auditoría de base de datos

¿QUÉ ES INYECCIÓN DE SQL Y CÓMO ARREGLARLA SEGURIDAD DE BASE DE DATOS?

Posted on

El primero en la lista de las diez vulnerabilidades más comunes (OWASP) es la inyección. Este tipo de hallazgo es más como una categoría, e incluye todos los tipos de vulnerabilidades donde una aplicación envía datos no confiables a un intérprete. Se encuentra a menudo en las consultas de bases de datos, pero otros ejemplos son los comandos OS, XML parsers o cuando la entrada del usuario se envía como variables acuerdo con los consultores de auditoría de base de datos.

Según maestros de curso de seguridad de base de datos, este es un tipo de vulnerabilidad muy común, especialmente en código antiguo, ya que era mucho más común hace unos años cuando estaban menos  conscientes del peligro. La Inyección de SQL debe ser considerada como la más conocida del tipo de inyección acuerdo con el curso de seguridad de base de datos. Como se trata de una categoría muy amplia de la vulnerabilidad, el riesgo varía mucho de un caso a otro. Como la inyección de SQL es el tipo de inyección más conocida, el impacto es a menudo el robo de datos de la base de datos. Eso puede incluir nombres de usuario, contraseña y otros datos confidenciales. El peor de los casos sería una adquisición completa del sistema, lo que ciertamente es posible dependiendo de dónde se dé la inyección y en qué entorno mencionan los consultores de auditoría de base de datos.

Este es un ataque que puede ser automatizado, lo que lo supone en mayor riesgo. Un atacante no necesita estar tras de ti, el simplemente puede escribir una secuencia que explota a tantos sitios como sea posible y si el tuyo es uno de ellos es una coincidencia.

Uno de los ataques más conocidos realizados por inyección de SQL estuvo dirigido contra Sony. Otro casi irónico fue cuando MySQL sufrió el mismo una inyección SQL. Como se puede entender partir de los ejemplos, grandes jugadores también están en riesgo y el resultado de un ataque puede ser aterrador sin algún tipo de auditoría de base de datos.

 ¿CÓMO DESCUBRIR LA INYECCIÓN DE SQL?

Para los usuarios más avanzados es una vulnerabilidad que pueden encontrarse a menudo mientras se está haciendo el análisis de código. Esa es la identificación de todas las consultas en la aplicación web y siguiendo el flujo de datos. Ya que a veces no genera ninguna reacción visible y puede ser difícil de detectar durante black box-test, a pesar de que a algunas veces eso es posible también. Según el curso de seguridad de base de datos, la inyección es una definición muy amplia que varía de un caso a otro, pero en general una inyección SQL clásico es muy fácil de explotar.

Un ejemplo típico de una inyección de SQL sería en un formulario de acceso, con el código que se muestra a continuación:

$db = new mysqli(‘localhost’, ‘root’, ‘passwd’, ‘base’); $result = $db->query(‘SELECT * FROM users WHERE user=”‘.$_GET[‘user’].’” AND pass= “‘.$_GET[‘password’].’”‘);

Supongamos que el atacante entra “ OR 1– como nombre de usuario y cualquier contraseña de todo el código y se terminara viendo así:

SELECT * FROM users WHERE user=”” OR 1 — AND pass=”whatever”

Después de — (lo que se indica el inicio de un comentario en SQL) será desechado e ignorado. El código será ejecutado cuando se vea de la siguiente manera:

SELECT * FROM users WHERE user=”” OR 1

El código establece ahora “Obtener todo, desde la lista de usuarios (donde el nombre de usuario coincide con nada o 1 (lo que se interpretara como cierto)”.

Desde que la última afirmación siempre resultará en cierto, la mano derecha de la declaración eliminara con éxito la declaración mano izquierda y la condición siempre será cierto. El resultado de esta consulta sería algo como éste:

SELECT * FROM users

El cual sería devolver todos los datos que hay sobre todos los usuarios. Ej., La inyección en el parámetro $ _GET [‘usuario’] es suficiente para hacer que el servidor MySQL seleccione el primer usuario y otorgué al atacante acceder a ese usuario.

REMEDIACIÓN

  1. Mientras las inyecciones son más de una categoría de vulnerabilidades, las soluciones varían de un caso a otro, dependiendo de qué tipo de vector y el intérprete que estamos hablando. Acuerdo el curso de auditoría de base de datos y seguridad de base de datos, la solución óptima es utilizar un API que, o bien evita el intérprete o proporciona una interfaz con parámetros. El código con parámetros no es difícil de hacer, y si usas PHP nosotros te recomendamos PDO. Puede sonar extraño al principio, pero en realidad no es tan difícil como tú podrías pensar en un principio. Ejemplos en otros idiomas pueden ser aprendidos durante el curso de seguridad de base de datos.
  2. Si el código parametrizado no es una opción en su caso, en su lugar debes escapar cuidadosamente de caracteres especiales. ¿Cómo se hace esto? depende del intérprete utilizado, y algunas veces tendrías que mejorar.
  3. La validación de entrada de la lista blanca es también una alternativa, pero a menudo no se puede utilizar como aplicación puede requerir caracteres especiales, como de entrada. Por ejemplo, un blog quiere permitir a sus visitantes hacer comentarios usando comillas, a pesar de que es carácter podría ser utilizado para salir de una consulta. En esos casos, es necesario ir con una solución de uno o dos.

Pueden aprender todo sobre remediación sobre inyección SQL curso de seguridad de base de datos y resolver las vulnerabilidades de sus sistemas informáticos.

Advertisements

¿CÓMO ASESGURAR BASES DE DATOS?

Posted on Updated on

Las bases de datos pueden ser un tesoro de datos sensibles. Normalmente la mayor parte de bases de datos contienen los datos sensibles, datos confidenciales de las empresas, gente, propiedad intelectual, empleados, o clientes. Los datos pueden incluir la información de cliente, salario de empleado, dirección de empleado, registros pacientes, datos financieros, números de la tarjeta de crédito y mucho más. Desde el punto de vista de empresa de seguridad en bases de datos, un base de datos de cualquier empresa u organización, es un sistema que se forma por un conjunto de datos organizados, los cuales se almacenan o estructuran en nube o en servidores local, y cuyo tratamiento y acceso requiere de aplicaciones que aprueban modificarlos o utilizarlos. Según consultores de servicios de auditoría de base de datos, el acceso concurrente por parte de varios usuarios sin soluciones de seguridad de base de datos implica muchos riesgos como perdidos o robo de datos. Según una encuesta de empresa de seguridad en bases de datos, los datos perdidos o robados, especialmente los datos sensibles, pueden causar daños de marca, multas graves, juicios y desventaja competencia.

Estos riesgos obligan a las empresas a tomar en cuenta aspectos como la seguridad de base de datos e implementación de soluciones de seguridad de base de datos. Alternativamente las empresas pueden tomar ayuda de servicios de seguridad de base de datos que incluyen respaldo y recuperación en caso de incidentes, causados por errores humanos, desastres naturales y en muchos casos por ataques cibernéticos.

Los servicios de seguridad de base de datos implican protegerlos de actividades indebidas que pongan en peligro la estructura, disponibilidad, consistencia e integridad de base de datos. Además los reglamentos de privacidad de protección de datos personales requieren la implementación de soluciones y servicios de seguridad de base de datos para alinear con la ley de protección de datos personales.  Empresas de seguridad en bases de datos deben lograr seguridad de base de datos mediante procedimientos que permiten controlar el acceso, reestructurar o actualizar la base datos acuerdo a los requisitos de las aplicaciones sin necesidad de modificar mucho el diseño del modelo de datos. Las empresas u organizaciones pueden implementar solución de seguridad de base de datos en el nivel de la aplicación, el nivel de almacenamiento o el nivel de la base de datos según expertos de empresas de seguridad en bases de datos. La solución de seguridad de base de datos implementada en nivel de almacenamiento (en disco o cinta), asegura contra el riesgo en el caso que se pierdan los medios de almacenamiento. Pero la misma solución de seguridad de base de datos no puede asegurar frente a empleados internos o infraestructura infectada por malware.

La solución de seguridad de base de datos implementada en el nivel de la aplicación representa otra opción y proporciona el mayor nivel de control. Pero la misma solución de seguridad de base de datos no puede proteger en el caso que se pierdan los medios de almacenamiento. Además implementación de la solución de seguridad de base de datos en el nivel de la aplicación requiere muchos cambios en la aplicación y a veces no puede ser un planteamiento viable.

Debido a estas complejidades, muchas empresas u organizaciones están eligiendo ayuda de expertos de empresas de seguridad en bases de datos para que puedan implementar soluciones avanzadas. Estos servicios de seguridad de base de datos proporcionan seguridad al nivel almacenamiento, al nivel aplicación y al nivel de datos en flujo.

¿CÓMO PUEDEN SOLUCIONAR EL PROBLEMA DE SEGURIDAD EN BASE DE DATOS? 

database-security

Según expertos de IICS – Instituto Internacional de seguridad Cibernética, las soluciones, servicios de seguridad de base de datos pueden añadir nuevos niveles de seguridad en su empresa y ayudar su empresa a proteger y administrar datos confidenciales de forma eficaz. Los servicios deben incluir los servicios de auditoría de base de datos y cursos de seguridad de base de datos. Los servicios de seguridad de base de datos gestionarán la confidencialidad, integridad y continuidad de la información empresarial, incrementando con esto la credibilidad y confiabilidad de la empresa. Los siguientes son algunos aspectos y ventajas de los servicios de auditoría de base de datos:

  • El servicio de auditoría de base de datos incluye pruebas de intromisiones. Eso le ayudaría poner controles de seguridad en los bases de datos.
  • Toda la infraestructura de base de dato se somete a los servicios de auditoría de base de datos. Sin ayuda de los servicios de auditoría de base de datos, no pueden conocer todos los riesgos y vulnerabilidades.
  • Los servicios de auditoría de base de datos ayudan a implementar un sistema de monitoreo. El sistema tiene la capacidad de supervisar y verificar todas las actividades. Este sistema puede descubrir cualquier actividad indebida o errónea.
  • Creación de los procesos por desarrollar y mantener información detallada sobre las vulnerabilidades y riesgos empresariales de redes y aplicaciones.
  • Aseguran de la implementación de los procedimientos para la gestión de controles criptográficos para el resguardo y fortalecimiento de base de datos después de terminación de los servicios de auditoría de base de datos.
  • Los servicios de auditoría de base de datos aseguran implementación y ejecución periódica de los procesos de respaldos.
  • Generar las políticas y procedimientos para la eficaz gestión de los proveedores de servicios y terceros.
  • Implementan el plan de continuidad del negocio, forense y recuperación de los datos en caso de un ataque cibernético.
  • La infraestructura de base de datos estaría protegida contra el fuego, el robo y otras formas de daño físico. Los servicios de seguridad de base de datos desarrollan las políticas de seguridad física y seguridad lógica.

Con los cursos de seguridad de base de datos aprenderán gestionar los riesgos, los incidentes de seguridad, las vulnerabilidades existentes, y disminuir los riesgos de incumplimiento a la legislación de protección de datos personales. Los siguientes son algunos aspectos y ventajas de las capacitaciones de seguridad de base de datos:

  • Puede aumentar la eficacia reduciendo los costes de gestión vinculados a la seguridad en bases de datos en los entornos de gran escala, con la arquitectura de gestión de seguridad enseñada durante la capacitación de seguridad de base de datos.
  • Con el curso de seguridad de base de datos, puede aprender en tiempo real las habilidades de seguridad en base de datos con mucha práctica.
  • Durante el curso de seguridad de base de datos puede implementar la seguridad sobre infraestructura real y agregar mayores niveles de seguridad.
  • Personalizan capacitaciones y cursos de seguridad de base de datos para que se integren fácilmente en sistemas de gestión de base de datos implementados y otras soluciones de seguridad.
  • Enseñan la implementación de la solución de cifrado de bases de datos de alta garantía durante el curso de seguridad de base de datos.
  • Además temas como simplificación de las obligaciones de cumplimiento de privacidad de datos, cómo aplicar mejores prácticas y normas de cumplimiento, la copia de seguridad y automatización de respaldo están parte del curso de seguridad de base de datos.

Fuente:http://noticiasseguridad.com/tecnologia/como-asesgurar-bases-de-datos/