PARTE I

WEB
PANORAMA DEL PECADO
Inyeccin SQL es un defecto de cdigo muy grave que puede conducir a
compromisos de la mquina, la divulgacin de los datos sensibles, y ms
recientemente, la difusin de software malicioso. Lo que es realmente la
preocupacin es los sistemas afectados por este tipo de vulnerabilidades
son a menudo las aplicaciones de comercio electrnico o aplicaciones de
manipulacin de datos sensibles o informacin de identificacin personal
(PII); y de la experiencia de los autores, muchos en la empresa o
aplicaciones con bases de datos de lnea de negocio tener errores de
inyeccin SQL.
Permtanos ser, con suerte, muy claro sobre el potencial de estragos. Si
construyes aplicaciones que se comunican con bases de datos y su cdigo
tiene la inyeccin de uno o ms de SQL vulnerabilidades (si lo sabes o no!),
se estn poniendo todos los datos en la base de datos en riesgo. Si esa frase
no se hundi en, mantenga leerlo hasta que lo haga.
A veces no es necesario una vulnerabilidad de inyeccin SQL para
comprometer los datos; la forma comn de comprometer una base de datos
es entrar en la puerta principal que dejaste abierta mediante la apertura el
puerto base de datos, tales como:
TCP / 1433 en Microsoft SQL Server
TCP / 1521 en Oracle
TCP / 523 en IBM DB2
TCP / 3306 en MySQL
Dejando estos puertos abiertos a Internet y el uso de una cuenta de base de
datos de administrador de sistemas por defecto contrasea es una receta
para el desastre!
No hay datos y hay DATOS, y el mayor tipo de riesgo es un ataque de
inyeccin SQL donde el atacante gana privado, PII, o los datos sensibles. Un
atacante no necesita asumir la funcin sysadmin para robar datos.
En algunos pases, estados, y las industrias, puede ser legalmente
responsable debe ocurrir esto.
Por ejemplo, en el estado de California, la Ley de Proteccin de Privacidad
Online podra aterrizar en problemas legales si sus bases de datos se ven
comprometidos y contienen privada o personal datos. O, en Alemania, 9
BDSG (Ley Federal de Proteccin de Datos) que requiere para implementar

la seguridad tcnica y de organizacin adecuado para sistemas de

manipulacin PII.
Y no olvidemos, en los Estados Unidos, la Ley Sarbanes-Oxley de 2002,
sobre todo 404, que obliga a proteger adecuadamente los datos utilizados
para obtener una empresa de financiera declaraciones. Un sistema que es
vulnerable a los ataques de inyeccin SQL claramente tiene ineficaces
control de acceso y, por lo tanto, podra ser visto como no conforme a estas
regulaciones.
Las organizaciones que manejan informacin de tarjeta de crdito puede
estar fuera de cumplimiento Payment Card Industry (PCI) Normas de
Seguridad de Datos (DSS) Requisito 6.5.6, que establece lo siguiente:
Desarrollar todas las aplicaciones web basadas en las directrices de
codificacin segura, como el Abierto Directrices del proyecto de seguridad
de aplicaciones Web. Revisin de la solicitud de cdigo personalizado para
identificar las vulnerabilidades de codificacin. Prevencin de las
vulnerabilidades comunes de codificacin en los procesos de desarrollo de
software, para incluir lo siguiente. . . . Las fallas de inyeccin (Por ejemplo,
lenguaje de consulta estructurado (SQL) de inyeccin).