¿ El mismo código que los diseñadores Web utilizan para recuperar la información que los poderes de sus sitios web de bases de datos SQL también proporciona uno de los vectores de ataque del servidor más comunes para los piratas informáticos. Si bien estas vulnerabilidades pueden provenir permitiendo preocupaciones empresariales de una compañía a las preocupaciones de seguridad de triunfo en la aplicación de parches de seguridad , también pueden provenir de una fuente sin parche de seguridad puede solucionar : la mala programación. SQL Ataques
páginas web que atraen a la información de bases de datos SQL están diseñados para tomar la información específica de los usuarios, a continuación, utilizar esa información para construir una sentencia de consulta para recuperar información específica de una base de datos. Ataques de inyección SQL toman la forma de manipular los usuarios del sitio web ' este proceso para engañar el código de la página web en la construcción de una consulta que devuelve la información sensible de una base de datos en lugar de la información pública del programador de la página está diseñada para volver . Mediante el uso de trucos tales como la introducción de datos no válidos en los campos de entrada para forzar un mensaje de error que revela información sobre la estructura de la base de datos , o la introducción de texto que va a hacer que el código para devolver información de otras partes de la base de datos , un pirata informático puede recoger información para poner en marcha un ataque importante en una empresa o en el servidor de la organización.
proveedores de software de base de datos de tiempo de inactividad del servidor libera los parches de seguridad para cerrar las vulnerabilidades que los ataques de inyección SQL se pueden explotar , como los investigadores de seguridad a descubrir , pero las empresas no siempre se aplican estos parches para sus servidores inmediatamente después de su lanzamiento . Si bien no es la aplicación inmediata de los parches de software significa que las empresas están a sabiendas ejecutando un servidor con vulnerabilidades conocidas , la aplicación de estos parches requiere de desconectar los equipos de mantenimiento. Esto significa que los clientes no podrán acceder a los servicios en línea que brinda la empresa , lo que resulta en el tiempo de inactividad de servicio al cliente o de la pérdida de ingresos de las ventas en línea . Por esta razón , las compañías frecuentemente retrasan necesidad de desconectar para aplicar los parches hasta que un momento en que necesitan para llevar a cabo otras mejoras y parches.
Facilidad de Ataque
un ataque de inyección de SQL es una de las vulnerabilidades más fáciles de explotar , y es a menudo el primer ataque de un hacker novato aprende . Hay innumerables lecciones y tutoriales gratuitos en Internet para enseñar a cualquiera que esté interesado cómo realizarlas . Combinado con la popularidad de los sitios web con orientación pública páginas que recuperan datos de bases de datos SQL , esto significa que cualquier hacker potencial tiene una gran cantidad de objetivos para investigar los ataques de inyección SQL. Esto da lugar a los investigadores de seguridad ' en constante aprendizaje de nuevas vulnerabilidades y exploits . Si bien una empresa que tomó su servidor de servicio por mantenimiento cada vez que se enteró de una nueva vulnerabilidad potencial sería el más seguro, que también tiene un montón de tiempo de inactividad del servidor .
Malo Programación
Aun cuando una empresa aplica convenientemente cada parche de un proveedor de software de SQL en libertad, los parches no puede cerrar otro lugar para los ataques de inyección SQL : la mala programación. Muchos ataques SQL éxito son el resultado de los programadores web " no tomar medidas simples, como la validación de entrada del usuario para asegurarse de que no está diseñado para que los mensajes de error de SQL , o prevenir que el usuario escriba manualmente los elementos clave de una consulta SQL que hacker podría utilizar para seleccionar diferentes campos de datos sensibles. Los programadores que esas vulnerabilidades en el código de sus páginas web están invitando prácticamente los ataques de inyección SQL en sus servidores .