Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Toaz - Info Actividad Evaluativa Eje 4 PR
Toaz - Info Actividad Evaluativa Eje 4 PR
INGENIERÍA DE SISTEMAS
SEGURIDAD EN BASES DE DATOS
ACTIVIDAD EJE IV – Auditoría de Seguridad.
IV DESARROLLO
No confíe en los valores de entrada del Inyección SQL, pero minimiza su impacto.
lado del cliente, incluso si en el lado del
cliente se realice una validación, en Conceder el mínimo acceso de base de
general, comprobar todos los datos de datos que es necesario para la aplicación
entrado en el servidor, si la aplicación usa
A continuación se dará una breve mención,
JDBC, usar Prepared Statement o Callable
descripción y solución planteada de los
Statement, con parámetros
tres mensajes de alerta y el mensaje
Pasados por '?' informativo que se hacen presentes en el
encabezado del reporte de resultados
Si la aplicación utiliza ASP, usar ADO obtenidos después de ejecutar el escaneo
Command Objects con una fuerte de vulnerabilidades mediante la aplicación
comprobación de tipos de consultas y ZAP.
parámetros.
Alto (High): Inyección SQL puede ser
Si la Base de Datos puede usar Stored posible con esto se llega determinar que se
Procedures (Procedimientos puede quebrantar los controles de acceso
Almacenados), úselos. al código SQL e insertar código malicioso
que altere el comportamiento de la
¡NO concatenar cadenas en los query plataforma o la inhabilite, medidas para
(consultas) en los procedimientos mitigar las posibles apariciones de este
almacenados, o utilizar ataque son la parametrización y definición
de variables que sean usadas como
'exec', 'exec immediate', o su funcionalidad
consulta evitando usar cadenas de código
equivalente!
como MySQL_Connect o query que son
No crear consultas SQL dinámicas usando vulnerables.
una sencilla concatenación de cadenas.
Medio (Medium): META X-Frame-
Aplique aun lista blanca (whitelist) de Options (XFO), definiendo XFO mediante
caracteres permitidos, o una lista negra una etiqueta TAG es explícitamente no
(blacklist) de compatible con la especificación (RFC
7034) y el encabezado X-Frame_options
Caracteres no permitidos en la entrada no está incluido en la respuesta HTTP para
(input) del usuario. proteger ante ataques 'ClickJacking'. Ya
que la cabecera XFO es la encargada de
permitir o negar la ejecución de Frames en
https://www.welivesecurity.com/la-es/2013/03/01/top-10-de-vulnerabilidades-de-owasp-
para-el-2013/
Wichers, D., & Williams, J. (2017). Owasp top-10 2017. OWASP Foundation.