Ver:
·
http://en.wikipedia.org/wiki/SQL_Injection
Tipo de
ataque a sitios web basados en bases de datos. Una persona malintencionada
ejecuta comandos SQL no autorizados aprovechando códigos inseguros de un
sistema conectado a Internet. Los ataques de inyección SQL se utilizan para
robar información normalmente no disponible de una base de datos o para acceder
a las computadoras host de una organización mediante la computadora que
funciona como servidor de la base de datos.
http://es.pcisecuritystandards.org
Inyección SQL
es un método de infiltración de código intruso que se sirve de una
vulnerabilidad presente en una aplicación en el nivel de validación de entradas
para la realización de consultas a una base de datos.
El origen de
la vulnerabilidad radica en la incorrecta validación de las variables
utilizadas en un programa que contiene o genera, código SQL.
http://www.inteco.es/glossary/Formacion/Glosario/
Inyección SQL
es una vulnerabilidad informática en el nivel de la validación de las entradas
a la base de datos de una aplicación. El origen es el filtrado incorrecto de
las variables utilizadas en las partes del programa con código SQL. Es, de
hecho, un error de una clase más general de vulnerabilidades que puede ocurrir
en cualquier lenguaje de programación o de script que esté incrustado dentro de
otro.
Una inyección
SQL sucede cuando se inserta o "inyecta" un código SQL
"invasor" dentro de otro código SQL para alterar su funcionamiento
normal, y hacer que se ejecute maliciosamente el código "invasor" en
la base de datos.
http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL
Form of attack on
database-driven web site. A malicious individual executes unauthorized SQL
commands by taking advantage of insecure code on a system connected to the
Internet. SQL injection attacks are used to steal information from a database
from which the data would normally not be available and/or to gain access to an
organization’s host computers through the computer that is hosting the
database.
https://www.pcisecuritystandards.org/security_standards/glossary.php
SQL injection is a type of
input validation attack specific to database-driven applications where SQL code
is inserted into application queries to manipulate the database.
http://www.sans.org/security-resources/glossary-of-terms/
An attack technique used to
exploit web sites by altering backend SQL statements through manipulating
application input.
http://www.webappsec.org/projects/glossary/
SQL injection is a type of
security exploit in which the attacker adds Structured Query Language (SQL)
code to a Web form input box to gain access to resources or make changes to
data. An SQL query is a request for some action to be performed on a database.
Typically, on a Web form for user authentication, when a user enters their name
and password into the text boxes provided for them, those values are inserted
into a SELECT query. If the values entered are found as expected, the user is
allowed access; if they aren't found, access is denied. However, most Web forms
have no mechanisms in place to block input other than names and passwords.
Unless such precautions are taken, an attacker can use the input boxes to send
their own request to the database, which could allow them to download the
entire database or interact with it in other illicit ways.
http://searchsoftwarequality.techtarget.com/glossary/
This attack exploits target
software that constructs SQL statements based on user input. An attacker crafts input strings so that when
the target software constructs SQL statements based on the input, the resulting
SQL statement performs actions other than those the application intended.
SQL Injection results from
failure of the application to appropriately validate input. When specially
crafted user-controlled input consisting of SQL syntax is used without proper
validation as part of SQL queries, it is possible to glean information from the
database in ways not envisaged during application design. Depending upon the
database and the design of the application, it may also be possible to leverage
injection to have the database execute system-related commands of the
attacker's choice. SQL Injection enables an attacker to talk directly to the
database, thus bypassing the application completely. Sucessful injection can
cause information disclosure as well as ability to add or modify data in the
database. In order to successfully inject SQL and retrieve information from a
database, an attacker:
Attack Pattern 66
http://capec.mitre.org/data/index.html
Type d’attaque sur un
site Web depuis une base de données. Un pirate exécute des commandes SQL non
autorisées en profitant d’un code non sécurisé sur un système connecté à
Internet. Les attaques par injection de commandes SQL sont utilisées pour
dérober des renseignements provenant d’une base de données dont les données ne
seraient normalement pas disponibles, et/ou pour accéder aux ordinateurs hôtes
par l’intermédiaire de l’ordinateur hébergeant la base de données.
http://fr.pcisecuritystandards.org/