Capítulo 31. Defensa contra la inyección

En el Capítulo 13, hablamos del riesgo que suponen los ataques de tipo inyección contra las aplicaciones web. Estos ataques siguen siendo habituales (aunque lo eran más en el pasado), normalmente como resultado de una atención inadecuada por parte del desarrollador que escribe cualquier tipo de automatización que implique una CLI y datos enviados por el usuario.

Los ataques de inyección también cubren una amplia superficie. La inyección puede utilizarse contra CLI o cualquier otro intérprete aislado que se ejecute en el servidor (cuando llega al nivel del SO, se convierte en inyección de comandos). Como resultado, al considerar cómo nos defenderemos contra los ataques de tipo inyección, es más fácil dividir estas medidas defensivas en unas cuantas categorías.

En primer lugar, debemos evaluar las defensas contra los ataques de inyección SQL, la forma de inyección más común y conocida. Después de investigar qué podemos hacer para protegernos contra la inyección SQL, podemos ver cuáles de esas defensas serán aplicables a otras formas de ataques de inyección. Por último, podemos evaluar algunos métodos genéricos de defensa contra la inyección que no sean específicos de ningún subconjunto concreto de ataque basado en la inyección.