Creación de repositorios seguros y prevención de SQL Injection

Clase 5 de 30 • Curso de Ciberseguridad para Desarrollo Web

Resumen

¿Cómo guardar datos de un webhook en una base de datos?

En el mundo del desarrollo de software, interactuar de manera segura y eficiente con bases de datos es fundamental. Hoy nos enfocamos en la integración de webhooks y cómo almacenar estos datos en un sistema sin comprometer la seguridad de nuestra aplicación. ¡Acompáñame para aprender más sobre el manejo de datos entrantes a través de webhooks y cómo prevenir inyecciones SQL!

¿Cómo estructurar los datos de un webhook?

Primero, es esencial definir una estructura que pueda manejar los datos del webhook de forma eficaz. En este caso, utilizamos Google Gemini para generar una estructura en Go que simplifica el mapeo del JSON recibido. Aquí te mostramos los pasos:

Crear un paquete models: Aquí definimos el archivo donde el JSON del webhook será descompuesto.
Utilizar Google Gemini: Con la ayuda de Gemini, generamos una estructura de Go a partir del JSON del payload del webhook para manejar solo la información esencial.

Durante este proceso, simplificamos la estructura al centrarnos únicamente en el head commit e información sobre el repositorio, dejando de lado detalles innecesarios.

¿Cómo prevenir inyecciones SQL?

Prevenir inyecciones SQL es vital para mantener la seguridad de la base de datos. A continuación, te explicamos cómo evitar este tipo de vulnerabilidades utilizando placeholders:

No concatenar strings directamente: Este es uno de los errores más comunes que conllevan a inyecciones SQL. Al concatenar strings, aumentas el riesgo de que comandos maliciosos se ejecuten.
Usar placeholders: Estas permiten especificar en las consultas que ciertos campos son strings, cerrando la puerta a potenciales inyecciones de código.

Con los placeholders, aun si alguien intenta inyectar SQL a través de un valor (como ; DELETE FROM users;), este será tratado como un string literal sin ejecutarse como SQL.

¿Cómo implementar un repositorio seguro en Go?

La correcta implementación de un repositorio es clave para insertar y recuperar información sin riesgos. A continuación se presentan los pasos básicos:

Definir una interfaz segura: Creamos una interfaz commits con métodos esenciales como insert y get commit by author email.
Implementar métodos de inserción seguros: Utilizamos placeholders para inserción de datos, asegurando que cualquier valor se introduzca de manera segura:
```
insert := `INSERT INTO commits (id, repository, message, author_email) VALUES (?, ?, ?, ?)`
```
Recuperar datos con filtros seguros: Igualmente, al recuperar datos, hacemos uso de filtros seguros por medio de placeholders, asegurando que nuestra aplicación maneje solo datos válidos y seguros.

¿Cómo ayudar a un engineering manager con registros de commits?

Con la correcta implementación de estas técnicas, puedes proporcionar a un engineering manager la capacidad de analizar y supervisar eficazmente el historial de commits de un desarrollador específico, permitiendo un seguimiento detallado sin sacrificar la seguridad del sistema.

Siempre recuerda, en el desarrollo, la seguridad debe ser una prioridad. ¡No dejes de aprender y mejorar tus habilidades para proteger tus aplicaciones y datos estratégicos!

Natanael Russo

student•

Tengo cero Go realmente, me parece muy raro lo del Context. No se utiliza inyeccion de dependencia en los lugares que se necesitan porque pasarias un context por parametro?

Platzi

student•

El Context se pasa por parámetro en la función insertGitHubWebhook para simular y testear métodos sin necesidad de una conexión real a la base de datos, siguiendo las prácticas de testeabilidad de la librería Testify y su módulo mock.

Javier Ramos

student•

Para prevenir un SQL Injection, es esencial utilizar consultas parametrizadas en lugar de concatenar cadenas directamente en las consultas SQL. Esto asegura que los datos ingresados por el usuario no se interpreten como código SQL. También, emplear ORM (Object-Relational Mapping) puede ayudar a abstraer las consultas y protegerse contra este tipo de ataques. Además, valida y escapa adecuadamente los datos de entrada. Implementar estos métodos te ayudará a diseñar aplicaciones más seguras.

VICTOR FORERO

student•

que es SQL injection??

Néstor Uriel Ramos Fernández

student•

Ocurre cuando un atacante manipula consultas SQL mediante la entrada de datos de usuario. Esto puede permitir al atacante acceder, modificar o eliminar información en una base de datos, u obtener acceso no autorizado a sistemas y datos confidenciales.

Jhon Sebastian Zuluaga Castañeda

student•

En la práctica, crear repositorios seguros y prevenir SQL Injection es fundamental, pero muchas veces el problema está en que el equipo no sigue las buenas prácticas por apuros o falta de conocimiento. Usar consultas directas sin parametrizar o construir queries concatenando strings es muy común y peligroso. Además, algunas herramientas ORM pueden simplificar el trabajo, pero también hay que saber configurarlas bien para que no se conviertan en una falsa sensación de seguridad. Por eso, es clave educar al equipo, revisar el código con cuidado y hacer pruebas de seguridad desde temprano para evitar vulnerabilidades que luego son muy costosas de corregir.

Julian Camilo Rey Agudelo

student•

Interesante el enfoque del uso un Llm como herramienta para realizar el código de la clase. Importante mayor explicación de lo que se generó.