GuilleSQL :: Microsoft SQL Server, SSIS, y más !!

SQL Injection


Este artículo describe la vulnerabilidad SQL Injection a través de varios ejemplos de ataques SQL Injection a páginas ASP y ASPX que acceden a SQL Server, realizados en el Laboratorio de GuilleSQL. Se describen posibilidades adicionales del atacante (Hacker) a través de SQL Injection para atacar y comprometer una aplicación de base de datos SQL Server, y se incluyen diversas alternativas para evitar ataques SQL Injection (utilizar Procedimientos Almacenados en SQL Server, evitar código SQL Dinámico, validar los datos de entrada, sustituir cadenas peligrosas en las entradas, etc.), que también hemos probado en el Laboratorio de GuilleSQL.

A través de los siguientes capítulos, se describe el concepto de SQL Injection, incluyendo varios ejemplos con código fuente ASP y ASP.Net (utilizando ADO y ADO.Net respectivamente) explicados detalladamente, e indicando todas las alternativas de protección frente a ataques de SQL Injection:

  • ¿Qué es SQL Injection?
    Este capítulo introduce el concepto de SQL Injection, quizás la técnica más común de ataque contra aplicaciones de base de datos (ej: SQL Server), especialmente para aplicaciones web disponibles en Internet. ¿Qué es SQL Injection? ¿Qué no es SQL Injection? ¿Qué peligros esconde SQL Injection? ¿Qué daños se pueden producir a través de SQL Injection? ¿Cómo proteger una aplicación de ataques SQL Injection? ¿Cómo evitar ataques SQL Injection en Internet?

  • SQL Injection, ASP y SQL Server con ejemplos
    Este capítulo sirve de explicación práctica de SQL Injection, para lo cual, se incluyen ejemplos de SQL Injection junto con código ASP, ADO, y consultas SQL de SQL Server. Se incluyen ejemplos de SQL Injection, tanto para los casos típicos de ejemplos de debilitación de consultas SQL (debilitar o alterar la cláusula WHERE de una consulta SQL), como ejemplos de introducción de código SQL malicioso e invasor. Todos los ejemplos los hemos desarrollado en el Laboratorio de GuilleSQL. También se explica la importancia de una correcta Gestión de Errores en ataques SQL Injection, y la recomendación de realizar el acceso a base de datos con un usuario con mínimos privilegios posibles.

  • SQL Injection, Procedimientos Almacenados, ASP, ADO y SQL Server
    Este capítulo explica cómo utilizar los Procedimientos Almacenados en SQL Server para evitar ataques SQL Injection, comparando las dos alternativas posibles de uso: utilizar procedimientos almacenados sin consultas parametrizadas, y utilizar procedimientos almacenados con consultas parametrizadas (opción recomendada). Para ello se incluye código ASP de ejemplo (llamadas ADODB.Connection, ADODB.Recordset, ADODB.Command) sobre el que se explican los ejemplos de ataques SQL Injection, razonando su funcionamiento y consecuencias.

  • SQL Injection, Procedimientos Almacenados, ADO.Net y SQL Server
    Este capítulo incluye varios ejemplos de código C# y ADO.Net de una supuesta aplicación ASP.Net, a través de los cuales se analizan las alternativas de desarrollo y programación de SQL Server y ADO.Net desde el punto de vista de SQL Injection. Se introduce parcial y brevemente la programación de bases de datos con ADO.Net, y se explican los beneficios de la utilización de Consultas Parametrizadas y Procedimientos Almacenados invocados de forma Parametrizada, incluyendo código fuente de ejemplo, y analizando los riesgos de SQL Injection en las diferentes alternativas de programación de SQL Server y ADO.Net.

  • ¿Cómo proteger SQL Server y una Aplicación Web (o de otro tipo) de ataques SQL Injection?
    Este capítulo introduce el concepto de Cadenas Peligrosas en el contexto de SQL Injection, para seguidamente centrarse en el estudio de alternativas de protección frente a ataques SQL Injection: Utilizar Procedimientos Almacenados o Consultas SQL de forma parametrizada, evitar SQL Dinámico en el interior de Procedimientos Almacenados, Validar los datos de Usuario utilizando validaciones de servidor y adicionalmente (si se quiere) también de cliente, sustituir o eliminar cadenas peligrosas (comentarios, delimitadores de cadena, palabras reservadas, etc.), minimizar los permisos de acceso a base de datos, evitar revelar información de errores de base de datos (correcta Gestión de Errores), etc.

Con todo esto, confío haber conseguido explicar con suficiente detalle el problema del SQL Injection y las soluciones o mejores prácticas para protegerse de ataques SQL Injection en entornos SQL Server y aplicaciones ASP y ASP.Net.

Como siempre, espero que os sirva !


[Fecha del Artículo (UTC): 02/01/2009]
[Autor: GuilleSQL]



Escribir un Comentario

Para poder escribir un comentario, debe Iniciar Sesión con un usuario.

Si no dispone de un usuario, puede Registrarse y hacerse miembro.

Si dispone de un usuario, pero no recuerda sus credenciales de acceso, puede Restablecer su Contraseña.

Miembros de
Miembros de GITCA (Global IT Community Association)

Menu de Usuario
  Iniciar Sesión
  Registrarse
  Restablecer Contraseña
  Ventajas de Registrarse

Acerca de
  Contigo desde Oct 2007
  771 usuarios registrados
  86146 pageloads/mes
  Ranking Alexa 498160

Social Networks
Sigue a Portal GuilleSQL en Linkedin !!
Sigue a Portal GuilleSQL en Twitter !!



Archivo

Marzo de 2017 (3)
Enero de 2017 (4)
Junio de 2016 (1)
Mayo de 2016 (2)
Abril de 2016 (2)
Septiembre de 2015 (2)
Agosto de 2015 (2)
Junio de 2015 (10)
Mayo de 2015 (4)
Abril de 2015 (8)
Marzo de 2015 (11)
Octubre de 2014 (3)
Septiembre de 2014 (7)
Agosto de 2014 (5)
Julio de 2014 (2)
Mayo de 2014 (4)
Abril de 2014 (4)
Marzo de 2014 (4)
Febrero de 2014 (1)
Enero de 2014 (5)
Diciembre de 2013 (8)
Noviembre de 2013 (2)
Octubre de 2013 (7)
Septiembre de 2013 (6)
Agosto de 2013 (1)
Julio de 2013 (6)
Junio de 2013 (11)
Mayo de 2013 (7)
Abril de 2013 (6)
Febrero de 2013 (5)
Enero de 2013 (7)
Diciembre de 2012 (12)
Noviembre de 2012 (13)
Octubre de 2012 (5)
Septiembre de 2012 (3)
Agosto de 2012 (6)
Julio de 2012 (4)
Junio de 2012 (1)
Mayo de 2012 (2)
Abril de 2012 (7)
Marzo de 2012 (16)
Febrero de 2012 (9)
Enero de 2012 (5)
Diciembre de 2011 (10)
Noviembre de 2011 (10)
Octubre de 2011 (4)
Septiembre de 2011 (5)
Agosto de 2011 (2)
Julio de 2011 (2)
Junio de 2011 (4)
Mayo de 2011 (2)
Abril de 2011 (6)
Marzo de 2011 (4)
Febrero de 2011 (10)
Enero de 2011 (5)
Diciembre de 2010 (6)
Noviembre de 2010 (4)
Octubre de 2010 (8)
Septiembre de 2010 (4)
Agosto de 2010 (1)
Julio de 2010 (3)
Mayo de 2010 (5)
Abril de 2010 (6)
Marzo de 2010 (8)
Febrero de 2010 (3)
Enero de 2010 (1)
Diciembre de 2009 (9)
Noviembre de 2009 (14)
Octubre de 2009 (2)
Septiembre de 2009 (8)
Agosto de 2009 (2)
Julio de 2009 (10)
Junio de 2009 (9)
Mayo de 2009 (10)
Abril de 2009 (9)
Marzo de 2009 (3)
Febrero de 2009 (2)
Enero de 2009 (3)
Noviembre de 2008 (2)
Octubre de 2008 (2)
Septiembre de 2008 (2)
Agosto de 2008 (5)
Julio de 2008 (5)
Junio de 2008 (1)
Mayo de 2008 (3)
Abril de 2008 (2)
Marzo de 2008 (2)
Febrero de 2008 (2)
Enero de 2008 (5)
Noviembre de 2007 (2)
Octubre de 2007 (2)






Esta información se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This information is provided "AS IS" with no warranties, and confers no rights.

Copyright © 2007 GuilleSQL, todos los derechos reservados.
GuilleSQL.com y GuilleSQL.net son también parte de Portal GuilleSQL.

Visitas recibidas (Page Loads) en GuilleSQL (fuente: StatCounter):

screen resolution stats
Visitas