Documente Academic
Documente Profesional
Documente Cultură
Inyeccin de SQL
Manuel Lopez Arredondo
OWASP Guadalajara
manuel.lopez@owasp.org
1. INTRODUCCIN
En un estudio del SANS Institute se menciona que el 60% de
los ataques en Internet se hacen contra aplicaciones Web
(Scholt, Balzarotti, & Kirda, 2012); en consecuencia, cualquier
organizacin est expuesta al robo de datos e incluso a
problemas de integridad de los mismos, llevando a la
organizacin a enfrentar riesgos regulatorios, de reputacin y
legales. En el caso de Mxico, un ejemplo de un riesgo legal es
el no cumplimiento de la Ley Federal de Proteccin de Datos
en Posesin de Particulares (LFPDPPP), que describe como
motivo de incumpliendo con la regulacin, el hecho de
Vulnerar la seguridad de bases de datos, locales, programas o
equipos, cuando resulte imputable al responsable; las
sanciones van desde 100 hasta 320,000 das de salario mnimo
(Diario Oficial de la Federacin, 2010).
2. ANTECEDENTES
Actualmente, el costo total de un ataque ciberntico va
desde $3,252,912 USD hasta $8,933,510 USD
(Ponemon Institute, 2012). La siguiente figura muestra
el costo anual promedio por ataque donde podemos ver
que los Web-based attacks se encuentran en la tercer
categora de ataque con mayores costos para las
compaas.
Figura 1 Costo anual promedio de un ciber ataque
(Ponemon Institute, 2012)
Verification Requirement
V5.1
V5.2
3. METODOLOGA
El tipo de investigacin ser Descriptiva (Hernndez
Sampieri, Fernndez Collado, & Baptista Lucio, 1991);
ya que trataremos primero de describir e identificar
cmo se realizan los ataques de inyeccin de SQL;
posteriormente describir los controles OWASP que se
pretenden implementar. Por ltimo, y con base a las
variables de investigacin, medir la efectividad de los
controles OWASP para mitigar los ataques de inyeccin
de SQL.
Por otro lado, el diseo del experimento ser cuasi
experimental (Hernndez Sampieri, Fernndez Collado,
& Baptista Lucio, 1991); lo anterior debido a que no nos
ser posible tener una aplicacin web con la misma
arquitectura que otra, y tal vez las tecnologas utilizadas
para el desarrollo de las aplicaciones, as como la
infraestructura en la que se encuentran, ser diferente.
Del mismo modo, ninguna organizacin es igual a otra,
aun estando dentro de una misma industria.
El diseo del experimento ser de preprueba-postprueba
y grupos intactos (Hernndez Sampieri, Fernndez
Collado, & Baptista Lucio, 1991). ste diseo es el que
ms se apega a la validacin de las hiptesis planteadas;
ya que nos permitir hacer las pruebas de penetracin a
las aplicaciones objetivo, y a evaluar el nivel de madurez
V5.3
V5.4
V5.5
V5.6
V5.7
V5.8
V5.9
Level 4
Level 3
Objetivos Especficos
Level 2B
2.2.2.
Level 2A
Level 1B
Level 1A
4. RESULTADOS
5. DISCUSIN
6. CONCLUSIN
7. RECONOCIMIENTOS
8. REFERENCIAS
Chandra, P., & Deleersnyder, S. (2012). OWASP
Software Assurance Maturity Model. Creative
Commons (CC) Attribution-Share Alike.
Clarke, J. (2012). SQL Injection Attacks and Defense,
2nd Edition. Syngress.
Diario Oficial de la Federacin. (2010). DECRETO por
el que se expide la Ley Federal de Proteccin
de Datos Personales en Posesin de los
Particulares. Diario Oficial de la Federacin,
11-12.
Harris, S. (2008). All in One CISSP Exam Guide.
McGraw-Hill.
Hernndez Sampieri, R., Fernndez Collado, C., &
Baptista Lucio, P. (1991). Metodologa de la
investigacin. Naucalpan de Jurez, Edo. de
Mxico:
McGRAW
HILL