Powered By Blogger

Bienvenidos



Muy complacido de diseñar este lugar para compartir aspectos relacionados con la tecnología de la información y la manera de prevenir hechos en materia de fraudes electrónicos que cada día avanzan de manera sorprendente. Concientizar es mi propósito definido apoyado en la investigación a fin de enlazar una red de colaboradores en este ámbito.

viernes, 27 de marzo de 2009

Amenaza de la inyección de SQL en la organización

Realizado por Rafael A. Malpica V
Estudiante Postgrado en Seguridad de la Información

La inyección SQL es una técnica de hackeo el consiste en injertar código malicioso dentro de un código limpio con el propósito de alterar los datos y por ende mostrar información incorrecta. Estos tipos de ataques son muy comunes en la web. Esta amenaza de seguridad se debe principalmente a fallas por parte del programador que no es capaz de establecer filtros adecuados en los campos de un formulario. Numerosos sitios web han sido atacados valiéndose de este método. Esta técnica consiste básicamente de colocar dentro de un campo formulario web una sentencia de SQL de una forma tal que el servidor lo interprete como si fuera parte del código original, por eso se le llama inyección.
El objetivo de este ataque principalmente es para dañar datos, también se usa para obtener información confidencial, para luego ser usada por el atacante o ser vendida a terceros.
Muchas web famosas en el mundo han sido víctima de estos ataques como por ejemplo la web de las naciones unidas. Como se menciono anteriormente estos ataques son posibles gracias a la inexperiencia del programador web.
Las organizaciones utilizan la internet como medio para ofrecer sus productos, servicios y también lo usan para dar una imagen corporativa y expandir sus negocios en el mundo. El tener un personal inexperto encargado en elaboración de un WEB por tan sencillo que parezca realizar una web implica un riesgo alto en especial si se habla de una organización altamente automatizada.
Los directivos de muchas organizaciones desconocen realmente el significado de la seguridad de la información y no dicta los mejores controles al momento de contratar el personal encargado de desarrollar aplicaciones web. Suelen contratar a cualquiera con conocimiento mínimo ya que ellos considera erróneamente es una tarea sencilla.
La solución es relativamente sencilla, el programador debe establecer métodos eficientes para filtrar los datos que los usuarios coloquen en los formularios, establecer solo los permisos necesarios de acceso a la base de datos. Es importante destacar que la web no puede tener acceso a la base de datos con privilegios administrativos ya que el riesgo se hace mucho mayor.
Una de las recomendaciones que se le puede dar a la organización es que sea más selectivo al momento de contratar a personal para crear un sitio web o contratar un outsourcing de reconocida trayectoria.
Publicadas por a la/s

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)