Buscar en el Blog

domingo, 16 de febrero de 2014

Ataques a Base de Datos- Sql Injection

Ataques a BB.
DD., SQL
Injection

José María Alonso Cebrián
Antonio Guzmán Sacristán
Pedro Laguna Durán
Alejandro Martín Bailón



1. SQL Injection
Mediante la inyección SQL un atacante podría realizar entre otras cosas las siguientes acciones contra el sistema:

• Descubrimiento de información (information disclosure): Las técnicas de inyección SQL pueden permitir a un atacante modificar consultas para acceder a registros y/o objetos de la base de datos a los que inicialmente no tenía acceso.

• Elevación de privilegios: Todos los sistemas de autenticación que utilicen credenciales almacenados en motores de bases de datos hacen que una vulnerabilidad de inyección SQL pueda permitir a un atacante acceder a los identificadores de usuarios más privilegiados y cambiarse las credenciales.

• Denegación de servicio: La modificación de comandos SQL puede llevar a la ejecución de acciones destructivas como el borrado de datos, objetos o la parada de servicios con comandos de parada y arranque de los sistemas.  Asimismo, se pueden inyectar comandos que generen un alto cómputo en
el motor de base de datos que haga que el servicio no responda en tiempos útiles a los usuarios legales.

• Suplantación de usuarios: Al poder acceder al sistema de credenciales, es posible que un atacante obtenga las credenciales de otro usuario y realice acciones con la identidad robada o “spoofeada” a otro usuario.






No hay comentarios:

Publicar un comentario