Capítulo 25. Defensa contra la inyección
Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com
Anteriormente hablamos del riesgo que suponen los ataques de tipo inyección contra las aplicaciones web. Estos ataques siguen siendo habituales (aunque más comunes en el pasado), normalmente como resultado de una atención inadecuada por parte del desarrollador que escribe cualquier tipo de automatización que implique una CLI y datos enviados por el usuario.
Los ataques de inyección también cubren una amplia superficie. La inyección puede utilizarse contra CLI o cualquier otro intérprete aislado que se ejecute en el servidor (cuando llega al nivel del SO, se convierte en inyección de comandos). Como resultado, al considerar cómo nos defenderemos contra los ataques de tipo inyección, es más fácil dividir estas medidas defensivas en unas cuantas categorías.
En primer lugar, debemos evaluar las defensas contra los ataques de inyección SQL, la forma de inyección más común y conocida. Después de investigar qué podemos hacer para protegernos contra la inyección SQL, podemos ver cuáles de esas defensas serán aplicables a otras formas de ataques de inyección. Por último, podemos evaluar algunos métodos genéricos de defensa contra la inyección que no sean específicos de ningún subconjunto concreto de ataque basado en la inyección.
Mitigar la inyección SQL
La inyección SQL es la forma más común de ataque por inyección, y también una ...
Get Seguridad de las aplicaciones web now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.