SEGURIDAD

DEFACEMENT

Ataque por medio del cual un ciberdelincuente modifica la apariencia o información de un sitio web. Generalmente este tipo de ataques se realizan contra entidades gubernamentales o para la afectación de un sitio web en particular. Ya sea con el fin de expresar una opinión, punto de vista o por sabotaje.

Este tipo de ataques se realiza por medio de la explotación de vulnerabilidades o errores en la programación del sitio web. También por inyección de SQL o a través de sistemas de gestión comprometidos. El objetivo es obtener credenciales de acceso para modificar la información

A continuación, se listan algunas recomendaciones para evitar se víctima de este tipo de ataques.

  • Realizar copia de seguridad periódica a la información de su sitio web.
  • Utilizar contraseñas robustas y establece r políticas de administración de cuentas.
  • Identificar y solventar vulnerabilidades del sistemas, aplicaciones y servidor web.
  • Monitoreo de cambios en servidor web, bases de datos y servidores DNS.
  • Monitorear el tráfico de los servidores para identificar posibles cambios que indiquen un ataque.
Anuncios
BASES DE DATOS, SEGURIDAD

SQL INJECTION

La inyección SQL es una vulnerabilidad de bases de datos relacionales. Corresponde a un filtrado incorrecto de las variables usadas en las partes del código de un programa que usa sentencias SQL. Para que ese error en el código de un programa pueda ser usado maliciosamente, hace falta que el motor de bases de datos permita la concatenación de consultas. Por defecto, SQL Server trae esa opción habilitada, mientras que motores como MySQL o Access no.

Un usuario malintencionado escribe instrucciones de Transact-SQL en lugar de consultas válidas. Si la entrada se pasa directamente al servidor sin haber sido validada y la aplicación ejecuta el código inyectado por error, el ataque podría dañar o destruir datos.

Para la prevención de ataques SQL se requiere que, en el código de la aplicación, se tengan en cuenta métodos que validen las sentencias SQL y los datos ingresados en los formularios. Se puede, por ejemplo, implementar una función que reemplace los caracteres no deseados, como podrían ser la comilla simple, el punto y coma, los guiones simples juntos (–), etc. Los distintos lenguajes de programación ofrecen mecanismos para modificar estos caracteres. En el caso de PHP por ejemplo, existe la función mysql_real_scape_string(), que toma como parámetro una cadena y la modifica quitando caracteres especiales, retornándola totalmente segura para ser ejecutada dentro de la instrucción SQL.