SQL Injection

• Categoría:

• InputValidation

• Referencia:

• OWASP-IV002

Descripcion:

Esta prueba detecta vulnerabilidades que permiten a un atacante manipular consultas SQL enviando entradas maliciosas, garantizando que las consultas SQL procesen únicamente datos validados y seguros, evitando manipulaciones malintencionadas.

Herramientas recomendadas:

• SQLmap

Recomendaciones para realizar la prueba:

Los atacantes intentan introducir código SQL malicioso en campos de entrada, como formularios o parámetros en URL. Por ejemplo, podrían usar caracteres especiales como ' OR '1'='1 para evadir controles de autenticación o extraer información confidencial directamente desde la base de datos. Se recomienda instalar SQLMap en tu entorno, ejecutar el escaneo contra la aplicación utilizando una URL sospechosa (por ejemplo: sqlmap -u "http://example.com/page?id=1" , analizar los resultados y corregir cualquier vulnerabilidad encontrada.

Validar y sanitizar todas las entradas del usuario antes de usarlas en consultas SQL. Utilizar consultas ya preparadas o procedimientos almacenados para manejar las interacciones con la base de datos de forma segura. Evita concatenar cadenas para construir consultas SQL y limita los permisos del usuario de base de datos utilizado por la aplicación. Realiza pruebas con entradas maliciosas para identificar posibles vulnerabilidades.