miércoles, 29 de junio de 2011

SQL injection a la cabeza del top 25 de Errores de Software

Se acaba de publicar -27 de Junio de 2011- en la web de SANS Institute y de CWE el estudio “2011 CWE/SANS Top 25 Most Dangerous Software Errors” (2011 CWE/SANS Los 25 Errores de Software más Peligrosos).

Me llama la atención que el más detectado haya sido el SQL Injection, ya que es un tema que cuando hablas de seguridad en la programación de aplicaciones, siempre se hace referencia.

En el estudio presentan el punto CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') (Impropia Neutralización de Elementos Especiales usados en un SQL Command ) con una descripción del problema, ejemplos de cómo se produce el ataque y técnicas de programación para evitar los casos más obvios.

SQL Injection consiste en introducir código SQL en casillas de texto de aplicaciones web con intención de ejecutar sentencias contra la base de datos que no están permitidas por el diseño de la aplicación.
Un artículo interesante sobre este problema lo podemos encontrar en la Wikipedia, Inyección SQL