el esquema de la base de datos
Extraer datos, etc…
INYECCIÓN A CIEGAS (BLIND INJECTION)
Usuario: ' having 1=1--
This provokes the following error:
Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]Column 'users.id' is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause.
/process_login.asp, line 35
FORMAS DE CONSEGUIR INFORMACIÓN DE LA BASE DE
DATOSDato Erróneo
Objetivo del Atacante
Prepared Statements Magic Quotes MSQL Exception mysql_real_escape_string Permisos
METODOS PARA EVITAR LA
INYECCIÓN SQL
No todas las bases de datos ofrecen esta caracteristica
Evita la ejecucion multiple de ordenes(consultas)
Tambien separan los datos de la consulta
separan la sentencia SQL de los datos que vamos a usar.
PREPARED STATEMENTS
MSQL Exception.- function no permite realizar consultas múltiples en una sola llamada
Magic Quotes.- magic_quotes_gpc, provee de una protección rudimentaria, si está habilitado, magic_quotes_gpc o magiq Quotes inserta un barra (backSlash) delante de una comilla simple
MÉTODOS PARA EVITAR SQL INJECTION
mysql_real_escape_string:
Evita todos los caracteres especiales del parámetro $name argumento, teniendo en cuenta el juego de caracteres usado en la conexión, de forma que sea segura usarla con Mysql_query.
Permisos.- el usuario que accede a la base de datos usado por la aplicación web tiene solamente los permisos mínimos
Un administrador desactiva SHOW_ERRORS y SHOW_WARNINGS para evitar mostrar información
INYECCIÓN SQL EN MYSQL
SQLMap
Sistemas Multiagentes
SQLMap
Amnesia
HERRAMIENTAS DE DETECCION AUTOMATICA
SISTEMA MULTIAGENTE ORIENTADA A LA DETECCIÓN DE
ATAQUES BASADOS EN INYECCIÓN SQL.
Con esta herramienta se puede ejecutar comandos arbitrarios en el sistema operativo, y muchas tareas más.
O todo el volcado de las tablas/columnas, especifica el dbms, ejecuta su propio SQL SELECT, leer archivos específicos en el sistema de archivos y mucho mas.
SQLMAP
Desarrollado por la empresa NOSEC
Automatiza el análisis de seguridad, detección y ejecución de Inyección SQL.
Tiene una versión gratuita y una versión de paga.
PANGLIN
Investigadores del sitio de seguridad WEBSENSE detectaron un masivo ataque de tipo Inyeccion SQL
A mas de 380000 url’s y han bautizado este ataque con el nombre LizaMoon
Los Ataques por SQL Injection son realmente peligrosos, no únicamente por la capacidad de daño que conllevan, sino porque son vulnerabilidades que muchos programadores no corrigen a tiempo (ni se preocupan, a posteriori, de hacerlo).
"LA SEGURIDAD INFORMÁTICA NO ES UN PRODUCTO SINO UN PROCESO"
CONCLUSIONES/RECOMENDACIONES
top related