Introducción a las Vulnerabilidades de Inyección

Un atacante malicioso pueden explotar vulnerabilidades de inyección, enviando entradas especialmente diseñadas para causar la aplicación web realice acciones como, exponer datos sensibles de la autenticación (nombres de usuario y contraseñas), o ejecutar comandos del sistema (añadir cuentas falsas de administrador). Los ataques de inyección son las explotaciones más dañinas enfrentadas por las aplicaciones web en la actualidad, por el hecho de impactar a un gran número de usuarios (clientes), además de la humillación pública cuando se exponen los ataques exitosos. Los ataques de inyección son usualmente el resultado de salvaguardas insuficientes implementados para prevenir estos ataques.

Las aplicaciones web están hechas a medida por programadores humanos, los cuales no importando cuan cuidadosos sean, son susceptibles a cometer errores, lo cual introduce vulnerabilidades. Algunos de los tipos de inyección más comunes son:

  • Consultas SQL (Structured Query Languaje)
  • Consultas LDAP (Lightweight Directory Access Protocol)
  • Consultas XML Path Language
  • Comandos del sistema operativo

Es importante apoyarse en herramientas como Zed Attack Proxy (ZAP) o Burp Suite, John The Ripper, o SQLMap, para realizar los ataques explotando las vulnerabilidades de inyección. Siendo aún más importante conocer como se explotan manualmente las inyecciones SQL e inyecciones de comandos.

No importando cual vulnerabilidad de inyección se encuentre, y cual explotación se utilice en contra de esta vulnerabilidad, todo se trata y gira sobre enviar entradas maliciosas hacia la aplicación web, para consecuentemente sea procesada. Otro factor a tener en consideración es, los ataques de inyección son realizados mientras se interactúa con la aplicación web, de la misma manera en como lo hacen los usuarios legítimos. Esto significa el tráfico y las peticiones web se verán virtualmente idénticas a otras peticiones no maliciosas.

Fuentes:

https://www.owasp.org/index.php/Top_10-2017_A1-Injection
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
https://portswigger.net/burp
https://www.openwall.com/john/
http://sqlmap.org/

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1