Fuga de Información (Inyección SQL)
Las fallas relacionadas a fuga de información, proporcionan datos adicionales para la etapa de reconocimiento, las cuales son muy útiles durante un proyecto de hacking ético y pruebas de penetración.
Típicamente estás fallos no conducen directamente a la explotación. Pero la información obtenida durante esta etapa es utilizada como una entrada para etapas posteriores, como por ejemplo inyección SQL, adivinar contraseñas, y otros escenarios más.
Anotación importante
Los siguientes ejemplos se obtuvieron utilizando el motor de búsqueda Google. Yo NO realicé escaneos, ni otro tipo de interacción manual adicional. Únicamente ingrese a los enlaces mostrados, producto de buscar en Google.
Para el primer ejemplo, el mensaje de error es mostrado de manera estructurada, incluyendo rutas y nombres de archivos, como también nombres de columnas.
En el segundo escenario, el mensaje de error incluye el tipo de servidor de base de datos (Maria DB), además del nombre de una columna (idPlaza)
En el tercer ejemplo. El extenso mensaje revela el tipo de servidor (MariaDB), además de la consulta SQL, entre nombres de columnas, tablas y nombres de bases de datos.
Para el cuarto escenario, el mensaje de error expone también información del servidor (MariaDB), además parte de la consulta y nombres de tabla.
Para todos los ejemplos mencionados, se conoce se está interactuando con una base de datos backend MariaDB, y los errores cometidos por los diseñadores y programadores.
Fuente:
https://owasp.org/www-project-top-ten/2017/A3_2017-Sensitive_Data_Exposure
https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Ap...
Sobre el Autor
Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
WhatsApp: https://wa.me/51949304030
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
Youtube: https://www.youtube.com/c/AlonsoCaballero
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/