Imagen abstracta de una mujer sentada en libros y estudiando en una computadora portátil

1 sq linjection

Descargar como PPTX, PDF
Tensor, profile picture
Tensor

Este documento describe la inyección SQL y cómo funciona. Explica que la inyección SQL permite insertar código malicioso en una aplicación que realiza consultas a una base de datos, lo que permite alterar o atacar la aplicación. Luego, detalla cómo se llevó a cabo un análisis de vulnerabilidades de inyección SQL en dos sitios web y cómo se pudo acceder a sus bases de datos e información confidencial al explotar estas vulnerabilidades. Finalmente, ofrece recomendaciones para prevenir inyecciones SQL, como deshabilit

Educación
1 de 15
Descargado 18 veces
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Inyección SQL Análisis de Seguridad en TI Integrantes: • Víctor Hugo González • Sergio Cerón • Juan Carlos Carrillo
Inyección SQL Objetivo Identificar por medio de inyección SQL vulnerabilidades en una página web y posteriormente acceder a la base de datos de dicha página. ¿Qué son? ¿Cómo funcionan? ¿Como se evitan?
Definición - SQL Injection • Son técnicas o métodos de infiltración de código malicioso que se basa de una vulnerabilidad informática que se encuentra presente en una aplicación para realizar consultas de datos a una base de datos. • Es la técnica utilizada por personas maliciosas con el fin de alterar o atacar una aplicación a través de comandos SQL. • Se puede atacar cualquier tipo de aplicación que use una base datos, o una aplicación web, es decir puede estar en todo tipo de lenguajes de programación como por ejemplo PHP, JAVA, PERL, C#, ASP, etc.
Blind SQL injection El BLIND SQL Injection se considera un ataque a ciegas, es decir, sin conocer nada sobre el server (Versión de SQL, nombre de las tablas, numero de tablas, etc, que deberemos saber para concluir el ataque y para saber defendernos.)
¿Cómo funciona? Ocurren errores en SQL por la ignorancia del lenguaje, pero este código puede ser reparado por programadores o administradores de BD. • Se inserta lenguaje para alterar el contenido y su funcionamiento normal para ejecutarlo en la base de datos. • El lenguaje que se incerta son sentencias de base de datos, de manera que nos muestre información que nos ayude a obtener lo que buscamos.
Ejemplos En este primer ejercicio se utilizará inyección SQL a las siguientes páginas Web : http://www.biomedicos.com.mx y http://www.casaveerkamp.com CASAVEERKAMP BIOMEDICOS
Procedimiento 1. Por medio del programa WEBCRUISER se escanearon y detectaron las vulnerabilidades de las 2 páginas web, presentando los siguientes resultados: Biomedicos.com.mx Casaveerkamp.com
Procedimiento 2. Después de identificar la vulnerabilidad se deberá de seleccionar y copiar a la herramienta HAVIJ. Esta herramienta nos permite identificar y vulnerar la base de datos, dando como resultado la obtención del nombre de la base de datos “biomedicos” así como sus respectivas tablas, campos y registros.
Procedimiento 3. Ahora que ya tenemos identificado el nombre de la base de datos, se pueden ya identificar las tablas, campos y registros. En el ejemplo presentado con la página de biomedicos, se identificaron tablas donde podremos obtener datos personales de pacientes, listas de precios de servicios y claves de accesos de usuarios. Datos Personales de pacientes
Listas de Precios Servicios Claves de acceso
Procedimiento 4. A través de la herramienta HAVIJ se encontró la página principal de administración del portal, por lo que se podrá tener acceso al portal de administración teniendo los permisos correctos (obtenidos anteriormente).
Reporte de inyección o vunerabilidad Se encontró en la página de biomedicos, un error de programación en el archivo sucursales.php
Recomendaciones ¿Cómo evitar una vulnerabilidad? Para prevenir inyecciones de vulnerabilidad se debe de reforzar las mejores prácticas de codificación e implementación de procedimientos en las bases de datos, se recomienda seguir las mejores practicas por ejemplo:      Deshabilitar mensajes de error que den información al atacante Proteger la contraseña del administrador de la base de datos (sa) Asegurarse que el código fuente sea auditable Restringir longitud en las claves Evitar contraseñas sencillas
Más información en Internet http://www.owasp.org
¡Gracias!

Más contenido relacionado

DOC
T1 jorgemarquez
maneclick
 
PPTX
Malware, Programas Antivirus y Vacunas informáticas
Natalie Barreto
 
PDF
Chef de Projet Java
SQLI DIGITAL EXPERIENCE
 
PDF
SQLI //MOBILITY SPECIAL EDITION
SQLI DIGITAL EXPERIENCE
 
PDF
Compte rendu Blend Web Mix 2015
SQLI DIGITAL EXPERIENCE
 
PDF
Meet-Up SQLI Lyon 09-2015 - Varnish
SQLI DIGITAL EXPERIENCE
 
PPTX
Inyeccionessqlparaaprendices complemento clase 1
Tensor
 
PPTX
Inyecciones SQL para Aprendices
Tensor
 
T1 jorgemarquez
maneclick
 
Malware, Programas Antivirus y Vacunas informáticas
Natalie Barreto
 
Chef de Projet Java
SQLI DIGITAL EXPERIENCE
 
SQLI //MOBILITY SPECIAL EDITION
SQLI DIGITAL EXPERIENCE
 
Compte rendu Blend Web Mix 2015
SQLI DIGITAL EXPERIENCE
 
Meet-Up SQLI Lyon 09-2015 - Varnish
SQLI DIGITAL EXPERIENCE
 
Inyeccionessqlparaaprendices complemento clase 1
Tensor
 
Inyecciones SQL para Aprendices
Tensor
 

Similar a 1 sq linjection (20)

PPTX
Inyecciones sql para aprendices
Tensor
 
PPTX
Ataque sql web
kateqr
 
DOCX
Articulo ieee ataque_i
alexander valencia valderrama
 
PPTX
ATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFING
alexander valencia valderrama
 
PDF
Ataques de inyección SQL: qué son y cómo protegerse
Supra Networks
 
PDF
Introducción a las vulnerabilidades web
Pablo Garaizar
 
PPT
Ponencia sql avanzado y automatizado
n3xasec
 
PDF
Ataques a-bases-de-datos
Juvenal Hernandez
 
PDF
Ataques a-bases-de-datos
alan moreno
 
PPTX
Seguridad en bases de datos
Angel Gom
 
PPTX
Ataques a bases de datos
Fernando Hernandez
 
ODP
Seguridad en aplicaciones web
Jose Mato
 
PPTX
SQL-INJECTION ciberseguridad y buenas practicas y otras areas de ti para su d...
Rick Ccj
 
PDF
Webinar Gratuito: "Inyección SQL"
Alonso Eduardo Caballero Quezada
 
PDF
Presentación Workshop php Barcelona Seguridad
guestbfa74a
 
DOCX
Amenaza a las bases de datos
Leonel Ibarra
 
PDF
Investigacion formativa 4 (trabajo grupal)proyecto base de datos
Cesar Pedro Quiñones Roque
 
ODP
Seguridad Base de Datos sql injection v1.0
José Moreno
 
PDF
Vulnerabilidades en aplicaciones web
RealTIC
 
PPTX
Inyecciones SQL
Andy Gomez Soria
 
Inyecciones sql para aprendices
Tensor
 
Ataque sql web
kateqr
 
Articulo ieee ataque_i
alexander valencia valderrama
 
ATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFING
alexander valencia valderrama
 
Ataques de inyección SQL: qué son y cómo protegerse
Supra Networks
 
Introducción a las vulnerabilidades web
Pablo Garaizar
 
Ponencia sql avanzado y automatizado
n3xasec
 
Ataques a-bases-de-datos
Juvenal Hernandez
 
Ataques a-bases-de-datos
alan moreno
 
Seguridad en bases de datos
Angel Gom
 
Ataques a bases de datos
Fernando Hernandez
 
Seguridad en aplicaciones web
Jose Mato
 
SQL-INJECTION ciberseguridad y buenas practicas y otras areas de ti para su d...
Rick Ccj
 
Webinar Gratuito: "Inyección SQL"
Alonso Eduardo Caballero Quezada
 
Presentación Workshop php Barcelona Seguridad
guestbfa74a
 
Amenaza a las bases de datos
Leonel Ibarra
 
Investigacion formativa 4 (trabajo grupal)proyecto base de datos
Cesar Pedro Quiñones Roque
 
Seguridad Base de Datos sql injection v1.0
José Moreno
 
Vulnerabilidades en aplicaciones web
RealTIC
 
Inyecciones SQL
Andy Gomez Soria
 
Publicidad

Más de Tensor (20)

PDF
Libertad
Tensor
 
PPTX
Método de la regla falsa (o metodo de la falsa posición)
Tensor
 
PPTX
Metodo de la bisección
Tensor
 
PPTX
Transito vehicular
Tensor
 
PPTX
Teoria de colas
Tensor
 
PDF
Practica 7 2016
Tensor
 
PDF
Practica 6 2016
Tensor
 
PPTX
Game maker
Tensor
 
PDF
Practica 5 2016
Tensor
 
PPTX
Procesamiento de archivos
Tensor
 
PPTX
Cadenas y funciones de cadena
Tensor
 
PPTX
Simulación en promodel clase 04
Tensor
 
PDF
Reduccion de orden
Tensor
 
PDF
Variación+de+parametros
Tensor
 
PDF
Coeficientes indeterminados enfoque de superposición
Tensor
 
PDF
Bernoulli y ricatti
Tensor
 
PDF
Practica no. 3 tiempo de servicio
Tensor
 
PPTX
Clase 14 ondas reflejadas
Tensor
 
PDF
Ondas em
Tensor
 
PPTX
Clase 7 ondas electromagneticas
Tensor
 
Libertad
Tensor
 
Método de la regla falsa (o metodo de la falsa posición)
Tensor
 
Metodo de la bisección
Tensor
 
Transito vehicular
Tensor
 
Teoria de colas
Tensor
 
Practica 7 2016
Tensor
 
Practica 6 2016
Tensor
 
Game maker
Tensor
 
Practica 5 2016
Tensor
 
Procesamiento de archivos
Tensor
 
Cadenas y funciones de cadena
Tensor
 
Simulación en promodel clase 04
Tensor
 
Reduccion de orden
Tensor
 
Variación+de+parametros
Tensor
 
Coeficientes indeterminados enfoque de superposición
Tensor
 
Bernoulli y ricatti
Tensor
 
Practica no. 3 tiempo de servicio
Tensor
 
Clase 14 ondas reflejadas
Tensor
 
Ondas em
Tensor
 
Clase 7 ondas electromagneticas
Tensor
 
Publicidad

Último (20)

PDF
TALLER DE ESTADISTICA BASICA para principiantes y no tan basicos
JoseTre
 
PDF
Manual del Gobierno Escolar -MINEDUC.pdf
JoselinPortillo2
 
DOCX
TEXTO DE TRABAJO DE EDUCACION RELIGIOSA - CUARTO GRADO.docx
huayllanipalominoroc
 
PDF
MODULO I ENFERMERIA BASICA.pdf HIstoria en enfermeria
DIAZVERABRAJHANSTALY
 
PDF
Jodorowsky, Alejandro - Manual de Psicomagia.pdf
ssuser48cd15
 
PPTX
RESUMENES JULIO - QUIRÓFANO HOSPITAL GENERAL PUYO.pptx
CristianCastillo435899
 
PDF
ACERTIJO EL CONJURO DEL CAZAFANTASMAS MATEMÁTICO. Por JAVIER SOLIS NOYOLA
JAVIER SOLIS NOYOLA
 
DOCX
PLANES DE área ciencias naturales y aplicadas
AndrsForeroMaestre
 
PDF
E1 Guía_Matemática_5°_grado.pdf paraguay
RodrigoCaceres59
 
PDF
La Formacion Universitaria en Nuevos Escenarios Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
Aqui No Hay Reglas Hastings-Meyer Ccesa007.pdf
Demetrio Ccesa Rayme
 
PPTX
MATEMATICAS GEOMETRICA USO TRANSPORTADOR
Carlos Campaña Montenegro
 
PDF
Modelo Educativo SUB 2023versión final.pdf
YessicaMenachoyugar
 
PPTX
4. Qué es un computador PARA GRADO CUARTO.pptx
nelsontobontrujillo
 
PDF
Esc. Sab. Lección 7. El pan y el agua de vida.pdf
Alejandrino Halire Ccahuana
 
PDF
ciencia_tecnologia_sociedad Mitcham Carl. (1994)..pdf
Paola Masa
 
PDF
La lluvia sabe por qué: una historia sobre amistad, resiliencia y esperanza e...
JhonabrahamBravocard
 
PDF
MATERIAL DIDÁCTICO 2023 SELECCIÓN 1_REFORZAMIENTO 1° BIMESTRE.pdf
YessicaMuozMuoz1
 
DOCX
PLAN DE CASTELLANO 2021 actualizado a la normativa
coordinacionietam
 
DOC
Manual de Convivencia 2025 actualizado a las normas vigentes
coordinacionietam
 
TALLER DE ESTADISTICA BASICA para principiantes y no tan basicos
JoseTre
 
Manual del Gobierno Escolar -MINEDUC.pdf
JoselinPortillo2
 
TEXTO DE TRABAJO DE EDUCACION RELIGIOSA - CUARTO GRADO.docx
huayllanipalominoroc
 
MODULO I ENFERMERIA BASICA.pdf HIstoria en enfermeria
DIAZVERABRAJHANSTALY
 
Jodorowsky, Alejandro - Manual de Psicomagia.pdf
ssuser48cd15
 
RESUMENES JULIO - QUIRÓFANO HOSPITAL GENERAL PUYO.pptx
CristianCastillo435899
 
ACERTIJO EL CONJURO DEL CAZAFANTASMAS MATEMÁTICO. Por JAVIER SOLIS NOYOLA
JAVIER SOLIS NOYOLA
 
PLANES DE área ciencias naturales y aplicadas
AndrsForeroMaestre
 
E1 Guía_Matemática_5°_grado.pdf paraguay
RodrigoCaceres59
 
La Formacion Universitaria en Nuevos Escenarios Ccesa007.pdf
Demetrio Ccesa Rayme
 
Aqui No Hay Reglas Hastings-Meyer Ccesa007.pdf
Demetrio Ccesa Rayme
 
MATEMATICAS GEOMETRICA USO TRANSPORTADOR
Carlos Campaña Montenegro
 
Modelo Educativo SUB 2023versión final.pdf
YessicaMenachoyugar
 
4. Qué es un computador PARA GRADO CUARTO.pptx
nelsontobontrujillo
 
Esc. Sab. Lección 7. El pan y el agua de vida.pdf
Alejandrino Halire Ccahuana
 
ciencia_tecnologia_sociedad Mitcham Carl. (1994)..pdf
Paola Masa
 
La lluvia sabe por qué: una historia sobre amistad, resiliencia y esperanza e...
JhonabrahamBravocard
 
MATERIAL DIDÁCTICO 2023 SELECCIÓN 1_REFORZAMIENTO 1° BIMESTRE.pdf
YessicaMuozMuoz1
 
PLAN DE CASTELLANO 2021 actualizado a la normativa
coordinacionietam
 
Manual de Convivencia 2025 actualizado a las normas vigentes
coordinacionietam
 

1 sq linjection

  • 1. Inyección SQL Análisis de Seguridad en TI Integrantes: • Víctor Hugo González • Sergio Cerón • Juan Carlos Carrillo
  • 2. Inyección SQL Objetivo Identificar por medio de inyección SQL vulnerabilidades en una página web y posteriormente acceder a la base de datos de dicha página. ¿Qué son? ¿Cómo funcionan? ¿Como se evitan?
  • 3. Definición - SQL Injection • Son técnicas o métodos de infiltración de código malicioso que se basa de una vulnerabilidad informática que se encuentra presente en una aplicación para realizar consultas de datos a una base de datos. • Es la técnica utilizada por personas maliciosas con el fin de alterar o atacar una aplicación a través de comandos SQL. • Se puede atacar cualquier tipo de aplicación que use una base datos, o una aplicación web, es decir puede estar en todo tipo de lenguajes de programación como por ejemplo PHP, JAVA, PERL, C#, ASP, etc.
  • 4. Blind SQL injection El BLIND SQL Injection se considera un ataque a ciegas, es decir, sin conocer nada sobre el server (Versión de SQL, nombre de las tablas, numero de tablas, etc, que deberemos saber para concluir el ataque y para saber defendernos.)
  • 5. ¿Cómo funciona? Ocurren errores en SQL por la ignorancia del lenguaje, pero este código puede ser reparado por programadores o administradores de BD. • Se inserta lenguaje para alterar el contenido y su funcionamiento normal para ejecutarlo en la base de datos. • El lenguaje que se incerta son sentencias de base de datos, de manera que nos muestre información que nos ayude a obtener lo que buscamos.
  • 6. Ejemplos En este primer ejercicio se utilizará inyección SQL a las siguientes páginas Web : http://www.biomedicos.com.mx y http://www.casaveerkamp.com CASAVEERKAMP BIOMEDICOS
  • 7. Procedimiento 1. Por medio del programa WEBCRUISER se escanearon y detectaron las vulnerabilidades de las 2 páginas web, presentando los siguientes resultados: Biomedicos.com.mx Casaveerkamp.com
  • 8. Procedimiento 2. Después de identificar la vulnerabilidad se deberá de seleccionar y copiar a la herramienta HAVIJ. Esta herramienta nos permite identificar y vulnerar la base de datos, dando como resultado la obtención del nombre de la base de datos “biomedicos” así como sus respectivas tablas, campos y registros.
  • 9. Procedimiento 3. Ahora que ya tenemos identificado el nombre de la base de datos, se pueden ya identificar las tablas, campos y registros. En el ejemplo presentado con la página de biomedicos, se identificaron tablas donde podremos obtener datos personales de pacientes, listas de precios de servicios y claves de accesos de usuarios. Datos Personales de pacientes
  • 10. Listas de Precios Servicios Claves de acceso
  • 11. Procedimiento 4. A través de la herramienta HAVIJ se encontró la página principal de administración del portal, por lo que se podrá tener acceso al portal de administración teniendo los permisos correctos (obtenidos anteriormente).
  • 12. Reporte de inyección o vunerabilidad Se encontró en la página de biomedicos, un error de programación en el archivo sucursales.php
  • 13. Recomendaciones ¿Cómo evitar una vulnerabilidad? Para prevenir inyecciones de vulnerabilidad se debe de reforzar las mejores prácticas de codificación e implementación de procedimientos en las bases de datos, se recomienda seguir las mejores practicas por ejemplo:      Deshabilitar mensajes de error que den información al atacante Proteger la contraseña del administrador de la base de datos (sa) Asegurarse que el código fuente sea auditable Restringir longitud en las claves Evitar contraseñas sencillas
  • 14. Más información en Internet http://www.owasp.org