Descripción del ataque por inyección de código SQL
Inyección de código SQL es un ataque que permite ejecutar instrucciones SQL malintencionadas. Estas instrucciones controlan un servidor de bases de datos detrás de una aplicación web.
Los atacantes pueden usar vulnerabilidades de inyección de CÓDIGO SQL para omitir las medidas de seguridad de las aplicaciones. Pueden eludir la autenticación y autorización de una página web o una aplicación web y obtener el contenido de toda la base de datos completa en SQL. También pueden usar inyección de código SQL para agregar, modificar y eliminar registros en la base de datos.
Una vulnerabilidad de inyección de código SQL puede afectar a cualquier sitio web o aplicación web que use una base de datos SQL como MySQL, Oracle, SQL Server u otros.
Los delincuentes pueden usarlo para obtener acceso no autorizado a, eliminar o modificar sus datos confidenciales: información del cliente, datos personales, secretos comerciales, propiedad intelectual, etc.
Los ataques por inyección de código SQL se encuentran entre las vulnerabilidades de aplicaciones web más antiguas, más frecuentes y peligrosas.
La organización OWASP (Open Web Application Security Project) enumera las inyecciones en su documento OWASP Top 10 2017 como la amenaza número uno para la seguridad de las aplicaciones web.
Hay más
El equipo de Azure Security Center tiene otras guías de en los que puede consultar para aprender cómo se aprovechan las vulnerabilidades para desencadenar un ataque de virus y un ataque DDoS.