Inyección SQL

Una inyección SQL es un intento de un atacante de introducir comandos SQL en un sitio web para manipular datos en el servidor. El objetivo suele ser robar datos, destruirlos o manipularlos con fines de fraude.

El método más común es introducir comandos SQL en un formulario web. Sin embargo, hay muchas otras formas de inyectar SQL en un servidor web, como agregar comandos a una URL, inyectarlos en una publicación HTTP o insertar comandos en una cookie del navegador que utiliza su sitio web.

Las inyecciones SQL han estado en la parte alta de cada lista de OWASP Top 10 durante más de 10 años. Muchas aplicaciones web utilizan bases de datos para el almacenamiento y la recuperación eficiente de datos. Esto significa que las bases de datos contienen muchos datos importantes y sensibles, como nombres de usuario, contraseñas, fechas de nacimiento, números de Seguridad Social y más.

Las aplicaciones web interactúan con la capa de base de datos utilizando consultas SQL. Por lo general, estas consultas se realizan mediante entradas en la página web, como una consulta de búsqueda. Sin embargo, una aplicación web mal diseñada puede aceptar cualquier tipo de consulta SQL en un cuadro de entrada destinado solo a aceptar un tipo específico de datos, por ejemplo, el nombre de pila del usuario. Los atacantes explotan esta vulnerabilidad ingresando consultas SQL en estos cuadros de entrada para recuperar o corromper los datos almacenados en la base de datos.

Existen diversas técnicas para limitar la capacidad de los atacantes de robar o corromper directamente sus datos. La mayoría de las técnicas están destinadas a minimizar la capacidad de los usuarios finales para proporcionar datos o comandos que puedan ser interpretados por su servidor web o base de datos. Es importante tener en cuenta que esta entrada puede provenir de diversas fuentes, incluidos envíos de formularios publicados, argumentos de URL y cookies del navegador.

A continuación se enumeran algunas de las técnicas más comunes para prevenir la inyección SQL.

• Desinfección. La protección más común es desinfectar todos los datos proporcionados por el usuario para eliminar las cadenas de caracteres que podrían ser ejecutadas como comandos SQL por el intérprete o pasadas directamente a una base de datos SQL. Por lo general, la sanitización consiste en reemplazar los comandos ejecutables que se encuentran dentro de los datos del usuario por caracteres alternativos no ejecutables.
• Filtrado y validación. Todos los datos proporcionados por los usuarios deben ser validados limitando el formato, la longitud y otros atributos de las entradas permitidas. Deberían filtrarse las apariciones de comandos SQL u otro código malicious.
• Evite los parámetros de URL inseguros. Evite usar argumentos de URL, como en un modelo relacional de objetos (ORM), que desencadenen operaciones en la base de datos. En su lugar, utilice una API segura para todo el acceso a la base de datos.
• Limitar el alcance de los comandos SQL. Utilice los comandos LIMIT dentro de las operaciones SQL para minimizar la divulgación de datos en caso de que una inyección SQL llegue a su base de datos.

Aunque las técnicas de codificación como las mencionadas anteriormente son importantes, una codificación cuidadosa no garantiza la protección. Las bibliotecas de software de terceros, los cambios de código posteriores por parte de otros desarrolladores y las técnicas de ofuscación recientemente descubiertas pueden dejar su sitio web expuesto a ataques de inyección SQL. Añadir una capa de protección automatizada con un Web Application Firewall puede garantizar que sus sitios web y aplicaciones web permanezcan protegidos.

El Barracuda Web Application Firewall protege sus aplicaciones y datos contra todo tipo de ataques de inyección SQL, utilizando potentes modelos de seguridad tanto positivos como negativos. Estas permiten identificar y bloquear tanto los ataques tradicionales como los ocultos de consultas a bases de datos, asegurando que solo se acepten las entradas permitidas en un campo dado.