hero bg no divider
Pautas

Inyección 101

Una de las clases de vulnerabilidades más conocidas suelen ser las vulnerabilidades de inyección, especialmente, y no sorprende a nadie, la indiscutible hija del póster: la inyección SQL. Es difícil evitar oír hablar de la inyección de SQL en el mundo de la tecnología, así que vamos a hablar de ello.

Con SQL Injection, es posible manipular el comportamiento de una consulta SQL para que cumpla las órdenes de un atacante.

También hay muchos otros tipos de inyección que, si bien son diferentes en su superficie, funcionan según el mismo principio.

En resumen, algunos de los tipos de inyección más comunes son:

  • Inyección SQL
  • Secuencias de comandos entre sitios (HTML/Javascript injection)
  • Ruta transversal (inyección de ruta/URL)
  • Inyección de comandos
  • Inyección de código

A small injection 101

Si nos fijamos en la lista anterior de tipos de inyección, todos tienen una cosa en común: todos implican una cadena, que se ejecuta a través de un intérprete, que luego hace lo que representa la cadena. Hemos marcado la «entrada del usuario» entre corchetes.

Type Example input How it’s interpreted
SQL SELECT name FROM users WHERE username = '{admin}' Selects the "Name" column from all rows from the users table where the username is 'admin'
HTML {John Smith} Shows the name "John Smith" in bold letters
Path /var/www/app/documents/{privacy-policy.pdf} Points at the file `privacy-policy.pdf` in the `/var/www/app/documents/` folder
Command ping {8.8.8.8} Sends a series of ICMP pings to the IP `8.8.8.8`
Code const name = '{John Smith}'; Sets the constant variable `name` to the value `John Smith

Entonces, ¿qué pasaría si la inserción de la entrada del usuario fuera insegura? ¿Qué podría hacer un atacante? Una vez más, todo lo que esté entre corchetes se considera «entrada del usuario» en este escenario.

Type Example input How it’s interpreted
SQL - Injected SELECT name FROM users WHERE username = '{1' UNION SELECT passwordhash from users WHERE username = 'admin}' Selects the "Name" from all rows from the users table where the username is 'admin', and the password hash for the users where the username is 'admin'
HTML - Injected {} Show the name "John Smith" in bold letters
Path - Injected /var/www/app/documents/{../../../../../etc/shadow} Points at the file `shadow` in the `/etc/` folder
Command - Injected ping {8.8.8.8 && ls . } Sends a series of ICMP pings to the IP `8.8.8.8`, and prints the contents of the current directory with `ls`
Code - Injected const name = '{John Smith'; exec('ls .'); # }'; Sets the constant variable `name` to the value `John Smith`, and then executes the system command `ls .

En estos ejemplos, toma nota de cómo se puede usar la entrada para influir en el resultado de la entrada del usuario.

Esta es la esencia de lo que es la inyección. Influye en lo que se pasa al intérprete para que haga algo diferente a lo que pretendía el programador original.

Estos son solo los aspectos básicos a tener en cuenta. Hemos separado algunos de los diferentes tipos de inyección en sus propias páginas porque merecen un poco más de atención.

Puedes encontrarlos aquí:

Inyección de comandos

Recorrido de caminos

Inyección SQL

Secuencias de comandos entre sitios