Podcast: Reproducir en una nueva ventana | Descargar
En el capítulo de hoy hablaremos sobre los ataques por inyección SQL a ciegas: aquellas donde la base de datos no devuelve la información solicitada en el ataque.
Fuente imagen:Muratkaya
Al contrario que en el capítulo anterior sobre inyecciones SQL, donde el atacante obtenía la información solicitada desde la propia base de datos, en este capítulo veremos cómo sacar información de una aplicación simplemente viendo la diferencia de comportamiento cuando el resultado de nuestra consulta es falso o verdadero.
Como en casi todos los capítulos, tras la explicación del ataque y sus características indicamos las posibles defensas tanto para bloquearlos como para minimizar sus efectos. En este caso cabe destacar cómo podemos evitar la automatización de los ataques por inyecciones SQL a ciegas de forma simple en todas nuestras aplicación web.