Posteado por: Juan Luis Mora | Consultor SEO y SEM | abril 6, 2009

Intentos de hacking y cómo prevenirlos

Hay muchos tipos diferentes de ataques que los hackers pueden llevar a cabo para controlar total o parcialmente un sitio web. En general, los más comunes y peligrosos son los de inyección de SQL y de cross-site scripting (XSS).

 

La inyección de SQL es una técnica que inyecta código malicioso en una aplicación web, aprovechando una vulnerabilidad en seguridad a nivel de base de datos, con la intención de cambiar su funcionamiento. Es una técnica poderosa, ya que puede manipular tanto las URL (cadenas de consulta) como cualquier otra formulario (registro de correo electrónico, inicio de sesión, búsqueda) para inyectar código malicioso. Puedes encontrar algunos ejemplos de inyección de SQL en el Web Application Security Consortium [inglés].

Podeis usar Scrawlrr para detectar inyección SQL.

Scrawlr, aplicación para detectar inyección SQL
Scrawlr, aplicación para detectar inyección SQL

Hay algunas precauciones que pueden tomarse para evitar este tipo de ataques. Por ejemplo, es una buena práctica agregar una capa entre un formulario visible y la base de datos. En PHP, la extensión PDO [inglés] se usa a menudo para trabajar con parámetros (a veces llamados variables bind o placeholder) en lugar de incrustar el contenido del usuario en la declaración. Otra técnica muy fácil es escapar caracteres, donde todos los caracteres peligrosos que pueden tener un efecto directo sobre la estructura de base de datos se escapan. Por ejemplo, cada comilla simple [‘] en un parámetro se debe sustituir por dos comillas simples [”] para formar una cadena literal de SQL válida. Estas son sólo dos de las acciones más comunes que puedes tomar para mejorar la seguridad de un sitio web y evitar las inyecciones SQL. En Internet puedes encontrar muchos recursos que se ajustan a tus necesidades (lenguajes de programación, aplicaciones web específicas, etc).

La otra técnica de la que vamos a hablar aquí es cross-site scripting (XSS). XSS es una técnica que inyecta código malicioso en una página web, aprovechando una vulnerabilidad de seguridad de las aplicaciones. Este tipo de ataque es posible cuando una aplicación web procesa datos obtenidos a través del contenido introducido por los usuarios y sin ningún tipo de verificación o validación antes de devolver datos al usuario final. Puedes encontrar algunos ejemplos de cross-site scripting en el Web Application Security Consortium [inglés].

Hay muchas maneras de proteger una aplicación web de esta técnica. Algunas de las acciones más sencillas que se pueden llevar a cabo son:
Extracción de los datos que se pueden insertar en un formulario (por ejemplo, consulta la función strip tags [inglés] en PHP);
Utilización de los datos de codificación para evitar la inyección directa de caracteres potencialmente maliciosos (por ejemplo, véase la función htmlspecialchars [inglés] en PHP);
Creación de una capa entre la entrada de datos y el final del proceso (back-end) para evitar la inyección directa de código en la aplicación.

Podeis ver más en : http://googlewebmaster-es.blogspot.com/

Temas relacionados

Anuncios

Responses

  1. NESESITO EL PROGRAMA URGENTE AMIGOS ??

    • Puedes descargarlo del link que tengo en el post, sólo necesitas registrarte.


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Categorías

A %d blogueros les gusta esto: