Guía Completa sobre la Inyección SQL y Cómo Identificar Vulnerabilidades

By /

La inyección SQL (SQLi, por sus siglas en inglés, Structured Query Language Injection Attack) es una técnica de inyección de código que los atacantes utilizan para explotar vulnerabilidades en la capa de base de datos de un sitio web o aplicación. Si entiendes cómo funcionan estos ataques, estarás mejor equipado para prevenirlos.

Los ataques de inyección SQL han sido durante mucho tiempo uno de los ataques más comunes a todo tipo de sitios web. En 2023, las inyecciones SQL siguen siendo algunos de los ataques más frecuentes en la web. Según el Open Web Application Security Project (OWASP), la inyección SQL es una de las diez vulnerabilidades más peligrosas y populares que pueden presentarse en entornos web. La buena noticia es que las inyecciones SQL ya no son tan frecuentes como antes; en 2012, el 97% de las violaciones de datos se debían a inyecciones SQL.

Expertos en seguridad de la información coinciden en que los ataques informáticos cada vez son más recurrentes, usualmente a los sistemas web, alterando o exponiendo la información personal, en especial a las aplicaciones web. Esto se debe a su complejidad, extensión, alta personalización y, usualmente, a que son desarrolladas por programadores con poca experiencia en seguridad. Las bases de datos contienen lo que se considera una "mina de oro" de información, convirtiéndose en uno de los elementos estratégicos más importantes de una organización.

¿Qué es SQL y Cómo Funciona la Inyección SQL?

SQL (Structured Query Language, Lenguaje de Consulta Estructurado) es un lenguaje que nos permite interactuar con las bases de datos. Desarrollado a principios de los años 70, SQL es uno de los lenguajes de programación más antiguos que todavía se utiliza hoy en día para gestionar bases de datos en línea. Estas bases de datos pueden contener información sensible y valiosa, como nombres de usuario, contraseñas, información de tarjetas de crédito y números de seguro social.

La inyección SQL se produce cuando un usuario intenta insertar sentencias SQL maliciosas en una aplicación web. Un ataque de inyección SQL se produce cuando un valor en la solicitud del cliente se utiliza dentro de una consulta de SQL sin un saneamiento previo. En resumen, una inyección SQL ocurre cuando los hackers introducen comandos maliciosos en formularios web, como el campo de búsqueda, el campo de inicio de sesión o la URL, de un sitio web no seguro para obtener acceso no autorizado a datos sensibles y valiosos.

Ejemplo Práctico de Inyección SQL

Imagina el flujo de trabajo de una aplicación web típica que implica peticiones a la base de datos a través de entradas de usuario. Obtienes la entrada del usuario a través de un formulario, por ejemplo, un formulario de inicio de sesión. A continuación, consultas a tu base de datos con los campos enviados por el usuario para autenticarlo. Por ejemplo, una consulta SQL podría ser: SELECT * FROM users WHERE username = '{$username}' AND password = '{$password}'.

Si un atacante introduce en el campo de nombre de usuario admin' -- y una contraseña cualquiera, la consulta se convertiría en: SELECT * FROM users WHERE username = 'admin' --' AND password = '{$password}'. En SQL, el símbolo -- inicia un comentario, por lo que todo lo que viene después se ignora. Esto elimina la comprobación de la contraseña de la consulta. Como resultado, si "admin" es un nombre de usuario válido, el atacante puede entrar sin conocer la contraseña. Alternativamente, un atacante puede introducir ' OR '1'='1 en un campo de formulario, lo que haría que la condición '1'='1' sea siempre verdadera, autenticando al atacante.

Esquema de cómo funciona la inyección SQL en un formulario de inicio de sesión

Tipos de Ataques de Inyección SQL

Existen diversas técnicas de inyección SQL, clasificadas generalmente según la forma en que el atacante obtiene los datos o verifica la vulnerabilidad:

Inyección SQL en Banda (In-band SQL Injection)

La inyección SQL en banda es la forma más sencilla de inyección SQL, donde el atacante utiliza el mismo canal de comunicación para lanzar el ataque y recuperar los resultados.

  • Basada en errores (Error-based SQL Injection): Se produce cuando alguien manipula intencionadamente la consulta SQL para generar un error en la base de datos. Aunque un atacante genere un error en la consulta SQL, la respuesta puede que no se transmita directamente a la página web. Si una consulta SQL produce un error que no se ha gestionado internamente en la aplicación, la página web resultante puede lanzar un error, cargar una página en blanco o cargarse parcialmente.
  • Basada en consultas UNION (UNION Query-based SQL Injection): Utiliza el operador UNION para combinar los resultados de la consulta original con los resultados de una consulta inyectada maliciosa, permitiendo al atacante recuperar información de la base de datos. Por ejemplo, ' UNION SELECT nombre_usuario, contraseña FROM tabla_usuario --.

Inyección SQL Fuera de Banda (Out-of-band SQL Injection)

En un ataque de inyección SQL fuera de banda, el atacante manipula la consulta SQL para ordenar a la base de datos que transmita datos a un servidor controlado por el atacante. Este tipo de ataque utiliza una función externa de proceso de archivos de tu Sistema de Gestión de Bases de Datos (DBMS). Por ejemplo, la función LOAD_FILE() puede utilizarse para leer un archivo del servidor y mostrar su contenido, o transferir su contenido a otro lugar.

Inyección SQL Ciega (Blind SQL Injection)

En la inyección ciega, los desarrolladores ocultan mensajes de error que podrían ser útiles para los atacantes. En esta situación, el atacante se encuentra con una página estática y realiza preguntas de verdadero/falso mediante el uso de comandos SQL hasta conseguir su objetivo, sin obtener una respuesta directa de la base de datos.

  • Basada en booleanos (Boolean-based blind): El atacante envía varias consultas a la base de datos con una condición que será verdadera o falsa. Observando cómo se carga la página (normalmente o con cambios sutiles), el atacante puede determinar si la condición era verdadera o falsa, aunque no vea la consulta SQL real ni la respuesta de la base de datos.
  • Basada en tiempo (Time-based blind): Un ataque de inyección SQL basado en el tiempo puede ayudar a un atacante a determinar si existe una vulnerabilidad en una aplicación web. Un atacante utiliza una función predefinida basada en el tiempo del sistema de gestión de bases de datos que utiliza la aplicación (ej. SLEEP() o BENCHMARK()). Si una consulta de este tipo produce un retraso, el atacante sabría que es vulnerable, permitiéndole inferir información.

Otros Tipos y Técnicas

  • Tautologías: Utilizan consultas condicionales e insertan tokens SQL que siempre resultan ser ciertos.
  • Consultas ilegales o lógicamente incorrectas: Los atacantes utilizan los mensajes de error de las bases de datos para encontrar vulnerabilidades en las aplicaciones.
  • Consultas con respaldo o Piggy-backed: Los atacantes adjuntan delimitadores como ; a la consulta original y las ejecutan simultáneamente, siendo la primera legítima y las demás falsas, pero retornando información valiosa.
  • Procedimientos almacenados (Stored procedures): Aunque erróneamente se piensa que son un remedio para la inyección SQL, los procedimientos almacenados, un subconjunto de consultas precompiladas, usan sus propios lenguajes de script que no tienen la misma vulnerabilidad que SQL estándar, pero pueden mantener otras diversas vulnerabilidades relacionadas con el lenguaje de scripting.
  • Inyección SQL Compuesta (Compounded SQL Injection): Se trata de una mezcla de dos o más técnicas de ataque, generando un efecto mayor. Puede ser una combinación de inyección SQL con ataques de denegación de servicio distribuidos (DDoS) o con autenticación insuficiente, permitiendo al atacante acceder a información privilegiada sin verificación de identidad.
  • Técnicas de evasión: Con respecto a este tipo de ataque, el atacante cambia el patrón de la inyección SQL para que no sea detectado por las técnicas comunes de detección y prevención.

Identificación de Vulnerabilidades y Detección de Ataques

Señales de un Ataque de Inyección SQL

Una dificultad que presentan las inyecciones SQL es que es posible que no impliquen ningún cambio aparente en tu página web. Todo puede parecer normal. Sin embargo, hay algunas señales a las que puedes estar atento:

  • Problemas de funcionalidad.
  • Opciones nuevas que no tenías.
  • Cambios notables en el apartado gráfico de tu página.
  • Una sobrecarga de solicitudes en un período de tiempo corto.

Cuando se da alguna de esas opciones, es muy probable que estés siendo víctima de una inyección SQL (u otro tipo de ataque), así que tendrás que tomar medidas.

Herramientas para el Análisis de Vulnerabilidades

Una evaluación de vulnerabilidades por inyección SQL puede ser realizada con el uso de herramientas tecnológicas para tal propósito. Clarke menciona que el uso de herramientas para realizar este tipo de acometidas es importante, pues permiten automatizar el ataque. La combinación de herramientas permite obtener resultados más precisos.

  • SQLMap: Es una herramienta basada en Free and Open Source, desarrollada sobre una licencia GNU GPLv2. SQLMap soporta, entre otras, la base de datos Oracle, además de otras bases de datos. SQLMap soporta seis técnicas de inyección: a ciegas basada en booleana (boolean-based blind), a ciegas temporalizado (time-based blind), basada en error (error-based), basada en consultas UNION (UNION query-based), fuera de banda (out-of-band) y consultas apiladas (stack querys). Estas técnicas forman parte de los parámetros de testeo que están incluidas en SQLMap y se aplican automáticamente.

    Para su uso, es importante apuntar a la dirección URL que contiene un script SQL. La estructura sqlmap -u URL --[parámetros] es la sentencia común. El parámetro --dbs permitirá obtener la base de datos. Posterior a la detección de la vulnerabilidad, se debe usar el parámetro -D y el nombre de la base de datos que será analizada. Si el resultado obtenido es efectivo, el parámetro --tables permitirá recuperar todas las tablas de la base de datos especificada.

  • Otras herramientas FOSS: Novaski sugiere el uso de 14 herramientas FOSS para detección de vulnerabilidades, de las cuales algunas como IronWASP, Vega, ZAP y SQLMap detectaron específicamente la vulnerabilidad de inyección SQL. Otras herramientas incluyen Arachni, Beef, Htcap, Metasploit, Skipfish, W3af, Wapiti, Wfuzz, XSSer y Xenotix.

Laboratorios y Entornos de Práctica (Aplicaciones Vulnerables)

La práctica hace al maestro, pero en el campo de la seguridad informática, si practicamos en aplicaciones o servidores de terceros, podemos llegar a tener problemas serios con la ley. Por este motivo, la comunidad ha desarrollado laboratorios seguros o "Aplicaciones Web Vulnerables", entornos diseñados deliberadamente con fallos de seguridad para permitir la práctica legal del hacking ético.

Algunos ejemplos de aplicaciones y entornos para practicar son:

  • OWASP Juice Shop: La aplicación vulnerable más avanzada actualmente. Simula una tienda online moderna (Single Page Application) escrita en Node.js, Express y Angular.
  • Damn Vulnerable Web App (DVWA): Una aplicación web vulnerable en PHP/MySQL que permite poner a prueba conocimientos ajustando el nivel de dificultad.
  • WebGoat: Mantenida por OWASP, es una aplicación J2EE diseñada para enseñar lecciones de seguridad.
  • bWAPP (buggy web app): Una recopilación masiva de apps vulnerables en una sola VM.
  • Mutillidae II: Una imagen de VMware que contiene un conjunto de aplicaciones Web y scripts vulnerables. Ideal para probar scanners de seguridad y herramientas de análisis estático (SCA).
  • VAmPI: Con el auge de las APIs, VAmPI es un entorno crucial "Vulnerable by Design" para AWS (Amazon Web Services).
  • Metasploitable: El entorno de entrenamiento oficial de Metasploit.
  • SQL Injection Labs: Aplicación escrita en Java por la Universidad de Stanford.
  • WordPress Exploitable: Una serie de imágenes para practicar sobre configuraciones LAMP.
  • PentesterLab: Un clásico con misiones básicas y realistas.
  • VulnApp: Galería de imágenes vulnerable.

Para aquellos que no quieren instalar nada, existen sitios alojados en internet que permiten realizar pruebas de aprendizaje sin cometer delitos, como la simulación bancaria de PentesterLab.

Prevención y Mitigación de Ataques de Inyección SQL

Es fundamental considerar que grandes empresas han perdido muchísimos clientes por una vulnerabilidad que permitió un ataque de este tipo. Es crucial que la seguridad sea una prioridad al administrar un sitio web. La mejor opción para contrarrestar los ataques de inyección SQL es la prevención mediante medidas de seguridad fuertes.

Buenas Prácticas de Codificación y Desarrollo

La mejor manera de evitar SQL Injection es programar la aplicación web de manera que no permita realizarlas. Esto a menudo implica corregir una codificación descuidada.

  • Validación de entrada: Consiste en verificar que los datos introducidos por los usuarios sean válidos antes de enviarlos a la base de datos. Esto incluye escapar caracteres especiales en la entrada del usuario, convirtiendo los caracteres especiales a sus correspondientes caracteres HTML para evitar ataques de Cross-Site Scripting (XSS).
  • Declaraciones preparadas (Prepared Statements) o Parámetros: Esta es la forma más eficaz de evitar inyecciones SQL. A diferencia del SQL dinámico, las declaraciones preparadas limitan las variables de los comandos SQL entrantes. De esta manera, los ciberdelincuentes no pueden adjuntar inyecciones SQL maliciosas a sentencias SQL legítimas, ya que los datos y el código están separados.
  • Uso de procedimientos almacenados: Pueden ser útiles al almacenar sentencias SQL en la base de datos, que son ejecutadas desde la aplicación web por el usuario, limitando lo que los ciberdelincuentes pueden hacer.
  • Restringir permisos de usuario a la base de datos (Principio de Menor Privilegio - PoLP): Cada cuenta debe tener solo el acceso suficiente para hacer su trabajo y nada más. Por ejemplo, una cuenta web que solo necesita acceso de lectura a una base de datos no debería tener la capacidad de escribir, editar o cambiar datos de ninguna manera.
  • Contratar desarrolladores competentes y experimentados: Asegúrate de que tus desarrolladores de software conozcan las mejores prácticas de seguridad desde el principio.

Medidas de Seguridad Adicionales

  • Actualización de software: Mantén tu software de gestión de bases de datos, sistemas de gestión de contenido (CMS como WordPress), plugins y temas de terceros siempre actualizados. Las actualizaciones y parches solucionan fallos de seguridad conocidos que los ciberdelincuentes podrían explotar.
  • Auditoría de plugins y temas de terceros: Si utilizas plugins y temas, audita su desarrollo y código para detectar vulnerabilidades, especialmente si su desarrollo se ha estancado.
  • Uso de funciones de sanitización de datos: En CMS como WordPress, utiliza las funciones de sanitización de datos proporcionadas por el núcleo (ej., el grupo de funciones $wp_db y la lista de funciones para sanitizar datos en WordPress), ya que estas son probadas a fondo para detectar vulnerabilidades.
  • Revisión de logs y registros de acceso: La detección de un ataque por inyección SQL puede darse cuando se acostumbra a revisar verificaciones de logs, registros de acceso y detecciones de intrusos.
  • Defensa en profundidad: Aplica el principio de defensa en profundidad utilizando herramientas como IDS (Sistemas de Detección de Intrusiones) o WAFs (Firewalls de Aplicaciones Web), que actúan como una barrera para analizar el tráfico de entrada y salida.
  • Copias de seguridad de la base de datos: La creación de una copia de seguridad es una medida de prevención crucial que te permitirá restaurar tu base de datos y eliminar cualquier código malicioso insertado en caso de un ataque.
  • Formación del equipo: Muchos ataques se producen por falta de formación en los equipos sobre cómo crear contraseñas seguras, cómo evitar el phishing y el spam, o cómo identificar correos electrónicos sospechosos.

Impacto Histórico y Consecuencias de la Inyección SQL

Los ataques de SQLi son tan fáciles que los atacantes pueden encontrar sitios web vulnerables usando búsquedas avanzadas de Google, llamadas Dorking de Google. Una vez que encuentran un objetivo adecuado, los atacantes de SQLi pueden usar programas automatizados para llevar a cabo el ataque efectivamente. A pesar de esto, son ataques comunes y ocurren todos los días.

Historia de la Inyección SQL

El concepto de inyección SQL fue discutido públicamente por primera vez en 1998 por el escritor bajo el seudónimo de Rain Forest Puppy, quien explicó cómo adjuntar comandos SQL no autorizados a comandos SQL legítimos y extraer información sensible de bases de datos. Inicialmente, Microsoft no consideró esta vulnerabilidad como un problema serio, a pesar de que muchas industrias dependían de su tecnología de gestión de bases de datos.

Ataques Notables

A lo largo de los años, varias organizaciones importantes han sido víctimas de ataques de inyección SQL:

  • 7-Eleven (2007): Hackers rusos usaron inyecciones SQL para acceder a la base de datos de tarjetas de débito, retirando dos millones de dólares.
  • Ejército de EE.UU. (2007): Ciberdelincuentes obtuvieron control administrativo sobre dos sitios web relacionados con el Ejército y redirigieron a los visitantes a sitios con propaganda antiamericana.
  • MySpace (2008): Uno de los mayores ataques en un sitio web de consumidores, donde se robaron correos electrónicos, nombres y contraseñas parciales de casi 360 millones de cuentas.
  • Vtech (2015): Un ataque SQLi resultó en una filtración de datos de casi cinco millones de padres y 200.000 niños, lo que se considera uno de los pirateos más inquietantes de la historia.
  • Equifax (2017): La brecha de datos más flagrante, que expuso información personal extremadamente sensible (nombres, números de seguro social, fechas de nacimiento, direcciones) de 143 millones de consumidores, a pesar de las advertencias de vulnerabilidad SQLi.

Estos incidentes demuestran que, a pesar de la longevidad de los ataques de SQLi, estos no han cambiado ni evolucionado sustancialmente, continuando siendo efectivos hasta que se modifique la actitud hacia la ciberseguridad.

Consecuencias para Negocios e Individuos

Un solo ataque de SQLi puede proporcionar a los ciberdelincuentes información personal, correos electrónicos, inicios de sesión, números de tarjetas de crédito y números de seguro social de millones de consumidores. Los correos electrónicos robados pueden ser usados para ataques de phishing y malspam, que a su vez pueden infectar a las víctimas con malware como ransomware, adware, criptominadores y troyanos. Los inicios de sesión robados de sitios de redes sociales pueden usarse para enviar mensajes de spam y robar aún más inicios de sesión.

Para los negocios, el impacto es devastador. Un estudio de IBM encontró que el costo promedio de una brecha de datos, incluyendo la remediación y las sanciones, es de 3.86 millones de dólares. Las pequeñas y medianas empresas pueden esperar pagar 148 dólares por cada registro de consumidor robado. Un ataque SQL puede generar pérdidas sustanciales de datos en tu base, robo de información o el control total de tu web, lo que a su vez conlleva pérdidas de clientes y daño reputacional.

La inyección SQL es un problema grave para cualquier página web. La ley de SQLi se rige por leyes diferentes en varios países, y aunque no todos los ataques generan un daño necesariamente grave, la vulnerabilidad que permiten es total en tu web.

tags: #encontrar #paginas #vulnerables #sql #injection

Publicaciones populares:

  • Representaciones de la tercera edad en Ghibli
  • La protección de la infancia en Chile y el SENAME
  • Guía sobre la Ley Bustos en Chile
  • Mejora la destreza y el pulso con estos juegos para mayores
  • descubre la importancia del arroz en Sekiro: Shadows Die Twice