Want to create interactive content? It’s easy in Genially!

Get started free

Tipos de inyección SQL

Ronny Beltran

Created on December 10, 2022

Start designing with a free template

Discover more than 1500 professional designs like these:

Sport Vibrant Timeline

Education Timeline

Decades Infographic

Comparative Timeline

Square Timeline Diagram

Timeline Diagram

Timeline Diagram 3

Explore all templates

Transcript

Inyección SQL

¿Que es?

Inyección SQL In-Band

Es un ciberataque web que permite ejecutar comandos en lenguaje SQL, que sirve para extraer, modificar, añadir y eliminar información de una base de datos. La finalidad de estos ataques es la de comprometer los servidores que los ciberdelincuentes tienen como objetivo y disponer de ellos con otros fines.

Blind SQL Injection

Inyección SQL basado en error

Inyección SQL a ciegas

Info

Elton Ronaldo Carmona Beltran

Tipos de inyección SQL

Conocer información de la base de datos, sin ver ningún resultado de la consulta impreso en la pantalla del sitio web. Los resultados se infieren a partir de pruebas de verdadero o falso.

Permite obtener información de la base de datos de la aplicación web, por medio de mismo canal que se utiliza para explotarla, es decir, muestra los resultados de la consulta (maliciosa).

Blind SQL Injection

Inyección SQL basado en error

No existen mensajes de error ante una posible inyección o los mismos han sido alterados por el desarrollador.No es posible visualizar los datos de las consultas en la página web.El atacante intenta inyectar consultas que arrojen un valor verdadero.

Inyección SQL a ciegas

Extraer información de la base de datos, por medio de errores inducidos a propósito por un cliente. En ocasiones, estos errores revelan información de la página.

Inyección SQL In-Band

Info

Recomendaciones para evitar vulnerabilidad

Validar la entrada del usuario mediante una lista de admisión para evitar que se envíen datos no deseados a la base de datos.

Limitar los privilegios del administrador de la base de datos, especialmente para las cuentas de aplicación.

Mostrar sólo mensajes de error genéricos a los usuarios (los hackers pueden obtener mucha información de los mensajes de error específicos relacionados con las consultas fallidas).

Usar declaraciones prediseñadas, consultas parametrizadas o procedimientos almacenados para garantizar que los elementos SQL en los campos de entrada del usuario nunca se traten como consultas genuinas.

Info