CONTROLES DE PREVENCION
Prevención de la filtración a la información
Sin las medidas preventivas adecuadas, las aplicaciones son vulnerables a varios tipos de ataques de seguridad. Un tipo particular a pesar de ser una de las vulnerabilidades mas documentadas, hoy en día es el denominado SQL injection.
Utilizando este método, un hacker puede pasar cadenas de entrada a una aplicación con la esperanza de conseguir acceso no autorizado a la base de datos.
¿Qué es SQL Injection?
Una inyección SQL sucede cuando se inserta o inyecta un código SQL invasor dentro de otro código SQL para alterar su funcionamiento normal y hacer que se ejecute maliciosamente el código invasor en la base de datos.
Consulta: “select * from usuario where user=’$user’ ”;
Correcto Funcionamiento: “select * from usuario whereuser=’marco’ ”;
SQL malicioso: “select * from usuario where user= ’’ or ‘1’ =’1’ ”;
Aunque existen diversas técnicas de proteger servidores y siguen encontrándose hoy en día a parte de las buenas prácticas de programación, es necesario utilizar software/módulos de apoyo que nos ayuden a tener nuestros servidores web más seguros frente a inyecciones SQL.
Por ejemplo tenemos la herramienta GreenSQL, que es un firewall de aplicación, que se interpone a modo de proxy entre el servidor de MySQL y la aplicación web. Es capaz de filtrar las sentencias y proteger las bases de datos de ataques de tipo SQL injection.
Las peticiones llegan a nuestra aplicación web, se envían al puerto por el que escucha GreenSQL, que las analiza y las reenvía al servidor MSQL. GreenSQL puede instalarse en el mismo sistema donde reside la base de datos o en otro diferente.
0 comentarios:
Publicar un comentario