Las bases de datos primarios utilizados en el comercio electrónico hoy en día son el Microsoft SQL Server y Oracle. El Microsoft SQL Server es un gran ejemplo de una base de datos que creció demasiado rápido, con poca atención a la seguridad.
Aunque reciente campaña "irrompible" de Oracle volvió a algunas cabezas, una serie de vulnerabilidades de Oracle a la superficie.
tenemos que discutir un par de conceptos importantes que se relacionan con ambos proveedores.
Envenenamiento SQL
envenenamiento SQL es una técnica que primero se produjo por un error de buena fe y se puede encontrar en cualquier entorno con una base de datos SQL back-end (Microsoft SQL Server, Oracle, Access, etc.).
Estamos seguros de que no fue intencional, pero alguien, en algún lugar (no necesariamente un hacker), escrito mal una URL o no insertado un carácter adicional en la dirección URL, haciendo la solicitud en línea para enviar datos falsos a la base de datos, la producción de un error- o peor aún, los datos erróneos.
Esta técnica es peligroso y omnipresente, contribuyendo enormemente a algunos de los hacks Web más elaboradas.
También permite que el atacante sea casi invisible a los productos de detección de intrusiones basados en red
Hay dos tipos de intoxicación SQL a considerar:.
(1) Los datos de producción y
(2) la producción de error. Debido a que ambas técnicas son peligrosos, son dignos de seria consideración en el diseño de aplicaciones.
Datos Producir
Con los datos que producen los ataques, el atacante se aprovecha de una debilidad en el diseño de aplicaciones Web para pasar estándar cadenas SQL a la consulta SQL diseñada, evitando con ello la salida prevista y la producción de datos adicionales.
Error Producir
Con ataques producir error, el objetivo no es necesariamente para eludir los mecanismos de control establecidos para obtener datos no autorizados (aunque eso es uno de los sub-productos), sino más bien para mostrar la información de configuración valioso.
Arrendamiento de un Printer