Evaluación de metodologías de defensa para ataques de inyección SQL

Abstract

Con el crecimiento en la cantidad de aplicaciones web, se aumenta también la vulnerabilidad ante atacantes que desean apoderarse de los datos que son manejados por estas aplicaciones, o incluso causar daños a la infraestructura de la aplicación. De los ataques de inyección de código conocidos, la inyección de SQL es la más común y la que ha causado más daños en los últimos años. En este trabajo se presenta una evaluación y comparación entre dos técnicas creadas para prevenir los ataques de inyección de SQL, SQLRand y Detección basada en Árboles de Decisión, con el fin de apoyar la toma de decisiones en cuanto a su uso en aplicaciones web. Como resultados, se muestra el porcentaje de efectividad de cada metodología en la detección de ataques de inyección SQL, además del análisis del costo que representa la implementación y el conocimiento previo requerido.