UNIVERSIDAD TECNOLÓGICA DE LA REGIÓN NORTE DE GUERRERO   INGENIERÍA EN TECNOLOGÍAS DE  LA INFORMACIÓN INYECCIÓN SQL  Prof...
Inyección SQL<br />
Concepto<br />La inyección SQL es el ataque vía web, que aprovecha errores en la filtración de datos introducidos por el u...
Funcionamiento<br />Una inyección SQL sucede cuando se inserta o “inyecta” un código SQL “invasor” dentro de otro código S...
 Ejemplo<br />Asumiendo que el siguiente código está en una aplicación web y que existe un parámetro “nombreUsuario” que c...
Herramientas o consejos<br />Limitar al máximo los permisos del usuario que ejecuta estas sentencias para evitar posibles ...
Prevención<br />La forma más común de detectar ataques de inyección SQL es mediante la búsqueda de firmas SQL en la secuen...
Conclusión<br />Inyección SQL es el código malicioso, que está en medio del código bueno, por lo que Al ejecutarse esa con...
Bibliografía<br />http://m3n3chm0.wordpress.com/2007/03/03/hacker-ensenando-sql-injection/<br />http://www.chw.net/foro/gu...
GRACIAS<br />
Próxima SlideShare
Cargando en…5
×

Inyección sql1

1.127 visualizaciones

Publicado el

0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
1.127
En SlideShare
0
De insertados
0
Número de insertados
7
Acciones
Compartido
0
Descargas
27
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Inyección sql1

  1. 1.  UNIVERSIDAD TECNOLÓGICA DE LA REGIÓN NORTE DE GUERRERO   INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN INYECCIÓN SQL  Profesor: Ing. José Fernando Castro Domínguez ALUMNOS: Estrada Aranda Arely Montes Estrada María Natividad Román Rangel Eduardo Iguala, gro., Septiembre 2010<br />
  2. 2. Inyección SQL<br />
  3. 3. Concepto<br />La inyección SQL es el ataque vía web, que aprovecha errores en la filtración de datos introducidos por el usuario, y que permiten a un atacante, tener control de cierta aplicación.<br /> Este tipo de errores puede permitir a usuarios malintencionados acceder a datos a los que de otro modo no tendrían acceso y, en el peor de los casos, modificar el comportamiento de nuestras aplicaciones.<br />
  4. 4. Funcionamiento<br />Una inyección SQL sucede cuando se inserta o “inyecta” un código SQL “invasor” dentro de otro código SQL para alterar su funcionamiento normal, y hacer que se ejecute maliciosamente el código “invasor” en la base de datos.<br />
  5. 5. Ejemplo<br />Asumiendo que el siguiente código está en una aplicación web y que existe un parámetro “nombreUsuario” que contiene el nombre de usuario que nosotros le demos, la inyección SQL es posible: <br />Consulta:=“SELECT*FROM usuarios WHERE nombre=“+ nombreUsuario +”;” Si el usuario escribe su nombre, digamos “Alicia”, nada anormal sucedería, la aplicación generaría una sentencia SQL similar a la siguiente, que es SELECT * FROM usuarios WHERE nombre = ‘Alicia’; Pero si un usuario malintencionado escribe como nombre de ‘Alicia’; DROP TABLE usuarios; SELECT * FROM datos WHERE ‘=‘ = ‘-’, se generaría la siguiente consulta SQL:<br />SELECT * FROM usuarios WHERE nombre = ‘Alicia’; DROP TABLE usuarios;<br />SELECT * FROM datos WHERE ‘-’ = ‘-’;<br />
  6. 6. Herramientas o consejos<br />Limitar al máximo los permisos del usuario que ejecuta estas sentencias para evitar posibles problemas. Por ejemplo utilizando un usuario distinto para las sentencias SELECT, DELETE, UPDATE y asegurándonos que cada ejecución de una sentencia ejecute una sentencia del tipo permitido.<br />
  7. 7. Prevención<br />La forma más común de detectar ataques de inyección SQL es mediante la búsqueda de firmas SQL en la secuencia HTTP entrante. Por ejemplo, en busca de comandos SQL, tales como UNION, SELECT o xp_. El problema con este enfoque es la alta tasa de falsos positivos. <br />La capacidad de discernir valores de los parámetros de la petición HTTP y toda la capacidad de manejar varios escenarios de codificación son una necesidad en este caso.<br />
  8. 8. Conclusión<br />Inyección SQL es el código malicioso, que está en medio del código bueno, por lo que Al ejecutarse esa consulta en la base de datos, el código SQL inyectado también se ejecutará y podría hacer un sinnúmero de cosas, como<br />insertar registros, modificar o eliminar datos, autorizar accesos e, incluso, ejecutar código malicioso en el computador.<br />
  9. 9. Bibliografía<br />http://m3n3chm0.wordpress.com/2007/03/03/hacker-ensenando-sql-injection/<br />http://www.chw.net/foro/guias-f79/290903-guia-sqli-inyeccion-sql.html<br />http://foro.elhacker.net/printpage.html;topic=98448.0<br />http://www.forosdelweb.com/f18/codigo-anti-sql-injection-347131/<br />http://unixwiz.net/techtips/sql-injection.html<br />http://msdn.microsoft.com/en-us/library/ms161953.aspx<br />http://www.imperva.com/resources/glossary/sql_injection.html<br />http://www.tecnologiadiaria.com/2009/08/codigos-de-inyeccion-sql.html <br />
  10. 10. GRACIAS<br />

×