Está en la página 1de 9

Centro Técnico Laboral Kinal Teoría IN6AM

Inyecciones SQL

Mario Rene Ramazzini Morales 2010-053

3 Explicación.. 7 Conclusión««««««««««««««««««««..Índice Introducción««««««««««««««««««««Pág.««««««««««««««««««««Pág..Pág...Pág. 8 Bibliografía««««««««««««««««««««.Pág. 4 Herramientas«««««««««««««««««««.Pág.. 6 El ataque«««««««««««««««««««««. 9 2 . 5 Formas de protección«««««««««««««««..Pág.

para los usuarios se usan más instrucciones pre-programadas en los programas o páginas web. Así como las anteriormente mencionadas técnicas de manejo de datos en una base de datos pueden ser de una buena forma. La técnica de Inyección SQL es una de las mas utilizadas por los hackers para poder adquirir datos de una base de datos objetivo sin el consentimiento del usuario. también existen formas para poder alterar o borrar los datos sin el consentimiento de un administrador o incluso de la misma base de datos.Introducción Existen muchas formas de poder administrar los datos de una base de datos. El software de manejo de bases de datos es una de las formas mas comunes a nivel administrativo. 3 . etc.

y Por medio de software con instrucciones configuradas para inyectar código. agregar o modificar datos. Básicamente los ataques SQLI (Inyecciones SQL en inglés) son aquellos ataques que le permiten a un hacker administrar la base de datos sin la necesidad de conectarse a ella directamente usando una dirección de servidor ni credenciales.Inyección SQL ¿Qué son las Inyecciones SQL? Son los ataques que se pueden producir a una base de datos al aprovecharse de una debilidad en el sistema al momento de ver. Las formas que utilizan los hackers para inyectar su código son las siguientes: y Escribir las instrucciones dentro de los campos en un formulario. y Escribir las instrucciones en la barra de direcciones si el formulario muestra los datos en ella. 4 .

pero también existe mucha gente que utiliza estas herramientas para realizar ataques a bases de datos. 5 . mucha gente las utiliza para detectar vulnerabilidades en su sistema y asi hacerlo mas seguro todavía. Ejemplos: y y y y y y The Mole Havij Pangolin SQLmap Darkmssql M4xMySQL Esas son algunas herramientas utilizadas comúnmente utilizadas.Herramientas de inyección SQL Existen ciertas herramientas en internet que ayudan a realizar inyecciones SQL.

6 . Algunos lenguajes de programación realizan automáticamente una verificación en las instrucciones utilizadas. agregar. esto con el fin de encontrar los símbolos extraños que se utilizan al momento de inyectar código. todo esto varía según la plataforma que se utilice para programar la página web o aplicación que utilizará la base de datos. Utilizar estándares y condiciones al momento de programar el software que vamos a utilizar podemos evitar también que inyecten código en nuestro sitio. Una de las técnicas utilizadas para la protección de nuestros datos es usar procedimientos almacenados al momento de querer modificar. eliminar o ver los datos que están guardados en nuestra base de datos.Formas de evitar una inyección SQL Existen tipos de defensa contra los ataques de inyección SQL.

ósea modificándolos en la barra de direcciones. Estas son unas de las tantas variaciones que se escriben para realizar pruebas o inyecciones SQL básicas: admin'-' or 0=0 -" or 0=0 -or 0=0 -' or 0=0 # " or 0=0 # or 0=0 # ' or 'x'='x " or "x"="x ') or ('x'='x ' or 1=1-" or 1=1-or 1=1-' or a=a-" or "a"="a ') or ('a'='a ") or ("a"="a 7 . Una de las formas mas conocidas de atacar es utilizar los campos de texto para escribir código como ´ ´1´ = ´1 µ que es uno de los ataques mas básicos y utilizados. Existen ahora herramientas que automatizan el proceso tanto de inyección como escaneo de vulnerabilidades (como anteriormente fueron mencionadas algunas como ejemplos). Las inyecciones SQL también pueden ser ejecutadas alterando los datos que un formulario ingresa utilizando el método GET.Como se realiza una inyección SQL Existen varias maneras de atacar a un servidor utilizando inyecciones SQL.

librerías y clases que algunos lenguajes de programación tienen. entre otros. Todas las bases de datos pueden ser atacadas de la misma forma. Los ataques pueden ser realizados desde varias fuentes e incluso asesorados por software que automatiza estas operaciones. Las inyecciones SQL pueden ser evitadas si se analiza muy bien la estructura de funcionamiento del programa y de la base de datos. El programador puede protegerse ante las inyecciones SQL utilizando condiciones.Conclusión Las inyecciones SQL son ataques que consisten en poder ver o alterar los datos en una base de datos sin el consentimiento de otro usuario. procedimientos almacenados del lado de la base de datos. 8 .

elhacker.html 5. http://campusvirtual.php?name=News&file=article&sid=377 1 9 .es/cala/epistemowikia/index. http://foro.html 3.unex.governmentsecurity.ph p?title=Inyecci%C3%B3n_de_c%C3%B3digo_SQL 2.net/tutoriales_documentacion/tutorial_ de_inyeccion_sql_sql_injection-t98448.blogspot.0.org/articles/sql-injectionbasic-tutorial.com/2011/05/herramientassqli. http://www.Bibliografía 1. http://geeksec. http://www.linuxparty.html 4.com/modules.