La inyección SQL es una técnica de ataque que aprovecha vulnerabilidades en aplicaciones para ejecutar comandos SQL maliciosos, lo que puede permitir a un atacante obtener, modificar o eliminar datos en una base de datos. Las medidas para prevenir este tipo de ataques incluyen filtrar entradas de usuario, limitar privilegios de acceso y utilizar procedimientos almacenados. Es crucial establecer prácticas seguras de manejo de bases de datos para mitigar estos riesgos.

1. Profesor: José Fernando Castro Integrantes: Erika Berrun Martínez Nancy Yuridia Reyes Vargas Héctor Rebolledo Hernández Rodrigo García Valle Neyva Yazmín Barrera Trujillo Grupo: 1001 ING. EN TIC ´S

2. TEMA INYECCCION SQL

3. ¿QUE ES LA INYECCION SQL? Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación para realizar consultas a una base de datos. Es la técnica utilizada por personas maliciosas con el fin de alterar o atacar una aplicación a través de comandos SQL. La aplicación puede ser cualquier tipo de software que precise del uso de base de datos, o una aplicación web que interactúa con base de datos para funcionar.

4. ¿CÓMO ATACA LA INYECCIÓN SQL? Las inyecciones "inyecta" un código SQL malicioso para alterar el funcionamiento normal de las consultas SQL programadas. Al no haber seguridad, el código se ejecuta con consecuencias alarmantes. Con estas inyecciones se pueden obtener datos escondidos, eliminar o sobrescribir datos en la base de datos y hasta lograr ejecutar comandos peligrosos en la máquina donde está la base de datos.

5. EJEMPLO: Este código es de una aplicación Web Vulnerable y tiene como parámetro “nombreUsuario”, que contiene el nombre del usuario a consultar. El c ó digo SQL original y vulnerable es: consulta := " SELECT * FROM usuarios WHERE nombre = ' " + nombreUsuario + " '; " Si el operador escribe un nombre, por ejemplo “Erika", nada anormal suceder á , la aplicaci ó n generar í a una sentencia SQL similar a la siguiente, que es perfectamente correcta, en donde se seleccionar í an todos los registros con el nombre “Erika" en la base de datos: SELECT * FROM usuarios WHERE nombre = ‘ Erika ';

6. Pero si un operador malintencionado escribe como nombre de usuario a consultar: Erika '; DROP TABLE usuarios; SELECT * FROM datos WHERE nombre Erika ' Se generar í a la siguiente consulta SQL, (el color verde es lo que pretende el programador, el azul es el dato, y el rojo, el c ó digo SQL inyectado): SELECT * FROM usuarios WHERE nombre = ‘ Erika ';DROP TABLE usuarios;SELECT * FROM datos WHERE nombre Erika’ '; En la base de datos se ejecutar í a la consulta en el orden dado, se seleccionar í an todos los registros con el nombre ‘Erika', se borrar í a la tabla 'usuarios' y finalmente se seleccionar í a toda la tabla "datos", que no deber í a estar disponible para los usuarios web comunes. En resumen, podemos decir que con la Eyección SQL cualquier dato de la base de datos puede quedar disponible para ser le í do o modificado por un usuario malintencionado.

7. CARACTERÍSTICAS DE INYECCIÓN SQL Disponible para las plataformas: Windows, Unix y Linux. Soporta SSL Realiza la técnica de inyección ciega de SQL. Comparando las respuestas verdaderas y falsas de las páginas o de los resultados de las cookies y los retrardos de tiempo. Soporta los motores de bases de datos: Microsoft SQL Server, Oracle, MySQL, Sybase/Adaptive y DB2.

8. ¿COMO EVITAR INYECCIÓN SQL? Filtrando las entradas de los usuarios reemplazando la aparición de ‘ por ‘’ (dos comillas simples). Evitando que los usuarios puedan pasar caracteres como \ / “ ‘ o cualquier otro que se nos ocurra que puede causar problemas. Limitar al máximo los permisos del usuario que ejecuta estas sentencias para evitar posibles problemas. Por ejemplo utilizando un usuario distinto para las sentencias SELECT, DELETE, UPDATE . Trabajar con procedimientos almacenados. El modo en el que se pasan los parámetros a los procedimientos almacenados evita que la inyección SQL pueda ser usada.

9. BIBLIOGRAFIA http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL http://www.alegsa.com.ar/Dic/inyeccion%20sql.php http://informatica-practica.net/solocodigo/index.php/2007/09/05/inyeccion-sql-en-aplicaciones-web-i/ http://www.linux-party.com/modules.php?name=News&file=article&sid=3771 http://bad-robot.blogspot.com/2009/02/herramientas-para-automatizacion-de.html http://www.desarrolloweb.com/articulos/1373.php

10. CONCLUSIONES Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación para realizar consultas a una base de datos. Cuando el usuario se conecte sus privilegios deberán ser delimitados. se recomienda no conectar a ningún usuario anónimo como root. utilizar técnicas de cifrado de información para que en caso de ser extraída no sea manipulada con facilidad.