SQL INJECTION o INYECCIÓN SQL es una forma de infiltración que utiliza un código intruso, que aprovecha una vulnerabilidad en las paginas web a nivel de validación de entradas para lograr hacer una consulta a la base de datos.
la vulnerabilidad se basa en un mal filtrado de las variables al hacer la autenticacion, que genera o contiene código SQL. Esta es una de las vulnerabilidades mas frecuentes en los lenguajes de programación.Se puede decir que se produjo un ataque SQL INJECTION cuando se inserta código SQL invasor dentro del código ya programado, con el fin de alterar el funcionamiento normal del aplicativo o en muchos casos extraer información como contraseñas de administradores del sistema.
Este tipo de vulnerabilidad en la mayoría de casos es de carácter malicioso, dañino o espía por eso es recomendable que el programador tenga en cuenta este tipo de errores para que la integridad de la base de datos no se vea comprometida.
A continuación podremos ver como se realiza un ataque SQL INYECCIÓN básico en paginas que encontramos normalmente en Internet:
1.Primero debemos elegir una pagina que tenga vulnerabilidad SQL buscando en google con la frase: "inurl index.php? id=" o con terminación en .asp
2. Después ubicamos el formulario donde pide los datos de logueo:
3.Luego en la casilla donde dice usuario escribimos admin, administrador o root que generalmente son el usuario por defecto.
4. Después sigue lo mas importante, en la casilla password debemos colocar: 'or''=' que funciona como un if simple de programación que consiste en que si cualquiera de las dos casillas es verdadera nos dejara ingresar en modo administrador
Damos click en ingresar
Podemos apreciar que tenemos acceso a la información en modo administrador
CABE ACLARAR QUE ESTE TUTORIAL ES HECHO CON FINES ACADÉMICOS NO NOS HACEMOS RESPONSABLES DEL MAL USO DE ESTA INFORMACIÓN.
BY REDEVIL
0 comentarios:
Publicar un comentario