Professional Documents
Culture Documents
revisando la posibilidad del motor SQL, se percat de que era posible ejecutar sentencias
encadenadas. Debido a que se encontr una pgina web que permita introducir valores
en parmetros para la realizacin de bsquedas, pens en encadenar sentencias
SQL para provocar la ejecucin de consultas una vez la aplicacin concatenase dicha
consulta con la original en el cdigo fuente. Adems, como no poda ver el cdigo fuente
de la sentencia en s, pens en incluir caracteres guin para evitar la ejecucin del cdigo
posterior a lo que l introdujese.
Uno de sus compaeros contact con Microsoft para informar acerca de este nuevo
mundo de posibilidades que ofreca la aplicacin vulnerable y la base de datos MS SQL
Server. Microsoft no lo consider un problema, y lo dej estar.
Una de las recomendaciones que da es:
No asumas que los valores introducidos por el usuario son siempre adecuados en
sentencias SQL.
Actualmente estamos viendo ms de 50.000 ataques por da que entran en nuestra
categorizacin de inyeccin SQL. La mayora de ellos estn automatizados y tratan de
comprometer las vulnerabilidades conocidas en CMS y proyectos web (Joomla,
WordPress, vBulletin, etc) comn.
Esta es la fluctuacin de ataque para ataques SQLi, meses ms de mes:
El nmero de ataques que estn detectando est creciendo cada mes, esto es de
esperar, aunque como nuestro producto Sitio Web Firewall sigue creciendo. General, sin
embargo, el nmero de intentos de inyeccin SQL seguir creciendo.
Si profundizar en nuestros datos y conectarlo a un localizador de geo tambin podemos
ver que los ataques vienen de todas partes. La mayora de la gente tiende a pensar que
Rusia, Brasil, Rumania y algunos otros pases son las fuentes de los malos, pero para
la inyeccin de SQL, los mejores atacantes provienen de los EE.UU., India, Indonesia y
China:
As que a menos que slo un pas de servicios especficos y no se preocupan por el resto
del mundo, el bloqueo Geo no es una buena proteccin contra las inyecciones SQL
automatizados. Lo que encontramos interesante es que la mayora de los robots todava
como para fingir s mismos, ya sea como Google, MSIE 6 o establecer ningn agente de
usuario en absoluto:
16% - MSIE 6.0; Windows NT 5.1; SV1; NET CLR 1.1.4322)
13% - Googlebot / 2,1; + http: //www.google.com/bot.html)
11% - Ningn agente de usuario
Slo mediante el bloqueo de estas solicitudes anmalas, puedes librarte de un tercio de
todos los intentos de inyeccin automatizados.
Las tendencias de los nuevos ataques de SQL Injection se mueven en el campo de: