Evitar ataques SQL injection con GreenSQL

Hace pocos días surgieron una serie de eventos muy particulares en los cuales se puede apreciar claramente la falta de prevención y niveles de seguridad en ciertos sistemas de alto rendimiento y aplicaciones utilizadas en la web.

Para ser preciso estoy hablando de problemas muy comunes al momento de utilizar bases de datos en sistemas web/aplicación en donde se tiene una mala programación y falta de auditoria a las mismas, esto hace que puedan ser explotadas fácilmente por algún “sckipt kiddie”.

Esta claro que estoy hablando sobre un ataque de sql injection, para el cual no necesitamos de muchas herramientas sofisticadas para lograr nuestro cometido, basta con tener un web browser (Firefox, Chrome ), url del website y el conocimiento adecuado de cómo explotar el mismo.

Una inyección SQL sucede cuando se inserta o "inyecta" un código SQL "invasor" dentro de otro código SQL para alterar su funcionamiento normal y hacer que se ejecute maliciosamente el código "invasor" en la base de datos.

La inyección SQL es un problema de seguridad informática que debe ser tomado en cuenta por el programador para prevenirlo. Un programa hecho con descuido, displicencia, o con ignorancia sobre el problema, podrá ser vulnerable y la seguridad del sistema puede quedar ciertamente comprometida. Esto puede suceder tanto en programas ejecutándose en computadores de escritorio, como en páginas Web, ya que éstas pueden funcionar mediante programas ejecutándose en el servidor que las aloja.

Bueno, para evitar este tipo de ataques he encontrado una herramienta bastante sencilla de utilizar, se llama GreenSQL Proxy y es un FIREWALL de seguridad de código abierto con licencia GPL que nos permite frenar ataques sql inyection contra cualquiera de nuestras paginas alojadas en un servidor que utilice MySQL.

Lo que hace la herramienta es evaluar los comandos SQL recibidos, basándose en una lista que podemos definir como sentencias peligrosas para la integridad de nuestra aplicación Web y base de datos, como por ejemplo: DROP, CREATE, ALTER, INSERT, etc.

Además de sus prestaciones la herramienta es distribuida bajo licencia GPL.
GreenSQL cumple su función de Firewall bloqueando inyecciones de comandos utilizados para tareas administrativas de bases de datos. Además calcula el riesgo de cada consulta SQL bloqueando las consultas que comprometan la seguridad del aplicativo Web o base de datos, en el siguiente enlace podemos mirar como instalar la aplicacion en nuestros sistema debian.