Evitar ataques SQL injection con GreenSQL Firewall

Publicado por danielmd el August 24th, 2009 Categoria Software Tags: , , , ,






Uno de los problemas mas comunes al momento de utilizar bases de datos en una web/aplicación web donde se tiene una mala programación, es que estas pueden quedar inseguras y vulnerables a un ataque sql inyection si no se tiene un buen filtrado de variables y un buen control sobre las consultas que se realizan a nuestro servidor de base de datos ya sea con php, asp o cualquier otro lenguaje que interactue con bases de datos mysql, sql etc. Estos errores los cometen principalmente las personas que apenas están aprendiendo a desarrollar sus primeros proyectos, pero también son cometidos por profesionales que no se documentan lo suficiente como para detener estos ataques y estar preparados para detenerlos, incluso también por flojera de los mismos.

Bueno, para evitar este tipo de ataques he encontrado una herramienta bastante sencilla de utilizar, se llama GreenSQL Proxy y es un FIREWALL de seguridad de código abierto con licencia GPL que nos permite frenar ataques sql inyection contra cualquiera de nuestras paginas alojadas en un servidor que utilice MySQL.

Su funcionamiento se basa en la evaluación de comandos SQL utilizando una matriz de valoración de riesgo, así como el uso de comandos administrativos de bases de datos como lo son DROP y CREATE.

Para que les quede un poco mas claro pueden ver su funcionamiento en esta imagen.

Llega un usuario a nuestra web, envía una consulta y esta antes de entrar a nuestro servidor de bases de datos es examinada por GreenSQL proxy, si la consulta fue alterada GreenSQL la bloquea y no realiza la consulta ante el servidor, caso contrario la realiza y devuelve una respuesta al usuario.
SQL inyection

Un ejemplo sencillo sería este:
Un sitio que nos pida login y password para entrar y que esta mal programado puede ser vulnerable si se introduce algo como esto
1 OR 1=1
Alteraría la consulta y esta quedaría de la siguiente forma
SELECT * FROM user WHERE name = ’1 OR 1=1′ AND pwd=SHA(”)
Si se llega a realizar esta consulta el usuario puede acceder sin estar registrado en el sitio vulnerable. Pero si contamos con GreenSQL inyection este evaluaría la consulta y la tomaría como consulta de riesgo por lo que la bloquearía antes de realizarse.
servidor sql mysql bases de datos

Descargar GreenSQL proxy




Noticias relacionadas

Búsquedas recientes:

  • pwd_sha
  • detener ataques sql

  • instalar greensql

  • sql injection
  • evitar consultas inseguras a la base de datos

  • firewall aplicaciones web greensql

  • green sql para windows
«
»

4 Comentarios para “Evitar ataques SQL injection con GreenSQL Firewall”

  1. chidolandia says:
    24 August 2009 at 3:30

    esto aplicaria a sitios hosteados en wordpresS?

    Responder
    • danielmd says:
      24 August 2009 at 4:24

      Claro, pero el problema es que si tu le compras servicio a una empresa de hosting tu no lo puedes instalar, solo aplica si tu administras tu propio servidor porque necesitarías instalarlo.

      Responder
  2. ACSE says:
    2 December 2009 at 13:38

    Disculpen, ¿alguna alternativa para plataforma Windows? Gracias

    Responder
  3. Miguel Sosa says:
    3 February 2010 at 12:19

    Para windows instalas virtualbox, sobre el instalas linux y el proxy.

    y Actualmente ya estoy ofreciendo hosting con greensql como opcional

    Responder

Comentar entrada

Buscador

Escribe tu email


No olvides validar tu cuenta, revisa el correo spam