Beruflich Dokumente
Kultur Dokumente
WEB
PANORAMA DEL PECADO
Inyeccin SQL es un defecto de cdigo muy grave que puede conducir a
compromisos de la mquina, la divulgacin de los datos sensibles, y ms
recientemente, la difusin de software malicioso. Lo que es realmente la
preocupacin es los sistemas afectados por este tipo de vulnerabilidades
son a menudo las aplicaciones de comercio electrnico o aplicaciones de
manipulacin de datos sensibles o informacin de identificacin personal
(PII); y de la experiencia de los autores, muchos en la empresa o
aplicaciones con bases de datos de lnea de negocio tener errores de
inyeccin SQL.
Permtanos ser, con suerte, muy claro sobre el potencial de estragos. Si
construyes aplicaciones que se comunican con bases de datos y su cdigo
tiene la inyeccin de uno o ms de SQL vulnerabilidades (si lo sabes o no!),
se estn poniendo todos los datos en la base de datos en riesgo. Si esa frase
no se hundi en, mantenga leerlo hasta que lo haga.
A veces no es necesario una vulnerabilidad de inyeccin SQL para
comprometer los datos; la forma comn de comprometer una base de datos
es entrar en la puerta principal que dejaste abierta mediante la apertura el
puerto base de datos, tales como:
TCP / 1433 en Microsoft SQL Server
TCP / 1521 en Oracle
TCP / 523 en IBM DB2
TCP / 3306 en MySQL
Dejando estos puertos abiertos a Internet y el uso de una cuenta de base de
datos de administrador de sistemas por defecto contrasea es una receta
para el desastre!
No hay datos y hay DATOS, y el mayor tipo de riesgo es un ataque de
inyeccin SQL donde el atacante gana privado, PII, o los datos sensibles. Un
atacante no necesita asumir la funcin sysadmin para robar datos.
En algunos pases, estados, y las industrias, puede ser legalmente
responsable debe ocurrir esto.
Por ejemplo, en el estado de California, la Ley de Proteccin de Privacidad
Online podra aterrizar en problemas legales si sus bases de datos se ven
comprometidos y contienen privada o personal datos. O, en Alemania, 9
BDSG (Ley Federal de Proteccin de Datos) que requiere para implementar