Por Roberto Reyes Fernández ()

Este jueves, la página web del Partido Aprista Peruano . Muchos se preguntarán cómo fue posible vulnerar el sitio online.

La técnica utilizada fue , la vulnerabilidad número 1 en la lista sobre vulnerabilidades más críticas de las aplicaciones web ().

Si bien es cierto ya no se muestra el mensaje que dejó la filial peruana de Anonymus, aún es posible explotar esta vulnerabilidad.

Actualmente, existen muchas herramientas especializadas para explotar este hueco en la seguridad informática que, con el conocimiento adecuado, permite desde descargar contraseñas y la base de datos de la aplicación o sitio web vulnerado hasta modificar otras aplicaciones que se encuentren en el mismo servidor.

Una de las mejores y más conocidas herramientas es , la cual no solo se puede utilizar a través de líneas de comandos (instrucciones para ejecutar tareas) sino también en modo gráfico, para aquellas personas que no deseen aprender dichos comandos.

Con esta herramienta es posible subir un archivo al servidor, conocido como SHELL, el cual permitirá, a través de una página web, tener el control completo del servidor. Es decir, es un archivo con el que tienes todas las herramientas para administrar el sitio web vulnerado. Así es posible crear, editar y eliminar cualquier información del servidor.

La principal recomendación para este tipo de vulnerabilidades es que cada consulta que se realice a la base de datos sea filtrada, es decir que el programador verifique que la información que se consulta sea estrictamente con caracteres permitidos y no caracteres extraños o comandos SQL.

Existen herramientas y módulos para los servidores que evitan esto, como . Sin embargo, el problema de tener un módulo de seguridad es que algunas consultas correctas podrían ser confundidas como maliciosas. Es por esta razón que se aconseja tomar en cuenta tales recomendaciones desde el momento en que se inicia el desarrollo de su sitio web o aplicativo online.

TAGS RELACIONADOS