LIVE
CVE-2024-3400 · PAN-OS Critical  ·  Nuevo ransomware en LATAM  ·  Parche crítico OpenSSH  ·  Zero-day Chrome parcheado  ·  CISA alerta Ivanti  ·  CVE-2024-3400 · PAN-OS Critical  ·  Nuevo ransomware en LATAM  ·  Parche crítico OpenSSH  ·  Zero-day Chrome parcheado  ·  CISA alerta Ivanti  · 
Web Security

Inyección SQL avanzada: más allá del UNION SELECT clásico

Un análisis profundo de técnicas modernas de SQLi que evaden WAFs modernos, con ejemplos prácticos y laboratorios.

Natalina Sec
· Abr 12, 2026 · 15 min de lectura · 6 vistas

Introducción

La inyección SQL sigue siendo una de las vulnerabilidades más prevalentes en aplicaciones web modernas. A pesar de llevar décadas siendo conocida, los atacantes continúan encontrando formas innovadoras de explotarla, especialmente cuando los defensores confían ciegamente en sus WAFs.

Técnicas de bypass modernas

Los WAFs modernos bloquean los payloads más conocidos, pero existen múltiples técnicas para evadirlos:

  • Codificación hexadecimal: Convertir strings a representación hex
  • Comentarios inline: Fragmentar palabras clave con comentarios SQL
  • Case variation: sElEcT en lugar de SELECT

Ejemplo práctico

-- Payload básico (bloqueado)' UNION SELECT 1,2,3--

-- Bypass con comentarios' /*!UNION*/ /*!SELECT*/ 1,2,3--

En los siguientes laboratorios exploraremos cada vector en detalle con entornos controlados.

Categoría: Web Security
Compartir: Twitter LinkedIn
Sobre la autora
Natalina Sec
Investigadora en ciberseguridad

Especializada en pentesting, análisis de malware y CTFs. Compartiendo conocimiento técnico en español.

Categorías
Blue Team 0 Criptografía 0 CTF Writeups 1 Entrevistas 1 Malware 0 OSINT 0 Pentesting 0 Red Team 1 Web Security 1

Recibe los últimos análisis
en tu inbox

Sin spam. Solo artículos técnicos, alertas de seguridad y writeups nuevos.

Privacidad garantizada · Sin spam · Cancela cuando quieras