Evitar ataques SQL injection con GreenSQL Firewall








Uno de los problemas mas comunes al momento de utilizar bases de datos en una web/aplicación web donde se tiene una mala programación, es que estas pueden quedar inseguras y vulnerables a un ataque sql inyection si no se tiene un buen filtrado de variables y un buen control sobre las consultas que se realizan a nuestro servidor de base de datos ya sea con php, asp o cualquier otro lenguaje que interactue con bases de datos mysql, sql etc. Estos errores los cometen principalmente las personas que apenas están aprendiendo a desarrollar sus primeros proyectos, pero también son cometidos por profesionales que no se documentan lo suficiente como para detener estos ataques y estar preparados para detenerlos, incluso también por flojera de los mismos.

Bueno, para evitar este tipo de ataques he encontrado una herramienta bastante sencilla de utilizar, se llama GreenSQL Proxy y es un FIREWALL de seguridad de código abierto con licencia GPL que nos permite frenar ataques sql inyection contra cualquiera de nuestras paginas alojadas en un servidor que utilice MySQL.

Su funcionamiento se basa en la evaluación de comandos SQL utilizando una matriz de valoración de riesgo, así como el uso de comandos administrativos de bases de datos como lo son DROP y CREATE.

Para que les quede un poco mas claro pueden ver su funcionamiento en esta imagen.

Llega un usuario a nuestra web, envía una consulta y esta antes de entrar a nuestro servidor de bases de datos es examinada por GreenSQL proxy, si la consulta fue alterada GreenSQL la bloquea y no realiza la consulta ante el servidor, caso contrario la realiza y devuelve una respuesta al usuario.
SQL inyection

Un ejemplo sencillo sería este:
Un sitio que nos pida login y password para entrar y que esta mal programado puede ser vulnerable si se introduce algo como esto
1 OR 1=1
Alteraría la consulta y esta quedaría de la siguiente forma
SELECT * FROM user WHERE name = ‘1 OR 1=1’ AND pwd=SHA(”)
Si se llega a realizar esta consulta el usuario puede acceder sin estar registrado en el sitio vulnerable. Pero si contamos con GreenSQL inyection este evaluaría la consulta y la tomaría como consulta de riesgo por lo que la bloquearía antes de realizarse.
servidor sql mysql bases de datos

Descargar GreenSQL proxy





Búsquedas recientes:

  • como detener un ataque de sql injection
  • firewall aplicaciones web greensql

  • sql injection
  • instalar greensql

  • detener servicio de greensql
  • prevenir un ataque SQL Injection
  • sitio de greensql

4 Comentarios para “Evitar ataques SQL injection con GreenSQL Firewall”

  1. chidolandia says:

    esto aplicaria a sitios hosteados en wordpresS?

    • danielmd says:

      Claro, pero el problema es que si tu le compras servicio a una empresa de hosting tu no lo puedes instalar, solo aplica si tu administras tu propio servidor porque necesitarías instalarlo.

  2. ACSE says:

    Disculpen, ¿alguna alternativa para plataforma Windows? Gracias

  3. Miguel Sosa says:

    Para windows instalas virtualbox, sobre el instalas linux y el proxy.

    y Actualmente ya estoy ofreciendo hosting con greensql como opcional

Comentar entrada

Loading Facebook Comments ...