OWASP TOP 10 2017 – A1: Injection
OWASP TOP 10 2017 – A1: Injection
Las inyecciones han liderado el OWASP TOP 10 en todas las ediciones anteriores a la versión de 2017 y en ese sentido se posiciona como unos de los tipos ataques a aplicaciones más peligrosos.
Existe una variada cantidad de tipos de inyecciones como las SQL, comandos de sistema operativos, XML, LDAP y más. Nos centraremos en las inyecciones SQL.
Las consecuencias van desde ejecución de código remoto, destrucción de información, robo masivo de información y más.
La causa más común de las inyecciones en la ausencia de controles en la entrada de datos suministrados por los usuarios como consecuencia del desconocimiento de la existencia de este tipo de ataque y la ausencia de buenas prácticas de desarrollo.
Las inyecciones ocurren cuando un atacante añade datos maliciosos en los parámetros de entrada de las aplicaciones con la intención de que sean interpretados como código produciendo resultados peligrosos.
Existen muchas técnicas y variantes de las inyecciones SQL. Asimismo, las herramientas más utilizadas para este tipo de ataques son SQLMAP y BURPSUITE. En el siguiente video explicamos un ejemplo sencillo de este ataque:
Existen varias maneras de poder evitar este ataque como el filtrado, validación, codificación y escape de caracteres en los datos de entrada.
La recomendación preferida de OWASP es el uso de consultas parametrizadas que asegura que los datos de entrada son interpretados como parámetros y no como código lo que evita la inyección.
Uno de los tantos casos memorables de este tipo de ataques fue cuando la conocida desarrolladora de videojuegos VALVE tuvo que pagar 25 000 USD como parte del programa de recompensas Hackerone a un investigador de seguridad cuanto este pudo ejecutar exitosamente una peligrosa inyección SQL en uno de sus sistemas. Enlace al reporte oficial.
Finalmente, te cuento que en SEGURIDAD CERO tenemos un curso dedicado a conocer no solo las inyecciones, sino que recorremos todo el OWASP TOP 10 2021 y 2017.
Puedes comprar el curso en el siguiente enlace: OWASP TOP 10 Web - Los 10 mayores riesgos de las aplicaciones web.
Fernando Conislla | Cybersecurity Expert