1. Introducción.-
Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos.
El origen de la vulnerabilidad radica en el incorrecto chequeo y/o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o script que esté embebido dentro de otro.
Se conoce como Inyección SQL, indistintamente, al tipo de vulnerabilidad, al método de infiltración, al hecho de incrustar código SQL intruso y a la porción de código incrustado.
2. Objetivos.-
a. Principal.-
Es crear o alterar comandos SQL existentes para exponer datos ocultos, sobreponerse a los que son importantes o ejecutar comandos peligrosos a nivel de sistema en el equipo donde se encuentra la base de datos.
b. Específicos.-
• Obtener a través de la aplicación una entrada de usuario.
• Combinar dicha entrada con parámetros estáticos.
• Elaborar una consulta SQL con los parámetros estáticos combinados.
3. Marco Teórico.-
Se dice que existe o se produjo una inyección SQL cuando, de alguna manera, se inserta o "inyecta" código SQL invasor dentro del código SQL programado, a fin de alterar el funcionamiento normal del programa y lograr así que se ejecute la porción de código "invasor" incrustado, en la base de datos.
Este tipo de intrusión normalmente es de carácter malicioso, dañino o espía, por tanto es un problema de seguridad informática, y debe ser tomado en cuenta por el programador de la aplicación para poder prevenirlo. Un programa elaborado con descuido, displicencia o con ignorancia del problema, podrá resultar ser vulnerable, y la seguridad del sistema (base de datos) podrá quedar eventualmente comprometida.
1. Introducción.-
Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos.
El origen de la vulnerabilidad radica en el incorrecto chequeo y/o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o script que esté embebido dentro de otro.
Se conoce como Inyección SQL, indistintamente, al tipo de vulnerabilidad, al método de infiltración, al hecho de incrustar código SQL intruso y a la porción de código incrustado.
2. Objetivos.-
a. Principal.-
Es crear o alterar comandos SQL existentes para exponer datos ocultos, sobreponerse a los que son importantes o ejecutar comandos peligrosos a nivel de sistema en el equipo donde se encuentra la base de datos.
b. Específicos.-
• Obtener a través de la aplicación una entrada de usuario.
• Combinar dicha entrada con parámetros estáticos.
• Elaborar una consulta SQL con los parámetros estáticos combinados.
3. Marco Teórico.-
Se dice que existe o se produjo una inyección SQL cuando, de alguna manera, se inserta o "inyecta" código SQL invasor dentro del código SQL programado, a fin de alterar el funcionamiento normal del programa y lograr así que se ejecute la porción de código "invasor" incrustado, en la base de datos.
Este tipo de intrusión normalmente es de carácter malicioso, dañino o espía, por tanto es un problema de seguridad informática, y debe ser tomado en cuenta por el programador de la aplicación para poder prevenirlo. Un programa elaborado con descuido, displicencia o con ignorancia del problema, podrá resultar ser vulnerable, y la seguridad del sistema (base de datos) podrá quedar eventualmente comprometida.
Copyright:
Attribution Non-Commercial (BY-NC)
Available Formats
Download as TXT, PDF, TXT or read online from Scribd
1. Introducción.-
Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos.
El origen de la vulnerabilidad radica en el incorrecto chequeo y/o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o script que esté embebido dentro de otro.
Se conoce como Inyección SQL, indistintamente, al tipo de vulnerabilidad, al método de infiltración, al hecho de incrustar código SQL intruso y a la porción de código incrustado.
2. Objetivos.-
a. Principal.-
Es crear o alterar comandos SQL existentes para exponer datos ocultos, sobreponerse a los que son importantes o ejecutar comandos peligrosos a nivel de sistema en el equipo donde se encuentra la base de datos.
b. Específicos.-
• Obtener a través de la aplicación una entrada de usuario.
• Combinar dicha entrada con parámetros estáticos.
• Elaborar una consulta SQL con los parámetros estáticos combinados.
3. Marco Teórico.-
Se dice que existe o se produjo una inyección SQL cuando, de alguna manera, se inserta o "inyecta" código SQL invasor dentro del código SQL programado, a fin de alterar el funcionamiento normal del programa y lograr así que se ejecute la porción de código "invasor" incrustado, en la base de datos.
Este tipo de intrusión normalmente es de carácter malicioso, dañino o espía, por tanto es un problema de seguridad informática, y debe ser tomado en cuenta por el programador de la aplicación para poder prevenirlo. Un programa elaborado con descuido, displicencia o con ignorancia del problema, podrá resultar ser vulnerable, y la seguridad del sistema (base de datos) podrá quedar eventualmente comprometida.
Copyright:
Attribution Non-Commercial (BY-NC)
Available Formats
Download as TXT, PDF, TXT or read online from Scribd
--------------------------------2011/4/20 19:00:54------------------------------A memory block has been leaked.
The size is: 52
This block was allocated by thread 0xF34, and the stack trace (return addresses) at the time was: [007D71F9] [ AIMP3.dll] System.@GetMem [007DDF66] [ AIMP3.dll] System.@NewUnicodeString [007DD20B] [ AIMP3.dll] System.@UStrFromPWCharLen [007E16E4] [ AIMP3.dll] System.LoadResString [74CB6275] [ MSCTF.dll] [74CB625B] [ MSCTF.dll] [74CB467B] [ MSCTF.dll] [74CB41B4] [ MSCTF.dll] [74CB41B4] [ MSCTF.dll] [750C6237] [ USER32.dll] [74CB41B4] [ MSCTF.dll] The block is currently used for an object of class: UnicodeString The allocation number is: 44438 --------------------------------2011/4/20 19:00:54------------------------------A memory block has been leaked. The size is: 36 This block was allocated by thread 0xF34, and the stack trace (return addresses) at the time was: [007D71F9] [ AIMP3.dll] System.@GetMem [007D9D0E] [ AIMP3.dll] System.TObject.NewInstance [007DA3B1] [ AIMP3.dll] System.@ClassCreate [008025F6] [ AIMP3.dll] SysUtils.Exception.CreateRes [008B7009] [ AIMP3.dll] AIMP_BaseClasses.MyCallNotifyEvent [+1] (Line: 524) [00802F0D] [ AIMP3.dll] SysUtils.AbstractErrorHandler [007D7C0A] [ AIMP3.dll] System.@AbstractError [009112A7] [ AIMP3.dll] MyTrayIcon.TMyTrayIconHandler.DoButtonUp [+2] (Line: 5 26) [009111DD] [ AIMP3.dll] MyTrayIcon.TMyTrayIconHandler.HandleIconMessage [+17] (Line: 500) [0083D859] [ AIMP3.dll] Classes.StdWndProc [+8] (Line: 13017) [750C6237] [ USER32.dll] The block is currently used for an object of class: EAbstractError The allocation number is: 44437 --------------------------------2011/4/20 19:00:54------------------------------This application has leaked memory. The small block leaks are (excluding expecte d leaks registered by pointer): 21 - 36 bytes: EAbstractError x 1 37 - 52 bytes: UnicodeString x 1 Note: Memory leak detail is logged to a text file in the same folder as this app lication. To disable this memory leak check, undefine "EnableMemoryLeakReporting ".