You are on page 1of 1

Owasp

El proyecto abierto de seguridad en aplicaciones Web (OWASP por sus siglas en ingles) es una comunidad
abierta dedicada a facultar a las organizaciones a desarrollar, adquirir y mantener aplicaciones que pueden
ser confiables.El objetivo del proyecto Top 10 es crear conciencia acerca de la seguridad en aplicaciones
mediante la identificacion de algunos de los riesgos mas criticos que enfrentan las organizaciones.
Que es sql injection?.Consiste en la insercion de codigo SQL por medio de los datos de entrada desde la
parte del cliente hacia la aplicacion. Es decir, por medio de la insercion de este codigo el atacante puede
modificar las consultar originales que debe realizar la aplicacion y ejecutar otras totalmente distintas con la
intencion de acceder a la herramienta, obtener informacion de alguna de las tablas o borrar los datos
almacenados, entre otras muchas cosas.
SELECT * FROM usuarios WHERE usuario = 'pepe' and password = '12345' OR '1' = '1';

Tipos de ataques SQL Injection

Ataques de primer orden: El atacante simplemente ingresa una cadena de texto maliciosa y provoca que el
codigo modificado sea ejecutado inmediatamente. El ejemplo mas comn consiste en modificar la clausula
WHERE de una consulta de autenticacion para que siempre retorne verdadero.
Ataques de segundo orden:El atacante inyecta en datos almacenados permanentemente que son
considerados una fuente confiable (Ej. una fila de una tabla) y posteriormente otra actividad ejecuta el
ataque indirectamente [4]. Este tipo de ataques requieren un mayor conocimiento de la aplicacion objetivo
y aprovechan la naturaleza stateless de muchas aplicaciones web que acostumbran pasar informacion
entre paginas almacenando valores en la base de datos, generando asi una vulnerabilidad [2].
Inyeccion lateral:El atacante puede explotar procedimientos PL/SQL que ni siquiera reciben entrada de
usuario. Contrario a lo que se puede pensar, cuando una variable cuyo tipo es de fecha o numerico, y esta
concatenada en el texto de una sentencia SQL, puede existir una vulnerabilidad [4].

SQL MANIPULATION:Representa el tipo mas comn de ataque de SQL Injection. El atacante intenta
modificar la sentencia SQL adicionando elementos a la clausula WHERE o extendiendo la consulta con
operadores como UNION, INTERSECT
CODE INJECTION:Consiste en inyectar comandos o sentencias dentro de una sentencia SQL, este tipo de
ataque no es tan comn en Oracle, este tipo de ataque no es tan comn en Oracle como en otras bases de
datos debido a que Oracle no proporciona ninguna sentencia correspondiente a la sentencia EXECUTE (SQL
Server), ni permite la solicitud de ejecucion de varias sentencias por base de datos
FUNCTION CALL INJECTION:Los ataques de Function Call Injection insertan funciones Oracle o funciones
tradicionales dentro de sentencias SQL vulnerables con el fin de invocar llamadas de sistema operativo o
manipular informacion almacenada en la base de datos
BUFFER OVERFLOWS:Error que ocurre al copiar una cantidad da datos sobre un area que no es lo
suficientemente grande para guardarlos, produciendose asi la sobre-escritura de zonas de memoria