FORO DE SOCIALIZACION DE PRUEBAS DE SEGURIDAD.

¿QUE ES UN HACKER ETICO?

UN HACKER ETICO TAMBIEN LLAMADO HACKER DE SOMBRERO BLANCO ES A QUEL QUE

USA SUS CONOCIMIENTOS AVANZADOS EN INFORMÁTICA PARA HACER EL BIEN. SU
TRABAJO ES REALIZAR PRUEBAS EN REDES Y SISTEMAS Y LOCALIZAR
VULNERABILIDADES. UNA VEZ DETECTADAS, SE INFORMA DE ELLAS PARA QUE SE TOMEN
MEDIDAS Y SE SOLUCIONEN., ESTE UTILIZA LAS MISMA TECNICAS DE LOS HACKER
TRADICIONALES PERO SU DEDER ES REPORTAR LAS FALLAS MAS QUE APROVECHARSE DE
ESTAS, EL HACKER ETICO ES AQUEL QUE REALIZA SU TRABAJO DE LA MEJOR MANERA
POSIBLE, GUARDANDO LA CONFIDENCIALIDAD QUE CORRESPONDE, PRESENTA INFORMES
DE SUS HALLAZGOS Y RECOMENDACIONES AL EQUIPO TÉCNICO, NO MANIPULA LA
INFORMACIÓN Y REALIZA SU TRABAJO DE MANERA RESPONSABLE UTILIZANDO
ADECUADAMENTE LOS RECURSOS DE MANERA EFICIENTE.

HACKING ¿QUÉ OPINAS AL RESPECTO?

ES UNA TÉCNICA MUY BUENA ANTE ATAQUES, YA QUE CONSISTE EN LA SIMULACIÓN DE

POSIBLES ESCENARIOS DONDE SE REPRODUCEN ESTOS ATAQUES DE MANERA
CONTROLADA, CON ESTO SE IDENTIFICA EL NIVEL DE VULNERABILIDAD DE UNAS
ORGANIZACIÓN Y A SU VEZ HACE POSIBLE DEFINIR ESTRATEGIAS PARA MEJORAR EL
SISTEMA DE SEGURIDAD.

¿QUÉ ES SQL-INJECTION?

EL SQL INJECTION EN OTRAS PLAABRAS EN UNA INJECCION DE CODIGO, LA CUAL ES

UTILIZADA PARA ATAR, AMARRAR APLICACIONES BASADAS EN DATOS EN LA QUE SE
INSERTAN SENTENCIAS SQL MALICIOSAS EN UN CAMPO DE ENTRADA PARA SU EJECUCIÓN,
EL SQL INJECTION EXPLORA UNA VULNERABILIDAD DE SEGURIDAD EN EL SOFTWARE DE
UNA APLICACIÓN.

¿QUÉ MECANISMO PEDEN ESTABLECERCE PARA PREVENIR LA INYECCION DE SQL?

LOS MECANISMOS QUE PUEDEN ESTABLECERCE PARA PREVENIR LA INYECCION DE SSQL

SON:

1) AÑADIR CARACTERES ESPECIALES UTILIZADOS EN LAS CONSULTAS SQL

AÑADIR LA BARRA INVERTIDA “\” DELANTE DE LAS CADENAS UTILIZADAS EN LAS

CONSULTAS SQL PARA EVITAR QUE ESTAS CORROMPAN LA CONSULTA. ALGUNOS DE
ESTOS CARACTERES ESPECIALES QUE ES ACONSEJABLE AÑADIR SON LAS COMILLAS
DOBLES (“), LAS COMILLAS SIMPLES (‘) O LOS CARACTERES \X00 O \X1A YA QUE SON
CONSIDERADOS COMO PELIGROSOS PUES PUEDEN SER UTILIZADOS DURANTE LOS
ATAQUES.
2) DELIMITAR LOS VALORES DE LAS CONSULTAS
AUNQUE EL VALOR DE LA CONSULTA SEA UN ENTERO, ES ACONSEJABLE DELIMITARLO
SIEMPRE ENTRE COMILLAS SIMPLES.

3) VERIFICAR SIEMPRE LOS DATOS QUE INTRODUCE EL USUARIO

SI EN UNA CONSULTA ESTAMOS A LA ESPERA DE RECIBIR UN ENTERO, NO CONFIEMOS EN

QUE SEA ASÍ, SINO QUE ES ACONSEJABLE TOMAR MEDIDAS DE SEGURIDAD Y REALIZAR LA
COMPROBACIÓN DE QUE REALMENTE SE TRATA DEL TIPO DE DATO QUE ESTAMOS
ESPERANDO. TAMBIÉN ES ACONSEJABLE COMPROBAR LA LONGITUD DE LOS DATOS PARA
DESCARTAR POSIBLES TÉCNICAS DE INYECCIÓN SQL.

D) ASIGNAR PRIVILEGIOS MINIMOS AL USUARIO.

EL USUARIO QUE UTILICEMOS PARA CONECTARNOS A LA BASE DE DATOS DESDE NUESTRO

CÓDIGO DEBE TENER LOS PRIVILEGIOS JUSTOS PARA REALIZAR LAS ACCIONES QUE
NECESITEMOS. NO UTILIZAR NUNCA UN USUARIO ROOT CON ACCESO A TODAS LAS BASES
DE DATOS YA QUE DE ESTA FORMA ESTAREMOS DANDO FACILIDADES A LOS HACKERS
PARA QUE PUEDAN ACCEDER A TODA LA INFORMACIÓN.