InyecciÃ³n de SQL

Muchos desarrolladores web no son conscientes de cÃ³mo pueden manipularse las consultas SQL, y asumen que una consulta SQL es un comando confiable. Esto representa que las consultas SQL pueden burlar los controles de acceso, y de este modo evitar los chequeos estÃ¡ndares de autenticaciÃ³n y autorizaciÃ³n, y a veces las consultas SQL pueden incluso permitir acceso a comandos al nivel del sistema operativo de la mÃ¡quina huÃ©sped.

La InyecciÃ³n Directa de Comandos SQL es una tÃ©cnica en la cual un atacante crea o altera comandos SQL existentes para exponer datos escondidos, o sobrescribir datos crÃticos, o incluso ejecutar comandos del sistema peligrosos en la mÃ¡quina en donde se encuentra la base de datos. Esto se consigue cuando la aplicaciÃ³n toma informaciÃ³n de entrada del usuario y la combina con parÃ¡metros estÃ¡ticos para construir una consulta SQL. Los siguientes ejemplos, desafortunadamente, estÃ¡n basados en historias reales.

Debido a la falta de validaciÃ³n de la informaciÃ³n de entrada y el establecimiento de conexiones con la base de datos desde un super-usuario o aquel que puede crear usuarios, el atacante podrÃa crear un super-usuario en su base de datos.
Ejemplo 27-2. PaginaciÃ³n del conjunto de resultados ... y creaciÃ³n de super-usuarios (PostgreSQL)

<?php $offset = $argv[0]; // atencion, no se valida la entrada! $consulta = "SELECT id, nombre FROM productos ORDER BY nombre LIMIT 20 " . "OFFSET $offset;"; $resultado = pg_query($conexion, $consulta); ?>
Los usuarios normales pulsan sobre los enlaces 'siguiente' y 'anterior', en donde el desplazamiento ($offset) se encuentra codificado en la URL. El script espera que el valor entrante $offset sea un nÃºmero decimal. Sin embargo, quÃ© sucede si alguien intenta un ataque aÃ±adiendo una forma codificada (urlencode()) de lo siguiente en la URL

0;
insert into pg_shadow(usename,usesysid,usesuper,usecatupd,passwd)
    select 'crack', usesysid, 't','t','crack'
    from pg_shadow where usename='postgres';
--

Si esto ocurriera, entonces el script le presentarÃa un acceso de superusuario al atacante. Note que 0; es usado para ofrecer un desplazamiento vÃ¡lido a la consulta original y finalizarla.

Nota: Es una tÃ©cnica comÃºn obligar al analizador sintÃ¡ctico de SQL a que ignore el resto de la consulta escrita por el desarrollador mediante --, el cual es el signo de comentarios en SQL.

Una forma viable de adquirir contraseÃ±as es jugar con las pÃ¡ginas de resultados de bÃºsquedas. Lo Ãºnico que necesita el atacante es ver si existen variables enviadas por el usuario que sean usadas en sentencias SQL, y que no sean tratadas apropiadamente. Estos filtros pueden ubicarse por lo general previos a clÃ¡usulas WHERE, ORDER BY, LIMIT y OFFSET en sentencias SELECT para personalizar la instrucciÃ³n. Si su base de datos soporta la construcciÃ³n UNION, el atacante puede intentar aÃ±adir una consulta completa a la consulta original para generar una lista de contraseÃ±as desde una tabla cualquiera. El uso de campos encriptados de contraseÃ±as es altamente recomendable.
Ejemplo 27-3. Listado de artÃculos ... y algunas contraseÃ±as (en cualquier base de datos)

<?php $consulta = "SELECT id, nombre, insertado, tam FROM productos WHERE tam = '$tam' ORDER BY $orden LIMIT $limite, $offset;"; $resultado = odbc_exec($conexion, $consulta); ?>
La parte estÃ¡tica de la consulta puede combinarse con otra sentencia SELECT la cual revela todas las contraseÃ±as:

'
union select '1', concat(uname||'-'||passwd) as name, '1971-01-01', '0' from usertable;
--

Si esta consulta (la cual juega con ' y --) fuera asignada a una de las variables usadas en $consulta, la bestia de la consulta habrÃ¡ despertado.

Las sentencias UPDATE de SQL son tambiÃ©n susceptibles a ataque. Ã‰stas consultas tambiÃ©n se encuentran amenazadas por un posible acotamiento y adiciÃ³n de una consulta completamente nueva. Pero en este caso el atacante puede amaÃ±ar la informaciÃ³n de una clÃ¡usula SET. En este caso se requiere contar con cierta informaciÃ³n sobre el esquema de la base de datos para poder manipular la consulta satisfactoriamente. Esta informaciÃ³n puede ser adquirida mediante el estudio de los nombres de variables de los formularios, o simplemente por fuerza bruta. No existen demasiadas convenciones para nombrar campos de contraseÃ±as o nombres de usuario.
Ejemplo 27-4. De restablecer una contraseÃ±a ... a adquirir mÃ¡s privilegios (con cualquier servidor de base de datos)

<?php $consulta = "UPDATE usertable SET pwd='$pwd' WHERE uid='$uid';"; ?>
Pero un usuario malicioso envÃa el valor ' or uid like'%admin%'; -- como $uid para cambiar la contraseÃ±a del administrador, o simplemente establece $pwd a "hehehe', admin='yes', trusted=100 " (con un espacio al inicio) para adquirir mÃ¡s privilegios. En tal caso, la consulta serÃa manipulada:


<?php



// $uid == ' or uid like'%admin%'; --

$consulta = "UPDATE usertable SET pwd='...' WHERE uid='' or uid like '%admin%'; --";



// $pwd == "hehehe', admin='yes', trusted=100 "

$consulta = "UPDATE usertable SET pwd='hehehe', admin='yes', trusted=100 WHERE ...;"



?>

Un horrible ejemplo de cÃ³mo puede accederse a comandos del nivel del sistema operativo en algunas mÃ¡quinas anfitrionas de bases de datos.
Ejemplo 27-5. Ataque al sistema operativo de la mÃ¡quina anfitriona de la base de datos (MSSQL Server)

<?php $consulta = "SELECT * FROM productos WHERE id LIKE '%$prod%'"; $resultado = mssql_query($consulta); ?>
Si el atacante envÃa el valor a%' exec master..xp_cmdshell 'net user test testpass /ADD' -- a $prod, entones la $consulta serÃ¡:


<?php



$consulta  = "SELECT * FROM productos

                    WHERE id LIKE '%a%'

                    exec master..xp_cmdshell 'net user test testpass /ADD'--";

$resultado = mssql_query($consulta);



?>

MSSQL Server ejecuta sentencias SQL en el lote, incluyendo un comando para agregar un nuevo usuario a la base de datos de cuentas locales. Si esta aplicaciÃ³n estuviera corriendo como sa y el servicio MSSQLSERVER estÃ¡ corriendo con los privilegios suficientes, el atacante tendrÃa ahora una cuenta con la que puede acceder a esta mÃ¡quina.

Nota: Algunos de los ejemplos anteriores estÃ¡n atados a un servidor de base de datos especÃfico. Esto no quiere decir que un ataque similar sea imposible con otros productos. Su base de datos puede ser vulnerable de forma semejante, en alguna otra manera.

Usted puede argumentar con justa razÃ³n que el atacante debe poseer cierta cantidad de informaciÃ³n sobre el esquema de la base de datos en la mayorÃa de ejemplos que hemos visto. Tiene razÃ³n, pero usted nunca sabe cuÃ¡ndo y cÃ³mo puede filtrarse esta informaciÃ³n, y si ocurre, su base de datos estarÃ¡ expuesta. Si estÃ¡ usando un paquete de gestiÃ³n de bases de datos de cÃ³digo abierto, o cuyo cÃ³digo fuente estÃ¡ disponible pÃºblicamente, el cual puede pertenecer a algÃºn sistema de administraciÃ³n de contenido o foro, los intrusos pueden producir fÃ¡cilmente una copia de un trozo de su cÃ³digo. TambiÃ©n puede ser un riesgo de seguridad si es un segmento de cÃ³digo pobremente diseÃ±ado.

Estos ataques se basan principalmente en la explotaciÃ³n del cÃ³digo que no ha sido escrito pensando en la seguridad. Nunca confÃe en ningÃºn tipo de informaciÃ³n de entrada, especialmente aquella que proviene del lado del cliente, aun si lo hace desde una caja de selecciÃ³n, un campo de entrada hidden o una cookie. El primer ejemplo le muestra que una consulta asÃ de descuidada puede causar desastres.

Nunca se conecte a la base de datos como un super-usuario o como el dueÃ±o de la base de datos. Use siempre usuarios personalizados con privilegios muy limitados.
Revise si la entrada recibida es del tipo apropiado. PHP posee un amplio rango de funciones de validaciÃ³n de datos, desde los mÃ¡s simples encontrados en Funciones sobre variables y en Funciones de tipo de caracter (p. ej. is_numeric(), ctype_digit() respectivamente) hasta el soporte para Expresiones Regulares compatibles con Perl.

Si la aplicaciÃ³n espera alguna entrada numÃ©rica, considere la verificaciÃ³n de informaciÃ³n con is_numeric(), o modifique silenciosamente su tipo usando settype(), o utilice su representaciÃ³n numÃ©rica, dada por sprintf().
Ejemplo 27-6. Una forma mÃ¡s segura de generar una consulta para paginado

<?php settype($offset, 'integer'); $consulta = "SELECT id, nombre FROM productos ORDER BY nombre " . "LIMIT 20 OFFSET $offset;"; // note el simbolo %d en la cadena de formato, usar %s no tendria sentido $consulta = sprintf("SELECT id, nombre FROM productos ORDER BY nombre" . "LIMIT 20 OFFSET %d;", $offset); ?>

Ubique cada valor no-numÃ©rico que entrega el usuario y que sea pasado a la base de datos entre comillas con la funciÃ³n de escape de cadenas especÃfica a su base de datos (p.ej. mysql_escape_string(), sql_escape_string(), etc.). Si no hay disponible un mecanismo de escape de cadenas especÃfico a la BD, las funciones addslashes() y str_replace() pueden ser Ãºtiles (dependiendo del tipo de base de datos). Vea el primer ejemplo. Como se ve allÃ, agregar comillas a la parte estÃ¡tica de la consulta no es suficiente, haciÃ©ndola fÃ¡cilmente manipulable.
No imprima ninguna informaciÃ³n especÃfica sobre la base de datos, especialmente sobre su esquema, ya sea por razones justas o por equivocaciones. Vea tambiÃ©n Reporte de Errores y GestiÃ³n de Errores y Funciones de Registro.
Puede usar procedimientos almacenados y cursores previamente definidos para abstraer el acceso a las bases de datos, de modo que los usuarios no tengan acceso directo a las tablas o vistas, aunque esta soluciÃ³n tiene otros impactos.

AdemÃ¡s de estas acciones, usted puede beneficiarse del registro explÃcito de las consultas realizadas, ya sea desde su script o por la base de datos misma, si Ã©sta soporta la gestiÃ³n de registros. Por supuesto, el registro de acciones no puede prevenir cualquier intento peligroso, pero puede ser Ãºtil para rastrear cuÃ¡les aplicaciones han sido usadas para violar la seguridad. El registro en sÃ no es Ãºtil; lo es la informaciÃ³n que contiene. Por lo general, es mejor contar con mÃ¡s detalles que con menos.

MANUAL DE PHP

windsurf mercedes camper

InyecciÃ³n de SQL

TÃ©cnicas de protecciÃ³n