Blind SQL injection

Blind SQL injection

Blind SQL injection

Ataque a ciegas de inyección SQL, en inglés, Blind SQL injection es una técnica de ataque que utiiliza inyección SQL cuando una página web por motivos de seguridad no muestra mensajes de error de la base de datos al no haber un resultado correcto mostrándose siempre el mismo contenido (solo habrá respuesta si el resultado es correcto).

Sentencias del tipo "Or 1=1" o "having 1=1" ofrecen respuestas siempre correctas por lo que son usadas como comprobación. El problema para la seguridad de la página está en que esta técnica es utilizada en combinación con diccionarios o fuerza bruta para la búsqueda carácter por carácter de una contraseña, un nombre de usuario, un número de teléfono o cualquier otra información que albergue la base de datos atacada; para ello se utiliza código SQL específico que "va probando" cada carácter consiguiendo resultado positivo cuando hay una coincidencia. De esta manera se puede saber por ejemplo que una contraseña comienza por "F...", luego "Fi...", luego "Fir..." hasta dar con la palabra completa.

Existen programas que automatizan este proceso de "adivinación" letra por letra del resultado de la consulta SQL que un intruso podría enviar.

Enlaces externos

Obtenido de "Blind SQL injection"

Wikimedia foundation. 2010.

Игры ⚽ Нужен реферат?

Mira otros diccionarios:

  • SQL injection — A SQL injection is often used to attack the security of a website by inputting SQL statements in a web form to get a badly designed website in order to dump the database content to the attacker. SQL injection is a code injection technique that… …   Wikipedia

  • Injection SQL — Une injection SQL est un type d exploitation d une faille de sécurité d une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité. Sommaire 1 Exemple 1.1… …   Wikipédia en Français

  • Inyección SQL — es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos. El origen de la vulnerabilidad radica… …   Wikipedia Español

  • Penetration test — A penetration test is a method of evaluating the security of a computer system or network by simulating an attack by a malicious user, known as a Black Hat Hacker, or Cracker. The process involves an active analysis of the system for any… …   Wikipedia

  • List of oil field acronyms — Contents 1 # 2 A 3 B 4 C …   Wikipedia

  • Human (Gary Numan album) — Infobox Album Name = Human Type = Album Artist = Gary Numan and Michael R. Smith Released = 1995 Recorded = Outland studios, England Genre = Synthpop, electronic music Length = Label = Numa Producer = Michael R. Smith Gary Numan Reviews =… …   Wikipedia

Compartir el artículo y extractos

Link directo
Do a right-click on the link above
and select “Copy Link”