¿Qué técnica utilizaron para hackear la web del Partido Aprista Peruano?
Por Roberto Reyes Fernández (@rctaptap)
Este jueves, la página web del Partido Aprista Peruano fue hackeada por Anonymus Perú. Muchos se preguntarán cómo fue posible vulnerar el sitio online.
La técnica utilizada fue una inyección SQL, la vulnerabilidad número 1 en la lista sobre vulnerabilidades más críticas de las aplicaciones web (OWASP TOP 10 del 2013).
Si bien es cierto ya no se muestra el mensaje que dejó la filial peruana de Anonymus, aún es posible explotar esta vulnerabilidad.
Actualmente, existen muchas herramientas especializadas para explotar este hueco en la seguridad informática que, con el conocimiento adecuado, permite desde descargar contraseñas y la base de datos de la aplicación o sitio web vulnerado hasta modificar otras aplicaciones que se encuentren en el mismo servidor.
Una de las mejores y más conocidas herramientas es SQLmap, la cual no solo se puede utilizar a través de líneas de comandos (instrucciones para ejecutar tareas) sino también en modo gráfico, para aquellas personas que no deseen aprender dichos comandos.
Con esta herramienta es posible subir un archivo al servidor, conocido como SHELL, el cual permitirá, a través de una página web, tener el control completo del servidor. Es decir, es un archivo con el que tienes todas las herramientas para administrar el sitio web vulnerado. Así es posible crear, editar y eliminar cualquier información del servidor.
La principal recomendación para este tipo de vulnerabilidades es que cada consulta que se realice a la base de datos sea filtrada, es decir que el programador verifique que la información que se consulta sea estrictamente con caracteres permitidos y no caracteres extraños o comandos SQL.
Existen herramientas y módulos para los servidores que evitan esto, como ModSecurity. Sin embargo, el problema de tener un módulo de seguridad es que algunas consultas correctas podrían ser confundidas como maliciosas. Es por esta razón que se aconseja tomar en cuenta tales recomendaciones desde el momento en que se inicia el desarrollo de su sitio web o aplicativo online.