Empresa recomienda herramientas y mejores prácticas para prevenir los ataques. Estos ataques de SQL Inyeccion... triene como objetivo los sitios web que no siguen las prácticas de codificación seguras.
Afrontando la escalada de ataques, Microsoft ofrece a los administradores y desarrolladores asesoramiento sobre la prevención de inyección de SQL.
El método de ataque, en el que una cadena de caracteres se utiliza para comprometer una página a través de un campo de entrada, se ha convertido en una epidemia últimamente. Inyección de SQL se ha utilizado para comprometer a cientos de miles de páginas web e insertar redirecciones a otros sitios de alojamiento de malware.
Los ataques han suscitado especial preocupación debido a que la vulnerabilidad a la infección que existe en tantas páginas.
"Estos ataques de SQL Inyeccion no explotan una vulnerabilidad de software específico, sino que la bulnerabilidad se encuentra en los sitios web de destino que no siguen las prácticas de codificación seguras para acceder y manipular los datos almacenados en una base de datos relacional", dijo el asesor.
Para combatir los ataques, la compañía ha publicado una serie de mejoras prácticas en artículos que explican cómo asegurar los servidores SQL contra estos ataques. La compañía también está recomendando una serie de herramientas que los administradores pueden utilizar para comprobar si su código fuente y las bases de datos tienen posibles vulnerabilidades de inyección SQL.
Microsoft no es la única compañía que ha tenido que adoptar medidas para educar a los usuarios. La epresa Seguridad Sans planea ofrecer una nueva clase en la defensa contra los ataques en su próxima conferencia usuarios.
El investigador Jason Lam Sans dijo que la clase se centrará en técnicas como en las consultas parametrizados, que separan los comandos de base de datos de entrada del usuario.
"Para detener el ataque de inyección de SQL desde la raíz, hemos de entender que el ataque SQL Inyeccion sucede porque la base de datos no puede distinguir entre la parte estática y la sentencia SQL de la entrada del usuario", explica Lam.
"Si hay algun modo, podemos decir en la base de datos - esto es la entencia SQL estática y esta es la entrada del usuario, SQL Inyeccion puede ser detenido fácilmente."