SQL

Las vulnerabilidades de inyección, en particular las inyecciones SQL, son una de las amenazas más comunes y peligrosas para las bases de datos. Este capítulo explora la relación entre las bases de datos y las inyecciones, cómo se explotan estas vulnerabilidades y las medidas de mitigación que se pueden implementar para proteger las bases de datos.

¿Qué es una Inyección SQL?

La inyección SQL (SQL Injection) es un tipo de vulnerabilidad de seguridad que permite a un atacante interferir con las consultas que una aplicación realiza a su base de datos. Esta vulnerabilidad ocurre cuando los datos proporcionados por el usuario son insertados en una consulta SQL de manera insegura, permitiendo al atacante manipular la consulta y ejecutar comandos no deseados.

Tipos de Inyección SQL

1. Inyección SQL Basada en Errores

• Descripción: El atacante utiliza los mensajes de error del servidor de base de datos para obtener información sobre la estructura de la base de datos.

• Ejemplo: Insertar una comilla simple ('), lo que puede generar un error SQL que revele información sensible.

2. Inyección SQL Basada en Unión (UNION)

• Descripción: El atacante utiliza la cláusula UNION para combinar los resultados de múltiples consultas SELECT en una sola consulta, extrayendo datos de otras tablas.

• Ejemplo: SELECT nombre, contraseña FROM usuarios WHERE id=1 UNION SELECT nombre, contraseña FROM admins.

3. Inyección SQL a Ciegas (Blind SQL Injection)

• Descripción: El atacante no recibe mensajes de error visibles, pero puede deducir la estructura de la base de datos y su contenido a través de pruebas y observaciones indirectas.

• Ejemplo: Manipulando condiciones booleanas en la consulta para inferir datos, como AND 1=1 (verdadero) o AND 1=2 (falso).

4. Inyección SQL Basada en Tiempo (Time-Based Blind SQL Injection)

• Descripción: Similar a la inyección ciega, pero utiliza retardos de tiempo para deducir la respuesta del servidor.

• Ejemplo: SELECT nombre FROM usuarios WHERE id=1 AND IF(1=1, SLEEP(5), 0).

Impacto de las Inyecciones SQL

Las inyecciones SQL pueden tener graves consecuencias, incluyendo:

• Exfiltración de Datos: El atacante puede acceder y extraer datos sensibles almacenados en la base de datos.

• Modificación de Datos: El atacante puede modificar o eliminar datos en la base de datos, alterando la integridad de la información.

• Compromiso del Sistema: En casos extremos, el atacante puede obtener acceso administrativo a la base de datos y ejecutar comandos del sistema operativo.

• Negación de Servicio (DoS): El atacante puede ejecutar consultas que agoten los recursos del servidor de base de datos, causando una denegación de servicio.

Ejemplos de Inyección SQL

Ejemplo 1: Inyección SQL Basada en Errores

SELECT * FROM usuarios WHERE nombre='admin' AND contraseña=''; --';

• Explicación: El atacante cierra la consulta original con '; --, lo que convierte el resto de la consulta en un comentario, potencialmente otorgando acceso sin una contraseña válida.

Ejemplo 2: Inyección SQL Basada en Unión

SELECT nombre, contraseña FROM usuarios WHERE id=1 UNION SELECT nombre, contraseña FROM admins;

• Explicación: El atacante combina los resultados de la consulta original con una segunda consulta que accede a la tabla de administradores.

Ejemplo 3: Inyección SQL a Ciegas

SELECT nombre FROM usuarios WHERE id=1 AND 1=1;
SELECT nombre FROM usuarios WHERE id=1 AND 1=2;

• Explicación: El atacante envía dos consultas, una que siempre es verdadera y otra que siempre es falsa, y observa las diferencias en las respuestas.

Medidas de Mitigación

1. Validación de Entrada

• Descripción: Validar y sanitizar todas las entradas del usuario para asegurarse de que contienen solo datos esperados.

• Técnicas: Utilizar listas blancas de caracteres permitidos, restringir los tipos de datos y longitudes de las entradas.

2. Consultas Preparadas (Prepared Statements)

• Descripción: Utilizar consultas preparadas con parámetros, que separan los datos de los comandos SQL, evitando la inyección.

• Ejemplo:

  Copiar

  cursor.execute("SELECT nombre FROM usuarios WHERE id = %s", (id,))

3. Procedimientos Almacenados

• Descripción: Utilizar procedimientos almacenados en lugar de consultas dinámicas, lo que puede reducir la superficie de ataque.

• Ejemplo:

  Copiar

  CREATE PROCEDURE ObtenerUsuario(IN id INT)
  BEGIN
    SELECT nombre FROM usuarios WHERE id = id;
  END;

4. Principio de Menor Privilegio

• Descripción: Configurar las cuentas de la base de datos con los mínimos privilegios necesarios para su funcionamiento.

• Técnicas: Asegurarse de que las cuentas de aplicaciones no tengan privilegios administrativos.

5. Monitoreo y Auditoría

• Descripción: Implementar sistemas de monitoreo y auditoría para detectar y responder rápidamente a intentos de inyección.

• Técnicas: Utilizar herramientas de detección de intrusiones y registrar todas las actividades de la base de datos.

Herramientas para Detectar y Explotar Inyecciones SQL

1. sqlmap

• Descripción: Herramienta automatizada de código abierto para la detección y explotación de vulnerabilidades de inyección SQL.

• Funcionalidad: Detecta y explota diferentes tipos de inyecciones SQL, extrae datos de la base de datos, y permite la ejecución de comandos del sistema operativo.

2. Burp Suite

• Descripción: Plataforma para pruebas de seguridad de aplicaciones web.

• Funcionalidad: Intercepta y modifica solicitudes y respuestas HTTP, lo que permite detectar y explotar inyecciones SQL manualmente.

3. Havij

• Descripción: Herramienta automatizada para la explotación de inyecciones SQL.

• Funcionalidad: Facilita la extracción de datos y la explotación de vulnerabilidades en bases de datos.