OWASP TOP 10: Inyección SQL ~2023

Resumen

La inyección SQL es un tipo de vulnerabilidad que puede permitir a los atacantes inyectar código SQL malicioso en la base de datos del backend de una aplicación web, lo que potencialmente les permite acceder a datos sensibles o incluso tomar el control de todo el sistema.

Programa de estudio

• Introducción a la Inyección SQL
Definición y visión general de la inyección SQL
Importancia de entender las vulnerabilidades de inyección SQL
• Entendiendo el Top 10 de OWASP
Visión general de los riesgos de seguridad del Top 10 de OWASP
Dónde encaja la inyección SQL dentro del Top 10 de OWASP
• Cómo Funciona la Inyección SQL
Comandos básicos y estructura de SQL
Tipos de inyección SQL (In-band, Inferencial, Fuera de banda)
Vulnerabilidades comunes explotadas en ataques de inyección SQL
• Identificación de Vulnerabilidades de Inyección SQL
Técnicas para descubrir puntos de inyección SQL
Herramientas y métodos para probar aplicaciones web
Firmas y síntomas de ataques de inyección SQL
• Vectores de Ataque y Técnicas de Explotación
Inyección SQL basada en la unión
Inyección SQL basada en errores
Inyección SQL ciega (basada en Booleanos y Tiempo)
Explotación de diferentes sistemas de gestión de bases de datos (MySQL, PostgreSQL, SQL Server, Oracle)
• Impactos de la Inyección SQL
Exfiltración de datos y acceso no autorizado a datos
Manipulación y alteración de bases de datos
Potencial para el compromiso completo del sistema
• Estrategias de Mitigación y Prevención
Validación de entradas y consultas parametrizadas
Papel del ORM y los procedimientos almacenados
Uso de firewalls de aplicaciones web (WAFs)
Mejores prácticas de codificación segura para prevenir la inyección SQL
• Medidas Avanzadas de Protección
Parches de seguridad y endurecimiento de bases de datos
Implementación de controles de acceso de menor privilegio
Pruebas de seguridad continuas y auditoría
• Estudios de Caso y Ejemplos del Mundo Real
Análisis de incidentes notables de inyección SQL
Lecciones aprendidas de vulnerabilidades pasadas
• Ejercicios Prácticos de Laboratorio
Configuración de un entorno seguro para practicar la inyección SQL
Ejercicios prácticos sobre la identificación y explotación de vulnerabilidades
Aplicación de prácticas de codificación defensiva en escenarios de laboratorio
• Evaluación Final y Revisión
Revisión de conceptos y técnicas clave
Examen final para evaluar el entendimiento de la inyección SQL y los métodos de prevención
• Finalización del Curso y Próximos Pasos
Recursos para un mayor aprendizaje y certificación
Introducción a temas más amplios de seguridad en aplicaciones web

Enseñado por

Foyzul Islam

Asignaturas

Seguridad de la Información (InfoSec)