Tecnología

Inicio

¿Por qué no todos los sitios con las correcciones contra los ataques de SQL?

December 11

¿Por qué no todos los sitios con las correcciones contra los ataques de SQL?


El mismo código que los diseñadores Web utilizan para recuperar la información que alimenta sus sitios web a partir de bases de datos SQL también proporciona una de las vías de ataque del servidor más comunes para los piratas informáticos. Si bien estas vulnerabilidades pueden surgir de lo que permite preocupaciones comerciales de una empresa a los problemas de seguridad de triunfo en la aplicación de los parches de seguridad, sino que también puede provenir de una fuente no hay parche de seguridad se puede fijar: una mala programación.

Los ataques de SQL

páginas web que atraen a información de bases de datos SQL están diseñados para tomar la información específica de los usuarios, a continuación, utilizar esa información para construir una instrucción de consulta para recuperar información específica de una base de datos. ataques de inyección SQL toman la forma de los usuarios web 'manipular este proceso para engañar el código de la página web en la construcción de una consulta que devuelve la información sensible de una base de datos en lugar de la información pública del programador de la página diseñada para volver. Mediante el uso de trucos tales como la introducción de datos no válidos en los campos de entrada para forzar un mensaje de error que revela información sobre la estructura de la base de datos, o la introducción del texto, que hará que el código para devolver información de otras partes de la base de datos, un hacker puede recopilar información para poner en marcha una gran ataque en el servidor de la empresa u organización.

El tiempo de inactividad del servidor

software de base de datos de parches de seguridad de liberación proveedores para cerrar las vulnerabilidades de inyección SQL que los ataques pueden explotar, ya que los investigadores de seguridad a descubrir, pero las empresas no siempre se aplican estos parches a sus servidores inmediatamente después de que se liberan. Aunque no de forma inmediata la aplicación de parches de software significa que las empresas se están ejecutando a sabiendas un servidor con vulnerabilidades conocidas, la aplicación de estos parches requiere tomar servidores fuera de línea para mantenimiento. Esto significa que los clientes no podrán acceder a los servicios en línea de la Empresa, lo que resulta en el tiempo de inactividad de servicio al cliente o la pérdida de ingresos de las ventas en línea. Por esta razón, las empresas con frecuencia retrasan necesidad de desconectar para aplicar los parches hasta que un momento en que necesitan para llevar a cabo varias otras actualizaciones y parches.

Facilidad de Ataque

Un ataque de inyección SQL es una de las vulnerabilidades más fáciles de explotar, y es a menudo el primer ataque de un hacker novato aprende. Hay innumerables lecciones y tutoriales gratuitos en Internet para enseñar a cualquiera que esté interesado cómo llevar a cabo ellos. En combinación con la popularidad de los sitios web con páginas de cara al público que recuperan datos de bases de datos SQL, esto significa que cualquier hacker potencial tiene una gran cantidad de objetivos para sondear con los ataques de inyección SQL. Esto da lugar a los investigadores de seguridad 'en constante aprendizaje de nuevas vulnerabilidades y exploits. Mientras que una empresa que tomó su servidor por motivos de mantenimiento cada vez que se tuvo conocimiento de una nueva vulnerabilidad potencial sería el más seguro, sino que también tendría una gran cantidad de tiempo de inactividad del servidor.

Programación pobres

Aun cuando una empresa aplica convenientemente cada parche de un proveedor de software de SQL en libertad, los parches no pueden cerrar otro lugar para los ataques de inyección SQL: una mala programación. Muchos ataques SQL éxito son el resultado de los programadores Web 'no tomar medidas simples, tales como la validación de entrada del usuario para asegurarse de que no está diseñado para obligar a los mensajes de error de SQL, o prevenir el usuario escriba manualmente en elementos clave de una consulta SQL que una hacker podría utilizar para seleccionar los diferentes campos de datos sensibles. Los programadores que dicho código vulnerabilidades en sus páginas web están prácticamente invitando a los ataques de inyección SQL en sus servidores.