Inyección SQL

Una inyección SQL o en inglés SQL Injection es una de las vulnerabiliades web más explotadas según el top 10 de OWASP la cual consiste en manipular una sentencia SQL legítima aprovechando alguna vulnerabilidad o incorrecta validación de consultas para ejecutar otro tipo de comandos sobre la base de datos, por ejemplo, modificar su contenido, borrarla completamente o acceder a datos sensibles como usuarios, contraseñas y números de tarjetas de crédito, incluso ejecutar comandos sobre el sistema operativo, lo que la convierte en una técnica con un nivel de criticidad bastante alto.

Aunque se podría llegar a pensar que se necesitan altos conocimientos de lenguaje SQL, en la actualidad herramientas como sqlmap permiten realizar ataques automatizados con conocimientos mínimos.

Con esta pequeña información nos veremos en próximas entradas, donde estudiaremos en un laboratorio práctico y controlado, cómo se realizan este tipo de ataques y cómo se pueden mitigar.

¿Qué es YAML?

YAML es un lenguaje de marcado de documentos relativamente joven, creado en 2011 y que permite organizar y leer los datos contenidos de manera fácil, ya que uno de sus objetivos es tener un estándar amigable y de compresión rápida. Se caracteriza por tener una estructura en árbol e identada con espacios.

A continuación veremos un ejemplo bastante simple de cómo se ve una estructura en YAML:

Sin título
#Así lucen los comenatarios en YAML.

#Esto es una llave, se compone del nombre 
#de la llave y separado con un espacio, su valor.
llave: valor
otrallave: valor

#Esto es un mapa. 
hola_soy_un_mapa:
 #Dentro de los mapas podemos anidar elementos, identados 
 #con un espacio
  llave_identada: valor
  #También se pueden construir mapas dentro de un mapa
  mapa_numero_2:
  #Y podemos agregar secuencias a las llaves
   llave_secuenciada:
    - valor_1
    - valor_2
    - valor_3

Probablemente se preguntarán ¿Para qué sirve esto? Bueno en palabras de Mickey Mouse:

Hasta pronto.