Inyección SQL

Técnica de piratería informática

Una clasificación de los vectores de ataque de inyección SQL a partir de 2010

En informática, la inyección SQL es una técnica de inyección de código utilizada para atacar aplicaciones basadas en datos, en la que se insertan sentencias SQL maliciosas en un campo de entrada para su ejecución (por ejemplo, para volcar el contenido de la base de datos al atacante). ^{[1] [2]} La inyección SQL debe explotar una vulnerabilidad de seguridad en el software de una aplicación, por ejemplo, cuando la entrada del usuario se filtra incorrectamente para caracteres de escape de literales de cadena incrustados en sentencias SQL o la entrada del usuario no está fuertemente tipada y se ejecuta inesperadamente. La inyección SQL se conoce principalmente como un vector de ataque para sitios web, pero se puede utilizar para atacar cualquier tipo de base de datos SQL.

Los ataques de inyección SQL permiten a los atacantes suplantar la identidad, manipular datos existentes , provocar problemas de repudio como anular transacciones o cambiar saldos, permitir la divulgación completa de todos los datos del sistema, destruir los datos o hacer que no estén disponibles de otro modo y convertirse en administradores del servidor de base de datos. Las bases de datos NoSQL orientadas a documentos también pueden verse afectadas por esta vulnerabilidad de seguridad. ^[3]

En un estudio de 2012, se observó que la aplicación web promedio recibía cuatro campañas de ataque por mes y los minoristas recibían el doble de ataques que otras industrias. ^[4]

Historia

Las discusiones sobre la inyección SQL, como un artículo de 1998 en Phrack Magazine , comenzaron a fines de la década de 1990. ^[5] La inyección SQL fue considerada una de las 10 principales vulnerabilidades de aplicaciones web de 2007 y 2010 por el Open Web Application Security Project . ^[6] En 2013, la inyección SQL fue calificada como el ataque número uno en el top ten de OWASP. ^[7]

Causas fundamentales

La inyección SQL es una vulnerabilidad de seguridad común que surge cuando se permite que los datos proporcionados por un atacante se conviertan en código SQL. Esto sucede cuando los programadores ensamblan consultas SQL ya sea por interpolación de cadenas o concatenando comandos SQL con datos proporcionados por el usuario.

Sentencias SQL construidas incorrectamente

Esta forma de inyección se basa en el hecho de que las sentencias SQL constan tanto de datos utilizados por la sentencia SQL como de comandos que controlan cómo se ejecuta la sentencia SQL. Por ejemplo, en la sentencia SQL, la cadena ' ' es un dato y el fragmento es un ejemplo de un comando (el valor también es un dato en este ejemplo).select * from person where name = 'susan' and age = 2susanand age = 22

La inyección SQL se produce cuando el programa receptor procesa una entrada de usuario especialmente diseñada de forma que permite que la entrada salga de un contexto de datos e ingrese a un contexto de comando. Esto permite al atacante alterar la estructura de la instrucción SQL que se ejecuta.

Como ejemplo simple, imaginemos que los datos ' susan' en la declaración anterior fueron proporcionados por el usuario. El usuario ingresó la cadena ' susan' (sin los apóstrofos) en un campo de ingreso de texto de un formulario web, y el programa utilizó declaraciones de concatenación de cadenas para formar la declaración SQL anterior a partir de los tres fragmentos , la entrada del usuario de ' ' y .select * from person where name='susan' and age = 2

Ahora imaginemos que en lugar de introducir ' susan' el atacante ingresó .' or 1=1; --

El programa utilizará el mismo enfoque de concatenación de cadenas con los 3 fragmentos de , la entrada del usuario de y y construirá la declaración . Muchas bases de datos ignorarán el texto después de la cadena '--' ya que esto denota un comentario. La estructura del comando SQL es ahora y esto seleccionará todas las filas de personas en lugar de solo aquellas llamadas 'susan' cuya edad es 2. El atacante ha logrado crear una cadena de datos que sale del contexto de datos e ingresa a un contexto de comando.select * from person where name='' or 1=1; --' and age = 2select * from person where name='' or 1=1; -- and age = 2select * from person where name='' or 1=1;

A continuación se presenta un ejemplo más complejo.

Imagine que un programa crea una declaración SQL utilizando el siguiente comando de asignación de cadena:

var statement = "SELECT * FROM users WHERE name = '" + userName + "'";

Este código SQL está diseñado para extraer los registros del nombre de usuario especificado de su tabla de usuarios. Sin embargo, si un usuario malintencionado crea la variable "userName" de una manera específica, la instrucción SQL puede hacer más de lo que pretendía el autor del código. Por ejemplo, si se configura la variable "userName" como:

' O '1'='1

o usar comentarios para bloquear el resto de la consulta (hay tres tipos de comentarios SQL ^[8] ). Las tres líneas tienen un espacio al final:

' O '1'='1' --' O '1'='1' {' O '1'='1' /*

Representa una de las siguientes declaraciones SQL mediante el lenguaje principal:

SELECCIONAR * DE usuarios DONDE nombre = '' O '1' = '1' ;         

SELECCIONAR * DE usuarios DONDE nombre = '' O '1' = '1' -- ';          

Si este código se utilizara en un procedimiento de autenticación, entonces este ejemplo podría usarse para forzar la selección de cada campo de datos (*) de todos los usuarios en lugar de un nombre de usuario específico como lo pretendía el codificador, porque la evaluación de '1'='1' siempre es verdadera.

El siguiente valor de "userName" en la declaración a continuación provocaría la eliminación de la tabla "users" así como la selección de todos los datos de la tabla "userinfo" (en esencia, revelando la información de cada usuario), utilizando una API que permite múltiples declaraciones:

a';DROP TABLE users; SELECT * FROM userinfo WHERE 't' = 't

Esta entrada representa la declaración SQL final de la siguiente manera y se especifica:

SELECCIONAR * DE usuarios DONDE nombre = 'a' ; ELIMINAR TABLA usuarios ; SELECCIONAR * DE información del usuario DONDE 't' = 't' ;                 

Si bien la mayoría de las implementaciones de SQL Server permiten ejecutar varias sentencias con una sola llamada de esta manera, algunas API de SQL, como la función de PHP,mysql_query() no lo permiten por razones de seguridad. Esto evita que los atacantes inyecten consultas completamente independientes, pero no les impide modificarlas.

Inyección SQL a ciegas

La inyección SQL ciega se utiliza cuando una aplicación web es vulnerable a una inyección SQL, pero los resultados de la inyección no son visibles para el atacante. La página con la vulnerabilidad puede no ser una que muestre datos, pero se mostrará de forma diferente según los resultados de una declaración lógica inyectada en la declaración SQL legítima solicitada para esa página. Este tipo de ataque se ha considerado tradicionalmente que requiere mucho tiempo porque se necesita crear una nueva declaración para cada bit recuperado y, según su estructura, el ataque puede consistir en muchas solicitudes fallidas. Los avances recientes han permitido que cada solicitud recupere varios bits, sin solicitudes fallidas, lo que permite una extracción más consistente y eficiente. ^[9] Hay varias herramientas que pueden automatizar estos ataques una vez que se ha establecido la ubicación de la vulnerabilidad y la información del objetivo. ^[10]

Respuestas condicionales

Un tipo de inyección SQL ciega obliga a la base de datos a evaluar una declaración lógica en una pantalla de aplicación normal. Por ejemplo, un sitio web de reseñas de libros utiliza una cadena de consulta para determinar qué reseña de libros mostrar. Por lo tanto, la URL https://books.example.com/review?id=5 haría que el servidor ejecutara la consulta.

SELECCIONAR * DE reseñas de libros DONDE ID = '5' ;       

desde donde rellenaría la página de reseñas con datos de la reseña con ID 5, almacenada en la tabla bookreviews. La consulta se realiza completamente en el servidor; el usuario no conoce los nombres de la base de datos, la tabla o los campos, ni tampoco conoce la cadena de consulta. El usuario solo ve que la URL anterior devuelve una reseña de un libro. Un hacker puede cargar las URL y , lo que puede generar consultas.https://books.example.com/review?id=5' OR '1'='1https://books.example.com/review?id=5' AND '1'='2

SELECCIONAR * DE reseñas de libros DONDE ID = '5' O '1' = '1' ; SELECCIONAR * DE reseñas de libros DONDE ID = '5' Y '1' = '2' ;                  

respectivamente. Si la reseña original se carga con la URL "1=1" y se devuelve una página en blanco o con error desde la URL "1=2", y la página devuelta no se ha creado para alertar al usuario de que la entrada no es válida, o en otras palabras, ha sido detectada por un script de prueba de entrada, es probable que el sitio sea vulnerable a un ataque de inyección SQL ya que la consulta probablemente se habrá realizado correctamente en ambos casos. El hacker puede proceder con esta cadena de consulta diseñada para revelar el número de versión de MySQL que se ejecuta en el servidor: , que mostraría la reseña del libro en un servidor que ejecuta MySQL 4 y una página en blanco o con error en caso contrario. El hacker puede seguir utilizando código dentro de las cadenas de consulta para lograr su objetivo directamente, o para obtener más información del servidor con la esperanza de descubrir otra vía de ataque. ^{[11] [12]}https://books.example.com/review?id=5 AND substring(@@version, 1, INSTR(@@version, '.') - 1)=4

Inyección SQL de segundo orden

La inyección SQL de segundo orden se produce cuando los valores enviados contienen comandos maliciosos que se almacenan en lugar de ejecutarse inmediatamente. En algunos casos, la aplicación puede codificar correctamente una sentencia SQL y almacenarla como SQL válido. Luego, otra parte de esa aplicación sin controles para protegerse contra la inyección SQL podría ejecutar esa sentencia SQL almacenada. Este ataque requiere un mayor conocimiento de cómo se utilizan posteriormente los valores enviados. Los escáneres de seguridad de aplicaciones web automatizados no detectarían fácilmente este tipo de inyección SQL y es posible que se les deba indicar manualmente dónde buscar evidencia de que se está intentando.

Mitigación

Una inyección SQL es un ataque muy conocido y se puede prevenir fácilmente con medidas sencillas. Después de un aparente ataque de inyección SQL en TalkTalk en 2015, la BBC informó que los expertos en seguridad estaban atónitos de que una empresa tan grande fuera vulnerable a él. ^[13] Técnicas como la comparación de patrones, las pruebas de software y el análisis gramatical son algunas formas comunes de mitigar estos ataques. ^[2]

Escapando

La forma más sencilla de evitar las inyecciones es escapar todos los caracteres que tienen un significado especial en SQL. El manual de un DBMS SQL explica qué caracteres tienen un significado especial, lo que permite crear una lista negra completa de caracteres que necesitan traducción. Por ejemplo, cada aparición de una comilla simple ( ') en un parámetro de cadena debe ir precedida de una barra invertida ( \) para que la base de datos entienda que la comilla simple es parte de una cadena dada, en lugar de su terminador. PHP proporciona la mysqli_real_escape_string()función para escapar cadenas de acuerdo con la semántica de MySQL ; el siguiente ejemplo parametriza una consulta SQL escapando los parámetros de nombre de usuario y contraseña:

$mysqli  =  new  mysqli ( 'nombre_de_host' ,  'nombre_de_usuario_bd' ,  'contraseña_bd' ,  'nombre_de_bd' ); $consulta  =  sprintf ( "SELECCIONAR * DE `Usuarios` DONDE Nombre_de_usuario='%s' Y Contraseña='%s'" ,  $mysqli -> real_escape_string ( $nombre_de_usuario ),  $mysqli -> real_escape_string ( $contraseña )); $mysqli -> consulta ( $consulta );

Depender únicamente del programador para escapar diligentemente todos los parámetros de consulta presenta riesgos inherentes, dada la posibilidad de que se produzcan descuidos en el proceso. Para mitigar esta vulnerabilidad, los programadores pueden optar por desarrollar sus propias capas de abstracción para automatizar el escape de parámetros. ^[14]

Mapeadores relacionales de objetos

Los marcos de mapeo relacional de objetos (ORM) como Hibernate y ActiveRecord proporcionan una interfaz orientada a objetos para consultas sobre una base de datos relacional. La mayoría de los ORM, si no todos, manejan automáticamente el escape necesario para prevenir ataques de inyección SQL, como parte de la API de consulta del marco. Sin embargo, muchos ORM brindan la capacidad de eludir sus funciones de mapeo y emitir sentencias SQL sin formato; el uso inadecuado de esta funcionalidad puede introducir la posibilidad de un ataque de inyección. ^[15]

Declaraciones parametrizadas

En la mayoría de las plataformas de desarrollo, se pueden utilizar sentencias parametrizadas que funcionan con parámetros (a veces llamadas marcadores de posición o variables de enlace ) en lugar de incrustar la entrada del usuario en la sentencia. Un marcador de posición solo puede almacenar un valor del tipo dado y no un fragmento SQL arbitrario. Por lo tanto, la inyección SQL simplemente se trataría como un valor de parámetro extraño (y probablemente inválido). En muchos casos, la sentencia SQL es fija y cada parámetro es un escalar , no una tabla . Luego, la entrada del usuario se asigna (se enlaza) a un parámetro. ^[16]

Comprobación de patrones

Se pueden comprobar los parámetros de cadena de tipo entero, flotante o booleano para determinar si su valor es una representación válida del tipo dado. También se pueden comprobar las cadenas que deben cumplir con un patrón o condición específicos (por ejemplo, fechas, UUID , números de teléfono) para determinar si se cumple dicho patrón.

Permisos de base de datos

Limitar los permisos de inicio de sesión de la base de datos utilizada por la aplicación web únicamente a lo necesario puede ayudar a reducir la efectividad de cualquier ataque de inyección SQL que explote cualquier error en la aplicación web.

Por ejemplo, en Microsoft SQL Server , se podría restringir el inicio de sesión en una base de datos para seleccionar algunas de las tablas del sistema, lo que limitaría los exploits que intentan insertar JavaScript en todas las columnas de texto de la base de datos.

denegar la selección de sys . sysobjects a webdatabaselogon ; denegar la selección de sys . objects a webdatabaselogon ; denegar la selección de sys . tables a webdatabaselogon ; denegar la selección de sys . views a webdatabaselogon ; denegar la selección de sys . packages a webdatabaselogon ;                         

Ejemplos

• En febrero de 2002, Jeremiah Jacks descubrió que Guess.com era vulnerable a un ataque de inyección SQL, lo que permitía a cualquiera capaz de construir una URL correctamente diseñada obtener más de 200.000 nombres, números de tarjetas de crédito y fechas de vencimiento de la base de datos de clientes del sitio. ^[17]
• El 1 de noviembre de 2005, un hacker adolescente utilizó una inyección SQL para entrar en el sitio de una revista de seguridad informática taiwanesa del grupo Tech Target y robar información de sus clientes. ^[18]
• El 13 de enero de 2006, delincuentes informáticos rusos irrumpieron en un sitio web del gobierno de Rhode Island y supuestamente robaron datos de tarjetas de crédito de personas que habían hecho negocios en línea con agencias estatales. ^[19]
• El 19 de septiembre de 2007 y el 26 de enero de 2009, el grupo de hackers turcos "m0sted" utilizó la inyección SQL para explotar el SQL Server de Microsoft para hackear servidores web pertenecientes a la Planta de Municiones del Ejército McAlester y al Cuerpo de Ingenieros del Ejército de los EE. UU. respectivamente. ^[20]
• El 13 de abril de 2008, el Registro de Delincuentes Sexuales y Violentos de Oklahoma cerró su sitio web por " mantenimiento de rutina " después de ser informado de que 10.597 números de Seguro Social pertenecientes a delincuentes sexuales habían sido descargados mediante un ataque de inyección SQL ^[21].
• El 17 de agosto de 2009, el Departamento de Justicia de los Estados Unidos acusó a un ciudadano estadounidense, Albert Gonzalez , y a dos rusos anónimos del robo de 130 millones de números de tarjetas de crédito mediante un ataque de inyección SQL. En lo que se dice es "el mayor caso de robo de identidad en la historia de Estados Unidos", el hombre robó tarjetas de varias empresas víctimas después de investigar sus sistemas de procesamiento de pagos . Entre las empresas afectadas se encontraban el procesador de tarjetas de crédito Heartland Payment Systems , la cadena de tiendas de conveniencia 7-Eleven y la cadena de supermercados Hannaford Brothers . ^[22]
• En julio de 2010, un investigador de seguridad sudamericano que utiliza el nombre de usuario "Ch Russo" obtuvo información confidencial de los usuarios del popular sitio de BitTorrent The Pirate Bay . Obtuvo acceso al panel de control administrativo del sitio y explotó una vulnerabilidad de inyección SQL que le permitió recopilar información de las cuentas de los usuarios, incluidas direcciones IP , hashes de contraseñas MD5 y registros de los torrents que han subido los usuarios individuales. ^[23]
• Del 24 al 26 de julio de 2010, atacantes de Japón y China utilizaron una inyección SQL para obtener acceso a los datos de tarjetas de crédito de los clientes de Neo Beat, una empresa con sede en Osaka que gestiona un gran sitio de supermercados en línea. El ataque también afectó a siete socios comerciales, entre ellos las cadenas de supermercados Izumiya Co, Maruetsu Inc y Ryukyu Jusco Co. El robo de datos afectó a 12.191 clientes. Hasta el 14 de agosto de 2010, se informó de que se habían producido más de 300 casos de información de tarjetas de crédito utilizada por terceros para comprar bienes y servicios en China.
• El 19 de septiembre, durante las elecciones generales suecas de 2010, un votante intentó inyectar código escribiendo a mano comandos SQL como parte de una votación por escrito . ^[24]
• El 8 de noviembre de 2010, el sitio web de la Marina Real Británica fue comprometido por un hacker rumano llamado TinKode mediante inyección SQL. ^{[25] [26]}
• El 11 de abril de 2011, Barracuda Networks fue atacada mediante una falla de inyección SQL. Entre la información obtenida se encontraban direcciones de correo electrónico y nombres de usuario de empleados. ^[27]
• Durante un período de 4 horas el 27 de abril de 2011, se produjo un ataque de inyección SQL automatizado en el sitio web de Broadband Reports que pudo extraer el 8% de los pares de nombre de usuario/contraseña: 8.000 cuentas aleatorias de las 9.000 cuentas activas y 90.000 cuentas antiguas o inactivas. ^{[28] [29] [30]}
• El 1 de junio de 2011, los " hacktivistas " del grupo LulzSec fueron acusados ​​de usar inyección SQL para robar cupones , claves de descarga y contraseñas que estaban almacenadas en texto plano en el sitio web de Sony , accediendo a la información personal de un millón de usuarios. ^[31]
• En junio de 2011, PBS fue hackeado por LulzSec, probablemente mediante el uso de inyección SQL; el proceso completo utilizado por los hackers para ejecutar inyecciones SQL fue descrito en este blog de Imperva. ^[32]
• En julio de 2012, se informó que un grupo de piratas informáticos había robado 450.000 credenciales de inicio de sesión de Yahoo !. Las credenciales se almacenaron en texto sin formato y supuestamente se obtuvieron de un subdominio de Yahoo! Voices . El grupo violó la seguridad de Yahoo utilizando una " técnica de inyección SQL basada en uniones ". ^{[33] [34]}
• El 1 de octubre de 2012, un grupo de hackers llamado "Team GhostShell" publicó los registros personales de estudiantes, profesores, empleados y exalumnos de 53 universidades, incluidas Harvard , Princeton , Stanford , Cornell , Johns Hopkins y la Universidad de Zúrich en pastebin.com . Los hackers afirmaron que estaban tratando de "crear conciencia sobre los cambios realizados en la educación actual", lamentando los cambios en las leyes educativas en Europa y los aumentos en la matrícula en los Estados Unidos . ^[35]
• El 4 de noviembre de 2013, el grupo de hackers "RaptorSwag" supuestamente comprometió 71 bases de datos del gobierno chino mediante un ataque de inyección SQL contra la Cámara de Comercio Internacional de China. Los datos filtrados se publicaron en cooperación con Anonymous . ^[36]
• En agosto de 2014, la empresa de seguridad informática Hold Security, con sede en Milwaukee, reveló que había descubierto un robo de información confidencial de casi 420.000 sitios web mediante inyecciones SQL. ^[37] El New York Times confirmó este hallazgo contratando a un experto en seguridad para comprobar la afirmación. ^[38]
• En octubre de 2015, se utilizó un ataque de inyección SQL para robar los datos personales de 156.959 clientes de los servidores de la empresa de telecomunicaciones británica TalkTalk , explotando una vulnerabilidad en un portal web heredado. ^[39]
• A principios de 2021, se filtraron 70 gigabytes de datos del sitio web de extrema derecha Gab mediante un ataque de inyección SQL. La vulnerabilidad fue introducida en el código base de Gab por Fosco Marotto, el director de tecnología de Gab . ^[40] La semana siguiente se lanzó un segundo ataque contra Gab utilizando tokens OAuth2 robados durante el primer ataque. ^[41]

En la cultura popular

• Una caricatura de xkcd de 2007 involucraba a un personaje llamado Robert'); DROP TABLE Students;--, nombrado para realizar una inyección SQL. Como resultado de esta caricatura, a la inyección SQL a veces se la conoce informalmente como "Bobby Tables". ^{[42] [43]}
• El inicio de sesión no autorizado en sitios web mediante inyección SQL constituye la base de una de las subtramas de la novela de J. K. Rowling de 2012, The Casual Vacancy .
• En 2014, un individuo en Polonia cambió legalmente el nombre de su empresa a Dariusz Jakubowski x'; DROP TABLE users; SELECT '1 en un intento de interrumpir el funcionamiento de los robots de recolección de spam de los spammers . ^[44]
• El juego Hacknet de 2015 tiene un programa de piratería llamado SQL_MemCorrupt. Se describe como una inyección de una entrada de tabla que provoca un error de corrupción en una base de datos SQL y, a continuación, consulta dicha tabla, lo que provoca un bloqueo de la base de datos SQL y un volcado del núcleo.

Véase también

• Inyección de código
• Scripting entre sitios
• Proyecto Metasploit
• Proyecto de seguridad de aplicaciones web abiertas OWASP
• Inyección rápida , un concepto similar aplicado a la inteligencia artificial
• Entidad SGML
• Cadena de formato no controlada
• w3af
• Seguridad de aplicaciones web

Referencias

1. Microsoft. "Inyección SQL". Archivado desde el original el 2 de agosto de 2013. Consultado el 4 de agosto de 2013. La inyección SQL es un ataque en el que se inserta código malicioso en cadenas que luego se pasan a una instancia de SQL Server para su análisis y ejecución. Cualquier procedimiento que construya sentencias SQL debe revisarse para detectar vulnerabilidades de inyección porque SQL Server ejecutará todas las consultas sintácticamente válidas que reciba. Incluso los datos parametrizados pueden ser manipulados por un atacante hábil y decidido.
2. Zhuo, Z.; Cai, T.; Zhang, X.; Lv, F. (abril de 2021). "Memoria a corto plazo larga en árbol de sintaxis abstracta para detección de inyección SQL". IET Software . 15 (2): 188–197. doi :10.1049/sfw2.12018. ISSN  1751-8806. S2CID  233582569.
3. "Hacking NodeJS y MongoDB | Blog de Websecurify" . Consultado el 15 de noviembre de 2023 .
4. Imperva (julio de 2012). "Informe de ataques a aplicaciones web de Imperva" (PDF) . Archivado desde el original (PDF) el 7 de septiembre de 2013. Consultado el 4 de agosto de 2013. Los minoristas sufren el doble de ataques de inyección SQL que otras industrias . / Si bien la mayoría de las aplicaciones web reciben 4 o más campañas de ataques web por mes, algunos sitios web están constantemente bajo ataque. / Un sitio web observado estuvo bajo ataque 176 de 180 días, o el 98 % del tiempo.
5. Jeff Forristal (firma como rain.forest.puppy) (25 de diciembre de 1998). "NT Web Technology Vulnerabilities". Revista Phrack . 8 (54 (artículo 8)). Archivado desde el original el 19 de marzo de 2014.
6. "Categoría:Proyecto Top Ten de OWASP". OWASP. Archivado desde el original el 19 de mayo de 2011. Consultado el 3 de junio de 2011 .
7. "Categoría:Proyecto Top Ten de OWASP". OWASP. Archivado desde el original el 9 de octubre de 2013. Consultado el 13 de agosto de 2013 .
8. "Cómo introducir comentarios SQL" (PDF) , IBM Informix Guide to SQL: Syntax , IBM, págs. 13-14, archivado desde el original (PDF) el 24 de febrero de 2021 , consultado el 4 de junio de 2018
9. "Extracción de múltiples bits por solicitud de vulnerabilidades de inyección SQL a ciegas". Hack All The Things. Archivado desde el original el 8 de julio de 2016 . Consultado el 8 de julio de 2016 .
10. "Uso de SQLBrute para extraer datos mediante fuerza bruta desde un punto de inyección SQL ciego". Justin Clarke. Archivado desde el original el 14 de junio de 2008. Consultado el 18 de octubre de 2008 .
11. macd3v. «Tutorial de inyección SQL a ciegas». Archivado desde el original el 14 de diciembre de 2012. Consultado el 6 de diciembre de 2012 .{{cite web}}: CS1 maint: nombres numéricos: lista de autores ( enlace )
12. Andrey Rassokhin; Dmitry Oleksyuk. «Botnet TDSS: divulgación completa». Archivado desde el original el 9 de diciembre de 2012. Consultado el 6 de diciembre de 2012 .
13. "Preguntas para TalkTalk - BBC News". BBC News . 26 de octubre de 2015. Archivado desde el original el 26 de octubre de 2015 . Consultado el 26 de octubre de 2015 .
14. "Capa de consulta transparente para MySQL". Roberto Eisele. 8 de noviembre de 2010.
15. "Ataques de inyección SQL y prevención: guía completa". appsecmonkey.com . 13 de febrero de 2021 . Consultado el 24 de febrero de 2021 .
16. "Hoja de trucos para la prevención de inyecciones SQL". Proyecto de seguridad de aplicaciones web abiertas. Archivado desde el original el 20 de enero de 2012. Consultado el 3 de marzo de 2012 .
17. "Las conjeturas plagan los informes de agujeros en la Web". SecurityFocus . 6 de marzo de 2002. Archivado desde el original el 9 de julio de 2012.
18. "WHID 2005-46: Adolescente utiliza inyección SQL para acceder al sitio web de una revista de seguridad". Consorcio de Seguridad de Aplicaciones Web. 1 de noviembre de 2005. Archivado desde el original el 17 de enero de 2010. Consultado el 1 de diciembre de 2009 .
19. "WHID 2006-3: piratas informáticos rusos irrumpieron en un sitio web del gobierno de Rhode Island". Consorcio de Seguridad de Aplicaciones Web. 13 de enero de 2006. Archivado desde el original el 13 de febrero de 2011. Consultado el 16 de mayo de 2008 .
20. "Hackers anti-EE.UU. se infiltran en servidores del ejército". Information Week . 29 de mayo de 2009. Archivado desde el original el 20 de diciembre de 2016 . Consultado el 17 de diciembre de 2016 .
21. Alex Papadimoulis (15 de abril de 2008). «Oklahoma filtra decenas de miles de números de la Seguridad Social y otros datos confidenciales». The Daily WTF . Archivado desde el original el 10 de mayo de 2008. Consultado el 16 de mayo de 2008 .
22. "Hombre estadounidense 'robó 130 millones de números de tarjetas'". BBC. 17 de agosto de 2009. Archivado desde el original el 18 de agosto de 2009. Consultado el 17 de agosto de 2009 .
23. "El ataque a The Pirate Bay". 7 de julio de 2010. Archivado desde el original el 24 de agosto de 2010.
24. "¿Las Little Bobby Tables migraron a Suecia?". Alicebobandmallory.com. Archivado desde el original el 1 de julio de 2012. Consultado el 3 de junio de 2011 .
25. "Sitio web de la Marina Real atacado por un hacker rumano". BBC News. 8 de noviembre de 2010. Archivado desde el original el 9 de noviembre de 2010. Consultado el 15 de noviembre de 2023 .
26. Sam Kiley (25 de noviembre de 2010). «Supervirus: un objetivo para los ciberterroristas». Archivado desde el original el 28 de noviembre de 2010. Consultado el 25 de noviembre de 2010 .
27. "Hacker entra en la base de datos de Barracuda Networks". Archivado desde el original el 27 de julio de 2011.
28. "información sobre intrusión de contraseña de usuario del sitio". Dslreports.com. Archivado desde el original el 18 de octubre de 2012. Consultado el 3 de junio de 2011 .
29. "DSLReports dice que robaron información de miembros". Cnet News. 28 de abril de 2011. Archivado desde el original el 21 de marzo de 2012. Consultado el 29 de abril de 2011 .
30. "La filtración de datos de DSLReports.com expuso más de 100.000 cuentas". The Tech Herald. 29 de abril de 2011. Archivado desde el original el 30 de abril de 2011. Consultado el 29 de abril de 2011 .
31. "LulzSec hackea a Sony Pictures y revela 1 millón de contraseñas sin protección", electronista.com , 2 de junio de 2011, archivado desde el original el 6 de junio de 2011 , consultado el 3 de junio de 2011
32. "Imperva.com: PBS hackeado - Cómo probablemente lo hicieron los hackers". Archivado desde el original el 29 de junio de 2011. Consultado el 1 de julio de 2011 .
33. Ngak, Chenda. "Según se informa, Yahoo fue hackeado: ¿Está segura su cuenta?". CBS News . Archivado desde el original el 14 de julio de 2012. Consultado el 16 de julio de 2012 .
34. Yap, Jamie (12 de julio de 2012). «Se filtraron 450.000 contraseñas de usuarios en una filtración de Yahoo». ZDNet . Archivado desde el original el 2 de julio de 2014. Consultado el 18 de febrero de 2017 .
35. Perlroth, Nicole (3 de octubre de 2012). "Hackers atacan 53 universidades y publican miles de registros personales en Internet". The New York Times . Archivado desde el original el 5 de octubre de 2012.
36. Kovacs, Eduard (4 de noviembre de 2013). «Hackers filtran datos supuestamente robados del sitio web de la Cámara de Comercio china». Softpedia News . Archivado desde el original el 2 de marzo de 2014. Consultado el 27 de febrero de 2014 .
37. Damon Poeter. Una banda de hackers rusos muy unida acumula 1.200 millones de credenciales de identidad Archivado el 14 de julio de 2017 en Wayback Machine , PC Magazine , 5 de agosto de 2014
38. Nicole Perlroth. Una banda rusa acumula más de mil millones de contraseñas de Internet Archivado el 27 de febrero de 2017 en Wayback Machine , The New York Times , 5 de agosto de 2014.
39. "TalkTalk recibe una multa récord de 400.000 libras por no haber evitado el ataque de octubre de 2015". 5 de octubre de 2016. Archivado desde el original el 24 de octubre de 2016 . Consultado el 23 de octubre de 2016 .
40. Goodin, Dan (2 de marzo de 2021). "El error de codificación de un novato antes del hackeo de Gab provino del director de tecnología del sitio". Ars Technica .
41. Goodin, Dan (8 de marzo de 2021). "Gab, un refugio para las teorías conspirativas a favor de Trump, ha sido hackeado nuevamente". Ars Technica .
42. Munroe, Randall. «XKCD: Exploits of a Mom». Archivado desde el original el 25 de febrero de 2013. Consultado el 26 de febrero de 2013 .
43. "La guía de Bobby Tables para la inyección SQL". 15 de septiembre de 2009. Archivado desde el original el 7 de noviembre de 2017. Consultado el 30 de octubre de 2017 .
44. "Jego firma ma w nazwie inyección SQL. Nie zazdrościmy tym, którzy będą go fakturowali;)". Niebezpiecznik (en polaco). 11 de septiembre de 2014. Archivado desde el original el 24 de septiembre de 2014 . Consultado el 26 de septiembre de 2014 .

Enlaces externos

• Hojas de trucos de inyección SQL de OWASP, por OWASP.
• Clasificación de amenazas WASC: entrada de inyección SQL, por el Consorcio de seguridad de aplicaciones web.
• Por qué la inyección SQL no desaparecerá Archivado el 9 de noviembre de 2012 en Wayback Machine , por Stuart Thomas.
• Referencias rápidas de seguridad de SDL sobre inyección SQL por Bala Neerumalla.
• Cómo funcionan las fallas de seguridad: inyección SQL