Carrito de compras

Inyección, número uno a nivel de riesgo de las aplicaciones web

14 ene. Jaker de aplicaciones

Hoy en día la inyección está en primer lugar según el top 10 de la lista de riesgos de seguridad en aplicaciones web según la OWASP (Open Web Application Security Project). En toda aplicación que facilita entrada de datos expone una entrada a su plataforma de posibles atacantes que quieran explotar alguna vulnerabilidad que facilite el acceso a la información de los sistemas o a ejecución de comandos no deseados.

Algunos de los tipos de inyección más comunes son:

  • Consultas SQL
  • Consultas LDAP
  • Comandos del sistema operativo

Una de las vulnerabilidades más conocidas a nivel de inyección son las que se dan a través de consultas dinámicas que prácticamente estructuran la consulta en tiempo de ejecución en base a la entrada de los usuarios en el sistema, como parte de este mismo mecanismo están la concatenación de parámetros de entrada de usuario, esto con el fin de realizar filtros en la información contenida a nivel de base de datos.

Ejemplo:

La imagen anterior presenta vulnerabilidad debido a la forma en que se estructura, si en el parámetro se ingresa el valor “‘ OR ‘1’=1”, al pasar como parámetro el texto anterior, lo que sucedería es que la consulta va arrojar toda la información contenida en la tabla de cuenta.

Como parte de la inyección a nivel de los sistemas no solo se busca sacar beneficio de vulnerabilidades a nivel de estructuras de búsqueda o de la concatenación de los parámetros, sino también de los errores en el sistema que puedan exponer información confidencial o de configuración de la aplicación que permita vulnerar de forma parcial o completa el aplicativo.

Según la OWASP de como prevenir la inyección, es manteniendo los datos separados de los comandos y estructuras. Como recomendación también se debe seguir buenas prácticas a nivel de desarrollo teniendo en consideración utilizar controles o software lo más actualizado para tener incorporado parches de seguridad o mejoras de seguridad que se hayan implementado por la comunidad en caso de ser software libre o de una empresa privada.

Ing. Absalon Blanco Castillo | I+D Development Consultant | Ingeniero en Computación

¿Te gustó? Entonces comparte la publicación: