Este contenido se enfoca en un tema clásico y que cada vez menos vulnerado, aunque presente y explotable en nuevos desarrollos: inyecciones en SQL (SQLi). Se aborda desde las siguiente perspectivas: como individuo que ataca, que prueba o que desarrolla la aplicación.
Se presentan los diferentes tipos de inyección: clásicas con retorno de datos visibles, por inferencia (ciegas basadas en errores o demoras) y con visibilidad fuera de banda. El propósito es también explicar o referir a cómo combatir problemas desde el punto de vista del desarrollo y configuración, mencionando algunas herramientas y tecnologías comunes para lograr tanto la detección y explotación como la corrección.
El contenido teórico comienza en la sección Introducción, mientras que, en caso de querer realizar los ejercicios, la sección Ambiente de pruebas contiene las indicaciones para construir el ambiente donde poder realizar los ejercicios propuestos.
Este material está basado en recursos públicos y experiencia de miembros de OWASP Uruguay. Las principales referencias son:
- OWASP Cheat Sheet Series: SQL Injection Prevention Cheat Sheet
- PortSwigger Web Security: SQL injection
Nota: Se invita a recurrir a los materiales y laboratorios provistos que son referenciados. Este sitio web apunta a recopilar los recursos con una explicación alternativa, traducida y en algunas secciones enriquecida.