15 SQL Injections

15 SQL Injections

Nota importada desde Inbox durante consolidacion bulk.

15 SQL Injections

Resumen Ejecutivo

Este documento ofrece un análisis exhaustivo de la Inyección SQL (Structured Query Language), una de las vulnerabilidades más comunes y devastadoras que afectan a las aplicaciones web basadas en datos. Se presenta como una técnica de ataque que explota las entradas de usuario no sanitizadas para ejecutar comandos SQL maliciosos en la base de datos de una aplicación, permitiendo a los atacantes eludir la autenticación, robar, modificar o eliminar datos, e incluso comprometer el sistema operativo subyacente. A lo largo de este informe, se detallan los conceptos fundamentales de la Inyección SQL, las diversas técnicas de ataque (como In-band, Inferencial y Fuera de Banda), las herramientas empleadas para su explotación, las contramedidas de defensa y los métodos de detección para mitigar esta crítica amenaza de seguridad.

Conceptos de Inyección SQL

Los principios fundamentales de la Inyección SQL se basan en la manipulación de las consultas que una aplicación envía a su base de datos.

  • ¿Qué es la Inyección SQL? La Inyección SQL es una técnica de ataque que se aprovecha de las vulnerabilidades en la validación de entradas para enviar comandos SQL a través de una aplicación web, los cuales son ejecutados por la base de datos backend. Es importante destacar que "es un fallo en las aplicaciones web y no un problema de la base de datos o del servidor web". Estos ataques se dirigen a sitios web que no siguen prácticas de codificación seguras para acceder y manipular los datos.
  • ¿Por qué es importante? Un ataque de Inyección SQL exitoso puede tener consecuencias graves para una organización, incluyendo:
    • Bypass de Autenticación y Autorización: Permite a un atacante acceder a una aplicación sin credenciales válidas y obtener privilegios de administrador.
    • Divulgación de Información: Facilita la extracción de datos sensibles almacenados en la base de datos, como información de clientes, credenciales o datos financieros.
    • Integridad y Disponibilidad de Datos Comprometidas: Un atacante puede alterar, insertar o eliminar información, desfigurar una página web o borrar registros completos de la base de datos.
    • Ejecución Remota de Código: En los casos más graves, puede permitir al atacante ejecutar comandos en el sistema operativo del servidor, comprometiendo toda la infraestructura.
  • Funcionamiento Básico Cuando un usuario introduce datos en un formulario, como un login, la aplicación construye una consulta SQL para verificar las credenciales. Por ejemplo, si un usuario introduce admin y pass123, la consulta generada podría ser: SELECT Count(*) FROM Users WHERE UserName='admin' AND Password='pass123' Un atacante puede manipular el campo de entrada. Si introduce admin'-- en el campo de usuario, la consulta se transforma en: SELECT Count(*) FROM Users WHERE UserName='admin'--' AND Password='...' En SQL, -- inicia un comentario, por lo que el resto de la consulta (la verificación de la contraseña) es ignorada, permitiendo al atacante eludir el login.

Técnicas de Inyección SQL

Los atacantes emplean diversas técnicas para explotar las vulnerabilidades de Inyección SQL, que se clasifican en tres categorías principales:

  • Inyección SQL In-band (En Banda) Es el tipo más común, donde el atacante utiliza el mismo canal de comunicación para lanzar el ataque y obtener los resultados. Las subtécnicas incluyen:
    • Basada en Errores: El atacante introduce deliberadamente entradas incorrectas para que la base de datos genere mensajes de error. Estos mensajes pueden revelar información sobre la estructura de la base de datos, como nombres de tablas y columnas.
    • Basada en UNION: Utiliza el operador UNION de SQL para combinar los resultados de la consulta original con una consulta maliciosa diseñada por el atacante, permitiendo extraer datos de otras tablas.
    • Tautología: Se inyectan condiciones que siempre son verdaderas (ej. ' or 1=1--) en la cláusula WHERE para eludir la lógica de la aplicación, como la autenticación.
    • Consulta Apilada (Piggybacking): Consiste en inyectar consultas SQL adicionales separadas por un punto y coma (;). Esto permite ejecutar múltiples comandos en una sola petición, como eliminar una tabla después de realizar una selección.
  • Inyección SQL Inferencial (Ciega) Se utiliza cuando la aplicación no devuelve resultados visibles ni mensajes de error. El atacante deduce la estructura de la base de datos formulando una serie de preguntas de tipo verdadero/falso.
    • Basada en Booleanos: El atacante envía consultas que devuelven un resultado booleano y observa si el contenido de la página cambia, infiriendo así la respuesta.
    • Basada en Tiempo: Se inyectan comandos que provocan un retardo en la respuesta de la base de datos (ej. WAITFOR DELAY o BENCHMARK) si una condición es verdadera. Midiendo el tiempo de respuesta, el atacante puede extraer información bit a bit.
  • Inyección SQL Out-of-Band (Fuera de Banda) Esta técnica avanzada se emplea cuando los métodos anteriores no son viables. El atacante utiliza un canal de comunicación diferente para enviar los datos extraídos, como realizar una solicitud DNS o HTTP a un servidor bajo su control. Comandos como xp_dirtree en MSSQL o UTL_HTTP.request en Oracle pueden ser explotados para este fin.
  • Técnicas de Bypass de Firewalls Los atacantes usan métodos específicos para evadir los Web Application Firewalls (WAF), como la normalización de consultas, el desbordamiento de búfer o la fragmentación de parámetros HTTP (HPP).

Herramientas de Inyección SQL

Para automatizar y facilitar la explotación de estas vulnerabilidades, los atacantes y los profesionales de la seguridad utilizan diversas herramientas:

  • Herramientas de Explotación:
    • sqlmap: Es la herramienta de código abierto más popular y potente. Automatiza el proceso de detección y explotación de fallos de Inyección SQL, permitiendo enumerar bases de datos, extraer datos y ejecutar comandos en el sistema.
    • Mole: Una herramienta automática que funciona a través de la línea de comandos. Solo necesita una URL vulnerable y una cadena de texto válida para detectar y explotar la inyección.
    • Blisqy: Especializada en la explotación de Inyección SQL ciega basada en tiempo a través de cabeceras HTTP.
    • NoSQLMap: Diseñada para auditar y automatizar ataques de inyección en bases de datos NoSQL.
  • Herramientas de Identificación y Pruebas:
    • Burp Suite: Un proxy de interceptación que permite a los analistas inspeccionar y modificar el tráfico entre el navegador y la aplicación, facilitando la identificación manual de puntos de inyección.
    • Tamper Chrome: Una extensión para navegador que permite modificar las solicitudes HTTP sobre la marcha, útil para pruebas rápidas.

Contramedidas de Inyección SQL

La defensa contra la Inyección SQL requiere un enfoque de seguridad en profundidad que combine varias capas de protección.

  • Defensa General contra Inyección SQL La estrategia de defensa más eficaz se centra en evitar que las entradas del usuario se interpreten como comandos SQL. Las mejores prácticas incluyen:
    • Usar Consultas Parametrizadas (Prepared Statements): Es la contramedida más importante. Separa el código SQL de los datos del usuario, garantizando que las entradas se traten siempre como datos y nunca como código ejecutable.
    • Validación de Entradas: Implementar una validación estricta de todas las entradas del usuario, preferiblemente mediante "listas blancas" (whitelisting) que solo acepten caracteres y formatos esperados.
    • Minimizar Privilegios: Configurar la conexión a la base de datos con una cuenta de usuario que tenga los permisos mínimos necesarios para operar, evitando el uso de cuentas de administrador (sa, root).
    • Manejo de Errores Personalizado: Desactivar los mensajes de error detallados de la base de datos y utilizar páginas de error genéricas que no revelen información interna de la aplicación.
  • Defensa contra Técnicas Específicas
    • Defensa contra Explotación de Errores: Suprimir todos los mensajes de error detallados de la base de datos en el entorno de producción.
    • Defensa contra Inyección Ciega: Implementar consultas parametrizadas anula la capacidad del atacante para formular preguntas de verdadero/falso, ya que la entrada maliciosa nunca se ejecuta.

Técnicas de Detección de Inyección SQL

Identificar vulnerabilidades de Inyección SQL es crucial y se puede realizar mediante varios métodos.

  • Revisión de Código Fuente Consiste en examinar el código de la aplicación para encontrar áreas donde las entradas del usuario se concatenan directamente en las consultas SQL.
    • Análisis Estático (SAST): Se analiza el código sin ejecutarlo. Herramientas como Veracode, Sonar o PVS-Studio pueden automatizar este proceso.
    • Análisis Dinámico (DAST): Se analiza el comportamiento de la aplicación en tiempo de ejecución para detectar fallos causados por la interacción con la base de datos.
  • Pruebas de Penetración y Fuzzing
    • Black Box Pen Testing: Un analista simula ser un atacante e intenta inyectar caracteres especiales (comillas, guiones, operadores SQL) en todos los campos de entrada para provocar errores o comportamientos inesperados.
    • Fuzz Testing: Se utilizan herramientas (Fuzzers) que envían una gran cantidad de datos aleatorios y malformados a los campos de entrada para descubrir vulnerabilidades y errores de codificación.
  • Detección de Evasión de IDS/WAF Los sistemas de detección de intrusiones (IDS) y los firewalls de aplicaciones web (WAF) utilizan firmas para identificar ataques conocidos. La detección se centra en monitorizar el tráfico en busca de patrones de consulta anómalos, el uso de técnicas de ofuscación (codificación hexadecimal, comentarios en línea) y otros indicadores de evasión.

Conclusión

La Inyección SQL continúa siendo una de las amenazas más críticas para la seguridad de las aplicaciones web, principalmente debido a prácticas de desarrollo inseguras como la incorrecta sanitización de las entradas del usuario. Los riesgos asociados son extremadamente altos, abarcando desde el robo masivo de datos confidenciales hasta la toma de control total del servidor. Para combatir eficazmente esta vulnerabilidad, es imperativo adoptar un enfoque defensivo multicapa, donde el uso de consultas parametrizadas es la piedra angular. Complementado con una validación rigurosa de entradas, el principio de mínimo privilegio y una monitorización constante, las organizaciones pueden reducir drásticamente su superficie de ataque y proteger sus activos digitales de forma robusta.

Guía de Estudio: Inyección de SQL (SQLi)

Esta guía de estudio proporciona un recurso completo para comprender la Inyección de SQL (SQLi), una de las vulnerabilidades de seguridad web más críticas y extendidas. Abarca los conceptos fundamentales del ataque, las diversas técnicas y metodologías utilizadas por los atacantes, las herramientas de explotación y las contramedidas defensivas esenciales para proteger las aplicaciones. El objetivo de esta guía es ofrecer el conocimiento necesario para identificar, explotar y mitigar las vulnerabilidades de SQLi en un entorno de hacking ético.

I. Resumen de Conceptos Fundamentales

¿Qué es la Inyección de SQL?

La

Inyección de SQL (SQLi) es una técnica de ataque que aprovecha las vulnerabilidades de entrada no sanitizada para enviar comandos SQL a una base de datos backend a través de una aplicación web. No es un fallo de la base de datos en sí, sino una falla en el código de la aplicación que procesa las entradas del usuario.

  • Lenguaje de Consulta Estructurado (SQL): Es el lenguaje textual estándar utilizado para gestionar y manipular datos en bases de datos relacionales. Los comandos comunes incluyen SELECT, INSERT, UPDATE y DELETE.
  • Vulnerabilidad Clave: La vulnerabilidad surge cuando una aplicación no valida, filtra o sanitiza adecuadamente los datos proporcionados por el usuario antes de incorporarlos a una consulta SQL.
  • Impacto: Un ataque de SQLi exitoso puede comprometer la totalidad de una base de datos y, en algunos casos, el sistema operativo subyacente.

Impacto y Consecuencias de la SQLi

Los atacantes utilizan la SQLi para llevar a cabo diversos tipos de ataques con consecuencias devastadoras.

  • Bypass de Autenticación y Autorización: Permite a un atacante iniciar sesión en una aplicación sin credenciales válidas o alterar los permisos de usuario.
  • Divulgación de Información: Permite la extracción de datos sensibles almacenados en la base de datos, como información de clientes, contraseñas o detalles de tarjetas de crédito.
  • Compromiso de la Integridad y Disponibilidad de los Datos: Un atacante puede modificar , insertar o eliminar datos de la base de datos, desfigurando sitios web o borrando información crítica.
  • Ejecución Remota de Comandos (RCE): En configuraciones permisivas, un atacante puede ejecutar comandos en el sistema operativo del servidor de la base de datos, comprometiendo todo el sistema host.

II. Técnicas / Métodos / Procesos Clave

Tipos de Inyección de SQL

Los ataques de SQLi se clasifican principalmente en tres categorías, según el método de explotación y el canal de comunicación utilizado.

  • 1. Inyección de SQL In-band (En Banda)
    • Descripción: Es el tipo más común, donde el atacante utiliza el mismo canal de comunicación para lanzar el ataque y recibir los resultados.
    • Técnicas Comunes:
      • Basada en Errores: El atacante inserta intencionadamente entradas malformadas para provocar errores de la base de datos, que revelan información sobre su estructura y tipo.
      • Basada en UNION: Utiliza el operador UNION de SQL para combinar los resultados de una consulta maliciosa con los de la consulta legítima de la aplicación, permitiendo extraer datos de otras tablas.
      • Tautología: Inyecta condiciones que siempre son verdaderas (ej. ' OR 1=1--) para eludir las comprobaciones lógicas, como los formularios de inicio de sesión.
      • Consultas Apiladas (Piggybacking): Inyecta consultas SQL adicionales separadas por un punto y coma (;). El SGBD ejecuta las consultas en secuencia, permitiendo al atacante realizar múltiples acciones.
      • Comentarios en Línea y de Fin de Línea: Utiliza caracteres de comentario (--, /* */) para anular el resto de la consulta legítima después del código inyectado, alterando su lógica.
  • 2. Inyección de SQL Inferencial (Ciega)
    • Descripción: Se utiliza cuando la aplicación no devuelve directamente los resultados de la consulta ni muestra errores detallados. El atacante reconstruye la información haciendo una serie de preguntas de verdadero/falso a la base de datos.
    • Técnicas Comunes:
      • Explotación Booleana: El atacante envía una consulta que devuelve un resultado diferente (por ejemplo, una página diferente o un cambio de contenido) dependiendo de si la condición inyectada es verdadera o falsa.
      • Basada en Tiempo: El atacante utiliza funciones de la base de datos (como WAITFOR DELAY o BENCHMARK) que pausan la ejecución durante un tiempo específico si una condición es verdadera. El retraso en la respuesta de la página confirma la condición.
  • 3. Inyección de SQL Fuera de Banda (Out-of-Band)
    • Descripción: Es una técnica menos común que se utiliza cuando los canales de entrada y salida están restringidos. El atacante hace que la base de datos realice una solicitud de red (DNS o HTTP) a un servidor bajo su control, enviando los datos a través de esa solicitud externa. Esto requiere que el servidor de la base de datos tenga capacidad para iniciar solicitudes de red hacia el exterior.

Metodología de un Ataque de SQLi

Un ataque de SQLi estructurado sigue una metodología paso a paso.

  1. Recopilación de Información y Detección de Vulnerabilidades: El atacante identifica los puntos de entrada de datos (formularios, parámetros de URL, cookies) y envía caracteres especiales (como comillas simples

    ') para provocar errores que confirmen la vulnerabilidad.

  2. Lanzamiento de Ataques de Inyección: Una vez confirmada la vulnerabilidad, el atacante elige una técnica (UNION, Ciega, etc.) para explotarla. El objetivo inicial suele ser enumerar la base de datos: obtener nombres de tablas, columnas y, finalmente, extraer datos sensibles como credenciales de usuario.

  3. Inyección SQL Avanzada (Post-Explotación): Con el control de la base de datos, el atacante puede intentar escalar privilegios para interactuar con el sistema de archivos (LOAD_FILE), ejecutar comandos del sistema operativo (xp_cmdshell) o realizar reconocimientos en la red interna.

III. Herramientas / Recursos / Ejemplos Notables

  • sqlmap: Es una herramienta de código abierto que automatiza el proceso de detección y explotación de vulnerabilidades de SQLi. Soporta la mayoría de los SGBD y técnicas de inyección, incluyendo In-band, Ciega y Fuera de Banda.
  • Burp Suite: Un proxy de interceptación web que permite a los pentesters inspeccionar y modificar el tráfico HTTP/HTTPS entre el navegador y la aplicación. Es fundamental para identificar y probar manualmente los puntos de entrada de SQLi.
  • Tamper Chrome: Una extensión de navegador que permite modificar las solicitudes HTTP, útil para la manipulación de parámetros en tiempo real durante las pruebas.
  • Ejemplos de Cadenas de Ataque:
    • Bypass de Login: admin' OR 1=1--
    • Extracción de Datos con UNION: 1' UNION SELECT 1, group_concat(table_name), 3 FROM information_schema.tables WHERE table_schema=database()--
    • Inyección Ciega Basada en Tiempo: ' IF (LEN(USER)>1) WAITFOR DELAY '0:0:5'--

IV. Contramedidas / Soluciones / Buenas Prácticas

La defensa contra la SQLi requiere un enfoque de múltiples capas.

  • Consultas Parametrizadas (Prepared Statements): Esta es la contramedida más eficaz. Consiste en separar la estructura de la consulta SQL de los datos del usuario. La consulta se precompila en la base de datos y los datos se envían por separado como parámetros, garantizando que no se puedan interpretar como código ejecutable.
  • Validación de Entradas (Whitelist): Configurar reglas estrictas para los datos de entrada, aceptando únicamente caracteres y formatos esperados (por ejemplo, solo números para un ID de usuario). Rechazar cualquier entrada que no cumpla con el formato predefinido es más seguro que intentar filtrar caracteres maliciosos (blacklist).
  • Sanitización y Escape de Salida: Si no es posible utilizar consultas parametrizadas, se deben "escapar" los caracteres especiales en la entrada del usuario para que la base de datos los trate como literales de cadena y no como parte del comando SQL.
  • Principio de Mínimo Privilegio: Configurar la cuenta de la base de datos que utiliza la aplicación para que solo tenga los permisos estrictamente necesarios para realizar sus funciones. No debe tener privilegios de administrador.
  • Desactivar Mensajes de Error Detallados: Configurar la aplicación para que muestre mensajes de error genéricos en lugar de los errores detallados de la base de datos, ya que estos últimos proporcionan información valiosa a los atacantes.
  • Web Application Firewall (WAF): Un WAF puede ayudar a filtrar el tráfico malicioso basado en firmas de ataques conocidas, pero no debe ser la única línea de defensa, ya que los atacantes pueden utilizar técnicas de evasión para eludirlo.

V. Resumen del Módulo

La Inyección de SQL sigue siendo una amenaza crítica para las aplicaciones web, originada por la falta de validación de las entradas del usuario. Los atacantes pueden explotarla mediante técnicas In-band, Ciegas o Fuera de Banda para robar datos, eludir la autenticación y comprometer sistemas enteros. Una metodología de ataque estructurada implica la recopilación de información, la explotación y la post-explotación. La defensa más sólida se basa en la implementación de consultas parametrizadas, la validación estricta de entradas y el principio de mínimo privilegio, complementados por otras capas de seguridad.

Cuestionario de Preguntas Cortas

Responde cada pregunta en 2-3 oraciones.

  1. ¿Cuál es la causa raíz de una vulnerabilidad de Inyección SQL?
  2. Nombra y describe brevemente los tres tipos principales de ataques de SQLi.
  3. ¿Cuál es el objetivo de un ataque de SQLi basado en UNION?
  4. ¿En qué se diferencia la Inyección SQL Ciega de la Inyección SQL In-band?
  5. Explica la técnica de ataque de tautología y proporciona un ejemplo común.
  6. ¿Qué es xp_cmdshell y por qué es peligroso en el contexto de la SQLi?
  7. ¿Cuál es la contramedida más efectiva contra la Inyección SQL y por qué funciona?
  8. ¿Qué es el "principio de mínimo privilegio" y cómo ayuda a mitigar el impacto de la SQLi?
  9. Describe el primer paso que un atacante suele realizar para detectar una vulnerabilidad de SQLi.
  10. ¿Qué papel juega una herramienta como Burp Suite en un ataque de SQLi?

Clave de Respuestas del Cuestionario

  1. La causa raíz de la Inyección SQL es el fallo de una aplicación web al no validar o sanitizar adecuadamente los datos proporcionados por el usuario. Este fallo permite que la entrada del atacante se interprete como un comando SQL ejecutable en lugar de un simple dato.

  2. Los tres tipos principales son:

    In-band, donde el atacante usa el mismo canal para atacar y recibir resultados;

    Inferencial (Ciega), donde el atacante infiere datos a través de respuestas de verdadero/falso o retrasos de tiempo porque no hay salida directa ; y

    Fuera de Banda, donde el atacante hace que la base de datos se conecte a un sistema externo para exfiltrar datos.

  3. El objetivo de un ataque de SQLi basado en UNION es fusionar el resultado de una consulta maliciosa con el de una consulta legítima. Esto permite al atacante extraer datos de cualquier tabla de la base de datos y mostrarlos dentro de la respuesta normal de la aplicación.

  4. La Inyección SQL Ciega se diferencia en que la aplicación no devuelve errores ni los resultados de la consulta directamente en la página. El atacante debe deducir la información bit a bit, a menudo basándose en cambios de comportamiento de la aplicación o en retrasos de tiempo, lo que la hace mucho más lenta que la inyección In-band.

  5. Una tautología es una declaración que siempre es verdadera. En SQLi, los atacantes inyectan una condición siempre verdadera, como

    ' OR 1=1, en la cláusula WHERE para hacer que la consulta completa se evalúe como verdadera, eludiendo así los controles de autenticación.

  6. xp_cmdshell es un procedimiento almacenado extendido en Microsoft SQL Server que permite ejecutar comandos del sistema operativo directamente desde la base de datos. Si un atacante obtiene acceso a través de SQLi y tiene los permisos necesarios, puede usarlo para comprometer completamente el servidor host.

  7. La contramedida más efectiva son las consultas parametrizadas (o prepared statements). Funcionan porque separan el código SQL de los datos, precompilando la consulta y tratando las entradas del usuario siempre como datos literales, nunca como código ejecutable, lo que elimina la posibilidad de inyección.

  8. El "principio de mínimo privilegio" dicta que una cuenta solo debe tener los permisos estrictamente necesarios para realizar su función. Aplicado a SQLi, significa que la cuenta de la base de datos de la aplicación no debe tener permisos para acceder a tablas sensibles o ejecutar comandos del sistema, limitando así el daño que un atacante puede causar si logra una inyección.

  9. El primer paso suele ser probar los puntos de entrada de datos (como campos de formulario o parámetros de URL) inyectando un carácter especial, típicamente una comilla simple (

    '). Si la aplicación devuelve un error de sintaxis de la base de datos, es un fuerte indicio de que es vulnerable.

  10. Burp Suite actúa como un proxy de interceptación que se sitúa entre el navegador del atacante y el servidor web. Permite al atacante capturar, analizar y modificar las solicitudes HTTP salientes, lo que es esencial para manipular los parámetros e inyectar cargas útiles de SQLi de forma controlada.

Preguntas de Ensayo

  1. Compara y contrasta las técnicas de Inyección SQL Ciega Basada en Booleanos y Basada en Tiempo. ¿En qué escenarios un atacante preferiría una sobre la otra y por qué?
  2. Describe la metodología completa que un atacante seguiría para pasar de descubrir una vulnerabilidad de SQLi en un formulario de inicio de sesión a obtener un shell en el servidor subyacente. Menciona las herramientas, los comandos y las técnicas que se utilizarían en cada etapa.
  3. Explica en detalle por qué una estrategia de defensa basada únicamente en una "lista negra" (blacklist) de caracteres y palabras clave es inherentemente defectuosa. Proporciona ejemplos de técnicas de evasión que un atacante podría usar para eludir este tipo de filtro.
  4. Analiza el concepto de "Inyección SQL de Segundo Orden". Explica su mecanismo, por qué es más difícil de detectar que una inyección de primer orden y qué tipo de fallos de diseño en una aplicación la hacen posible.
  5. Imagina que eres un consultor de seguridad que debe explicarle a un equipo de desarrolladores junior la importancia de las contramedidas contra la SQLi. Elabora un argumento convincente que destaque no solo las mejores prácticas (como las consultas parametrizadas) sino también las consecuencias comerciales y de reputación de ignorar esta vulnerabilidad.

Glosario de Términos Clave

  • Blind SQL Injection (Inyección SQL Ciega): Un tipo de ataque de SQLi en el que el atacante no recibe una respuesta directa de la base de datos y debe inferir los datos a través del comportamiento de la aplicación.
  • Burp Suite: Una plataforma integrada para realizar pruebas de seguridad en aplicaciones web, comúnmente utilizada para interceptar y manipular el tráfico HTTP.
  • Comentarios en Línea (Inline Comments): Caracteres como /*...*/ que se utilizan en SQL para crear comentarios, y que los atacantes aprovechan para manipular la lógica de una consulta.
  • Consultas Apiladas (Piggybacking): La técnica de añadir consultas SQL adicionales al final de la consulta original, separadas por un punto y coma (;).
  • Consultas Parametrizadas (Parameterized Queries): Una técnica de programación en la que la consulta SQL se envía a la base de datos por separado de los parámetros de datos, evitando que la entrada del usuario se interprete como código. Es la principal defensa contra la SQLi.
  • Error-based SQLi (SQLi Basada en Errores): Una técnica de inyección In-band que provoca deliberadamente errores en la base de datos para obtener información sobre su estructura y configuración.
  • HTTP Parameter Pollution (HPP): Una técnica de ataque que manipula la forma en que un servidor web interpreta los parámetros HTTP para eludir los filtros de seguridad.
  • In-band SQL Injection (Inyección SQL en Banda): Un ataque de SQLi en el que el atacante utiliza el mismo canal de comunicación para lanzar el ataque y recibir los resultados.
  • Input Sanitization (Sanitización de Entradas): El proceso de limpiar o filtrar los datos de entrada del usuario para eliminar caracteres o construcciones potencialmente maliciosas.
  • Least Privilege (Mínimo Privilegio): Un principio de seguridad que establece que una entidad (usuario, programa) solo debe tener los permisos estrictamente necesarios para realizar su tarea.
  • Out-of-Band SQL Injection (Inyección SQL Fuera de Banda): Un ataque de SQLi en el que los datos se exfiltran a través de un canal de red diferente, como una solicitud DNS o HTTP iniciada por el servidor de la base de datos.
  • Prepared Statements: Un sinónimo de consultas parametrizadas.
  • Segunda Orden (Second-Order SQLi): Un ataque en el que la entrada maliciosa se almacena primero en la base de datos y luego se utiliza en una consulta posterior sin ser sanitizada, momento en el que se ejecuta el ataque.
  • SQL Injection (SQLi): Una vulnerabilidad de seguridad que permite a un atacante interferir con las consultas que una aplicación hace a su base de datos.
  • sqlmap: Una popular herramienta de código abierto que automatiza la detección y explotación de vulnerabilidades de SQLi.
  • Tautología: En el contexto de SQLi, una condición inyectada que siempre se evalúa como verdadera (p. ej., ' OR 1=1) para eludir la lógica de la aplicación.
  • Time-based SQLi (SQLi Basada en Tiempo): Una técnica de inyección ciega que utiliza funciones de retardo de tiempo de la base de datos para inferir datos basándose en el tiempo de respuesta de la aplicación.
  • UNION Operator: Un operador de SQL que combina el resultado de dos o más sentencias SELECT en un único conjunto de resultados. Es explotado en ataques de SQLi para extraer datos.
  • Web Application Firewall (WAF): Un dispositivo o software de seguridad que supervisa y filtra el tráfico HTTP hacia una aplicación web para protegerla de ataques como la SQLi.
  • xp_cmdshell: Un procedimiento almacenado extendido en MSSQL que permite ejecutar comandos del sistema operativo, a menudo un objetivo para los atacantes después de una explotación exitosa de SQLi.

Themes