UN HACKER ETICO TAMBIEN LLAMADO HACKER DE SOMBRERO BLANCO ES A QUEL QUE
USA SUS CONOCIMIENTOS AVANZADOS EN INFORMÁTICA PARA HACER EL BIEN. SU TRABAJO ES REALIZAR PRUEBAS EN REDES Y SISTEMAS Y LOCALIZAR VULNERABILIDADES. UNA VEZ DETECTADAS, SE INFORMA DE ELLAS PARA QUE SE TOMEN MEDIDAS Y SE SOLUCIONEN., ESTE UTILIZA LAS MISMA TECNICAS DE LOS HACKER TRADICIONALES PERO SU DEDER ES REPORTAR LAS FALLAS MAS QUE APROVECHARSE DE ESTAS, EL HACKER ETICO ES AQUEL QUE REALIZA SU TRABAJO DE LA MEJOR MANERA POSIBLE, GUARDANDO LA CONFIDENCIALIDAD QUE CORRESPONDE, PRESENTA INFORMES DE SUS HALLAZGOS Y RECOMENDACIONES AL EQUIPO TÉCNICO, NO MANIPULA LA INFORMACIÓN Y REALIZA SU TRABAJO DE MANERA RESPONSABLE UTILIZANDO ADECUADAMENTE LOS RECURSOS DE MANERA EFICIENTE.
HACKING ¿QUÉ OPINAS AL RESPECTO?
ES UNA TÉCNICA MUY BUENA ANTE ATAQUES, YA QUE CONSISTE EN LA SIMULACIÓN DE
POSIBLES ESCENARIOS DONDE SE REPRODUCEN ESTOS ATAQUES DE MANERA CONTROLADA, CON ESTO SE IDENTIFICA EL NIVEL DE VULNERABILIDAD DE UNAS ORGANIZACIÓN Y A SU VEZ HACE POSIBLE DEFINIR ESTRATEGIAS PARA MEJORAR EL SISTEMA DE SEGURIDAD.
¿QUÉ ES SQL-INJECTION?
EL SQL INJECTION EN OTRAS PLAABRAS EN UNA INJECCION DE CODIGO, LA CUAL ES
UTILIZADA PARA ATAR, AMARRAR APLICACIONES BASADAS EN DATOS EN LA QUE SE INSERTAN SENTENCIAS SQL MALICIOSAS EN UN CAMPO DE ENTRADA PARA SU EJECUCIÓN, EL SQL INJECTION EXPLORA UNA VULNERABILIDAD DE SEGURIDAD EN EL SOFTWARE DE UNA APLICACIÓN.
¿QUÉ MECANISMO PEDEN ESTABLECERCE PARA PREVENIR LA INYECCION DE SQL?
LOS MECANISMOS QUE PUEDEN ESTABLECERCE PARA PREVENIR LA INYECCION DE SSQL
SON:
1) AÑADIR CARACTERES ESPECIALES UTILIZADOS EN LAS CONSULTAS SQL
AÑADIR LA BARRA INVERTIDA “\” DELANTE DE LAS CADENAS UTILIZADAS EN LAS
CONSULTAS SQL PARA EVITAR QUE ESTAS CORROMPAN LA CONSULTA. ALGUNOS DE ESTOS CARACTERES ESPECIALES QUE ES ACONSEJABLE AÑADIR SON LAS COMILLAS DOBLES (“), LAS COMILLAS SIMPLES (‘) O LOS CARACTERES \X00 O \X1A YA QUE SON CONSIDERADOS COMO PELIGROSOS PUES PUEDEN SER UTILIZADOS DURANTE LOS ATAQUES. 2) DELIMITAR LOS VALORES DE LAS CONSULTAS AUNQUE EL VALOR DE LA CONSULTA SEA UN ENTERO, ES ACONSEJABLE DELIMITARLO SIEMPRE ENTRE COMILLAS SIMPLES.
3) VERIFICAR SIEMPRE LOS DATOS QUE INTRODUCE EL USUARIO
SI EN UNA CONSULTA ESTAMOS A LA ESPERA DE RECIBIR UN ENTERO, NO CONFIEMOS EN
QUE SEA ASÍ, SINO QUE ES ACONSEJABLE TOMAR MEDIDAS DE SEGURIDAD Y REALIZAR LA COMPROBACIÓN DE QUE REALMENTE SE TRATA DEL TIPO DE DATO QUE ESTAMOS ESPERANDO. TAMBIÉN ES ACONSEJABLE COMPROBAR LA LONGITUD DE LOS DATOS PARA DESCARTAR POSIBLES TÉCNICAS DE INYECCIÓN SQL.
D) ASIGNAR PRIVILEGIOS MINIMOS AL USUARIO.
EL USUARIO QUE UTILICEMOS PARA CONECTARNOS A LA BASE DE DATOS DESDE NUESTRO
CÓDIGO DEBE TENER LOS PRIVILEGIOS JUSTOS PARA REALIZAR LAS ACCIONES QUE NECESITEMOS. NO UTILIZAR NUNCA UN USUARIO ROOT CON ACCESO A TODAS LAS BASES DE DATOS YA QUE DE ESTA FORMA ESTAREMOS DANDO FACILIDADES A LOS HACKERS PARA QUE PUEDAN ACCEDER A TODA LA INFORMACIÓN.