Los ciberdelicuentes tienen muchas formas de atacar los sistemas de las empresas, pero sin duda, una de las más populares son los ataques de inyección SQL. De acuerdo a Akistmet, en el 2019, este tipo de vulnerabilidad a la aplicaciones web representaban el 65.1% del total de infecciones a las empresas.
De acuerdo a OWASP, un ataque de inyección SQL se define como una inserción o «inyección» de una consulta SQL a través de los datos de entrada del cliente a la aplicación.
Las aplicaciones brindan conexiones hacia la base de datos de la compañia. Dichas aplicaciones reciben información de los usuarios para realizar consultas a través de los parámetros que se presentan al usuario. De esta manera, se ofrece el servicio al cliente a través de internet usando computadoras, tablets, celulares, etc.
Los parámetros del aplicativo forman parte de una instrucción SQL que llega al gestor de la base de datos y procesa la consulta para devolver el resultado al usuario. Normalmente un usuario ingresa la información que se le solicita en el parámetro, pero los ciberdelicuentes pueden ingresar consultas SQL extendidas para obtener información adicional.
F5, por ejemplo, ofrece inspección hasta capa7 en la información devuelta al cliente para asegurar que toda información sensible permanezca en resguardo por la compañía.
¿Por qué los ciberdelicuentes utilizan el SQL inyección?
Para realizar un ataque de inyección SQL, un ciberdelicuentes debe localizar una entrada vulnerable en una aplicación o página web. Cuando una aplicación o página web contiene una vulnerabilidad de inyección SQL, utiliza la entrada del usuario en forma de consulta SQL directamente. El ciberdelicuente puede ejecutar un comando SQL específicamente elaborado como una intrusión cibernética maliciosa. Entonces, aprovechando el código malicioso, un ciberdelicuente puede adquirir una respuesta que proporcione una idea clara sobre la construcción de la base de datos y, por lo tanto, el acceso a toda la información de la base de datos.
Los ciberdelicuentes explotan este tipo de vulnerabilidades, pues es común que muchas aplicaciones utilicen SQL para sus bases de datos. Es información sensible para muchas empresas que pueden obtener “fácilmente” sin la necesidad de meter malware u otro proceso más complejo.
Impacto de los ataques de inyección SQL
¿Qué buscan los ciberdelicuentes? Depende de la información que obtenga cada aplicación, pero si el el ataque es exitoso, los ciberdelicuentes pueden obtener esta información:
- Robo de credenciales: las inyecciones SQL pueden utilizarse para encontrar las credenciales de los usuarios y acceder a los privilegios de administradores que tienen estos usuarios.
- Acceder a bases de datos: los atacantes pueden utilizar inyecciones SQL para acceder a la información almacenada en un servidor de bases de datos.
- Alterar datos: los atacantes pueden utilizar inyecciones SQL para alterar o añadir nuevos datos a la base de datos a la que se ha accedido.
- Borrar datos: los atacantes pueden utilizar inyecciones SQL para borrar registros de la base de datos, incluyendo la eliminación de tablas.
- Acceder a redes: es decir, a los servidores de bases de datos con privilegios del sistema operativo. El atacante puede entonces intentar entrar a la red de la empresa.
Tipos de inyección SQL
Este tipo de ataques tienen tres variaciones principales:
1. SQLi en banda o SQLi clásico
La inyección SQL en banda ocurre cuando un atacante puede usar el mismo canal de comunicación para lanzar el ataque y recopilar resultados.
2. SQLi basado en errores
Es una técnica de inyección SQL en banda que se basa en mensajes de error lanzados por el servidor de la base de datos para obtener información sobre la estructura de la base de datos. En algunos casos, la inyección SQL basada en errores por sí sola es suficiente para que un atacante enumera una base de datos completa.
3. SQLi basado por unión
Es una técnica de inyección SQL en banda que aprovecha el operador UNION SQL para combinar los resultados de dos o más declaraciones SELECT en un solo resultado que luego se devuelve como parte de la respuesta HTTP.
¿Cómo prevenir ataques de inyección SQL?
Nosotros somos partners de F5, por lo que podemos ofrecerte el mejor software del mercado. La solución de F5 BIG-IP ® Application Security Manager desinfecta y válida la entrada del usuario en la aplicación, examina los dos patrones de ataque conocidos y sólo permite que las cadenas y formatos de datos conocidos regresen a la aplicación.
Al permitir solo transacciones de aplicaciones válidas y autorizadas, BIG-IP Application Security Manager evita que el código malicioso acceda a los servidores de aplicaciones, eliminando la carga de la seguridad y la validación de entrada de la lógica empresarial de la aplicación.
Contacta a uno de nuestros especialistas para más información acerca de proteger a tu empresa contra ataques de SQL Inyección: ventas@accessq.com.mx o al teléfono en la Ciudad de México: // +52 55 69 643089 para recibir ayuda personalizada.
¿Te gustó el artículo?
Escríbenos a ventas@accessq.com.mx o en la Ciudad de México: // +52 55 1654 9001 y un especialista te dará más información sobre la mejor solución para el control de ataques cibernéticos a tu empresa.