| Noticias | 28 ABR 2008

Desvelan cómo hackear bases de datos de Oracle

De acuerdo con el experto en seguridad, David Litchfield, un ataque de inyección de SQL podría utilizarse para hacerse con privilegios de administrador de la base de datos en un servidor Oracle.
Encarna González

David Litchfield ha publicado los detalles técnicos de un nuevo tipo de ataque que puede proporcionar a un hacker acceso a la base de datos de Oracle. Denominado inyección lateral de SQL, este ataque podría utilizarse para ganar los privilegios de administrador de una base de datos en un servidor de Oracle para cambiar o borrar datos, e incluso instalar software.

Aunque este investigador ya había hablado de este tipo de ataques en la conferencia Black Hat Washington que tuvo lugar el pasado mes de febrero, no ha sido hasta ahora cuando ha publicado un artículo con los detalles técnicos. Según estos, en una inyección de SQL, los atacantes crean términos de búsqueda que trucan la base de datos con comandos SQL. Antes, expertos de seguridad pensaban que las inyecciones de SQL sólo podrían funcionar si el atacante imputaba caracteres introducidos en la base de datos, no obstante, Litchfield ha mostrado que el ataque puede funcionar utilizando nuevos tipos de datos, conocido como fechas y tipos de datos de números. Sin embargo, este experto apunta no saber con seguridad el alcance de estas vulnerabilidades, si bien sí puede causar un gran daño en algunos escenarios.

Tal y como apunta este investigador, “si utilizas Oracle y escribes tus propias aplicaciones, podrías estar escribiendo código vulnerable y eso es algo sobre lo que la gente debería preocuparse”.

Para protegerse contra estas vulnerabilidades, Litchfield aconseja que los programadores de bases de datos comprueben que todos los datos que procesan son legítimos y no han sido inyectados con comandos SQL.

Por su parte, desde Oracle han declinado hacer comentarios al respecto.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información