Ver:
· http://en.wikipedia.org/wiki/SQL_Injection
Tipo de
ataque a sitios web basados en bases de datos. Una persona malintencionada
ejecuta comandos SQL no autorizados aprovechando códigos inseguros de un
sistema conectado a Internet. Los ataques de inyección SQL se utilizan para
robar información normalmente no disponible de una base de datos o para acceder
a las computadoras host de una organización mediante la computadora que
funciona como servidor de la base de datos.
http://es.pcisecuritystandards.org
Inyección SQL
es un método de infiltración de código intruso que se sirve de una
vulnerabilidad presente en una aplicación en el nivel de validación de entradas
para la realización de consultas a una base de datos.
El origen de
la vulnerabilidad radica en la incorrecta validación de las variables
utilizadas en un programa que contiene o genera, código SQL.
http://www.inteco.es/glossary/Formacion/Glosario/
Inyección SQL
es una vulnerabilidad informática en el nivel de la validación de las entradas
a la base de datos de una aplicación. El origen es el filtrado incorrecto de
las variables utilizadas en las partes del programa con código SQL. Es, de
hecho, un error de una clase más general de vulnerabilidades que puede ocurrir
en cualquier lenguaje de programación o de script que esté incrustado dentro de
otro.
Una inyección
SQL sucede cuando se inserta o "inyecta" un código SQL
"invasor" dentro de otro código SQL para alterar su funcionamiento
normal, y hacer que se ejecute maliciosamente el código "invasor" en
la base de datos.
http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL
Form of attack on
database-driven web site. A malicious individual executes unauthorized SQL
commands by taking advantage of insecure code on a system connected to the
Internet. SQL injection attacks are used to steal information from a database
from which the data would normally not be available and/or to gain access to an
organizations host computers through the computer that is hosting the
database.
https://www.pcisecuritystandards.org/security_standards/glossary.php
SQL injection is
a type of input validation attack specific to database-driven applications
where SQL code is inserted into application queries to manipulate the database.
http://www.sans.org/security-resources/glossary-of-terms/
An attack
technique used to exploit web sites by altering backend SQL statements through
manipulating application input.
http://www.webappsec.org/projects/glossary/
SQL injection is
a type of security exploit in which the attacker adds Structured Query Language
(SQL) code to a Web form input box to gain access to resources or make changes
to data. An SQL query is a request for some action to be performed on a
database. Typically, on a Web form for user authentication, when a user enters
their name and password into the text boxes provided for them, those values are
inserted into a SELECT query. If the values entered are found as expected, the
user is allowed access; if they aren't found, access is denied. However, most
Web forms have no mechanisms in place to block input other than names and
passwords. Unless such precautions are taken, an attacker can use the input
boxes to send their own request to the database, which could allow them to download
the entire database or interact with it in other illicit ways.
http://searchsoftwarequality.techtarget.com/glossary/
This attack
exploits target software that constructs SQL statements based on user
input. An attacker crafts input strings
so that when the target software constructs SQL statements based on the input,
the resulting SQL statement performs actions other than those the application
intended.
SQL Injection
results from failure of the application to appropriately validate input. When
specially crafted user-controlled input consisting of SQL syntax is used
without proper validation as part of SQL queries, it is possible to glean
information from the database in ways not envisaged during application design.
Depending upon the database and the design of the application, it may also be
possible to leverage injection to have the database execute system-related
commands of the attacker's choice. SQL Injection enables an attacker to talk
directly to the database, thus bypassing the application completely. Sucessful
injection can cause information disclosure as well as ability to add or modify
data in the database. In order to successfully inject SQL and retrieve
information from a database, an attacker:
Attack Pattern 66
http://capec.mitre.org/data/index.html
Type dattaque sur un
site Web depuis une base de données. Un pirate exécute des commandes SQL non
autorisées en profitant dun code non sécurisé sur un système connecté à
Internet. Les attaques par injection de commandes SQL sont utilisées pour
dérober des renseignements provenant dune base de données dont les données ne
seraient normalement pas disponibles, et/ou pour accéder aux ordinateurs hôtes
par lintermédiaire de lordinateur hébergeant la base de données.
http://fr.pcisecuritystandards.org/
Temas relacionados