SlideShare una empresa de Scribd logo

1 sq linjection

Descargar como PPTX, PDF
Tensor
Tensor

1 sq linjection

Educación
1 de 15
Inyección SQL Análisis de Seguridad en TI Integrantes: • Víctor Hugo González • Sergio Cerón • Juan Carlos Carrillo
Inyección SQL Objetivo Identificar por medio de inyección SQL vulnerabilidades en una página web y posteriormente acceder a la base de datos de dicha página. ¿Qué son? ¿Cómo funcionan? ¿Como se evitan?
Definición - SQL Injection • Son técnicas o métodos de infiltración de código malicioso que se basa de una vulnerabilidad informática que se encuentra presente en una aplicación para realizar consultas de datos a una base de datos. • Es la técnica utilizada por personas maliciosas con el fin de alterar o atacar una aplicación a través de comandos SQL. • Se puede atacar cualquier tipo de aplicación que use una base datos, o una aplicación web, es decir puede estar en todo tipo de lenguajes de programación como por ejemplo PHP, JAVA, PERL, C#, ASP, etc.
Blind SQL injection El BLIND SQL Injection se considera un ataque a ciegas, es decir, sin conocer nada sobre el server (Versión de SQL, nombre de las tablas, numero de tablas, etc, que deberemos saber para concluir el ataque y para saber defendernos.)
¿Cómo funciona? Ocurren errores en SQL por la ignorancia del lenguaje, pero este código puede ser reparado por programadores o administradores de BD. • Se inserta lenguaje para alterar el contenido y su funcionamiento normal para ejecutarlo en la base de datos. • El lenguaje que se incerta son sentencias de base de datos, de manera que nos muestre información que nos ayude a obtener lo que buscamos.
Ejemplos En este primer ejercicio se utilizará inyección SQL a las siguientes páginas Web : http://www.biomedicos.com.mx y http://www.casaveerkamp.com CASAVEERKAMP BIOMEDICOS
Procedimiento 1. Por medio del programa WEBCRUISER se escanearon y detectaron las vulnerabilidades de las 2 páginas web, presentando los siguientes resultados: Biomedicos.com.mx Casaveerkamp.com
Procedimiento 2. Después de identificar la vulnerabilidad se deberá de seleccionar y copiar a la herramienta HAVIJ. Esta herramienta nos permite identificar y vulnerar la base de datos, dando como resultado la obtención del nombre de la base de datos “biomedicos” así como sus respectivas tablas, campos y registros.
Procedimiento 3. Ahora que ya tenemos identificado el nombre de la base de datos, se pueden ya identificar las tablas, campos y registros. En el ejemplo presentado con la página de biomedicos, se identificaron tablas donde podremos obtener datos personales de pacientes, listas de precios de servicios y claves de accesos de usuarios. Datos Personales de pacientes
Listas de Precios Servicios Claves de acceso
Procedimiento 4. A través de la herramienta HAVIJ se encontró la página principal de administración del portal, por lo que se podrá tener acceso al portal de administración teniendo los permisos correctos (obtenidos anteriormente).
Reporte de inyección o vunerabilidad Se encontró en la página de biomedicos, un error de programación en el archivo sucursales.php
Recomendaciones ¿Cómo evitar una vulnerabilidad? Para prevenir inyecciones de vulnerabilidad se debe de reforzar las mejores prácticas de codificación e implementación de procedimientos en las bases de datos, se recomienda seguir las mejores practicas por ejemplo:      Deshabilitar mensajes de error que den información al atacante Proteger la contraseña del administrador de la base de datos (sa) Asegurarse que el código fuente sea auditable Restringir longitud en las claves Evitar contraseñas sencillas
Más información en Internet http://www.owasp.org
¡Gracias!

Recomendados

T1 jorgemarquez
T1 jorgemarquezT1 jorgemarquez
T1 jorgemarquezmaneclick
 
Malware, Programas Antivirus y Vacunas informáticas
Malware, Programas Antivirus y Vacunas informáticasMalware, Programas Antivirus y Vacunas informáticas
Malware, Programas Antivirus y Vacunas informáticasNatalie Barreto
 
Chef de Projet Java
Chef de Projet JavaChef de Projet Java
Chef de Projet JavaSQLI DIGITAL EXPERIENCE
 
SQLI //MOBILITY SPECIAL EDITION
SQLI //MOBILITY SPECIAL EDITIONSQLI //MOBILITY SPECIAL EDITION
SQLI //MOBILITY SPECIAL EDITIONSQLI DIGITAL EXPERIENCE
 
Compte rendu Blend Web Mix 2015
Compte rendu Blend Web Mix 2015Compte rendu Blend Web Mix 2015
Compte rendu Blend Web Mix 2015SQLI DIGITAL EXPERIENCE
 
Meet-Up SQLI Lyon 09-2015 - Varnish
Meet-Up SQLI Lyon 09-2015 - VarnishMeet-Up SQLI Lyon 09-2015 - Varnish
Meet-Up SQLI Lyon 09-2015 - VarnishSQLI DIGITAL EXPERIENCE
 
Seguridad web
Seguridad webSeguridad web
Seguridad webCarlos Javier Majerhua
 
01 - Sesión 09 - Fallos de Seguridad.pptx
01 - Sesión 09 - Fallos de Seguridad.pptx01 - Sesión 09 - Fallos de Seguridad.pptx
01 - Sesión 09 - Fallos de Seguridad.pptxssusercb51cd
 

Recomendados

T1 jorgemarquez
T1 jorgemarquezT1 jorgemarquez
T1 jorgemarquezmaneclick
 
Malware, Programas Antivirus y Vacunas informáticas
Malware, Programas Antivirus y Vacunas informáticasMalware, Programas Antivirus y Vacunas informáticas
Malware, Programas Antivirus y Vacunas informáticasNatalie Barreto
 
Chef de Projet Java
Chef de Projet JavaChef de Projet Java
Chef de Projet JavaSQLI DIGITAL EXPERIENCE
 
SQLI //MOBILITY SPECIAL EDITION
SQLI //MOBILITY SPECIAL EDITIONSQLI //MOBILITY SPECIAL EDITION
SQLI //MOBILITY SPECIAL EDITIONSQLI DIGITAL EXPERIENCE
 
Compte rendu Blend Web Mix 2015
Compte rendu Blend Web Mix 2015Compte rendu Blend Web Mix 2015
Compte rendu Blend Web Mix 2015SQLI DIGITAL EXPERIENCE
 
Meet-Up SQLI Lyon 09-2015 - Varnish
Meet-Up SQLI Lyon 09-2015 - VarnishMeet-Up SQLI Lyon 09-2015 - Varnish
Meet-Up SQLI Lyon 09-2015 - VarnishSQLI DIGITAL EXPERIENCE
 
Seguridad web
Seguridad webSeguridad web
Seguridad webCarlos Javier Majerhua
 
01 - Sesión 09 - Fallos de Seguridad.pptx
01 - Sesión 09 - Fallos de Seguridad.pptx01 - Sesión 09 - Fallos de Seguridad.pptx
01 - Sesión 09 - Fallos de Seguridad.pptxssusercb51cd
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendicesTensor
 
Seguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioSeguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioCarlos Soriano
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De DatosWilliam Suárez
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datosguestb40a1b0
 
Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Tensor
 
Inyecciones SQL
Inyecciones SQLInyecciones SQL
Inyecciones SQLAndy Gomez Soria
 
Inyecciones SQL para Aprendices
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para AprendicesTensor
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Miguel de la Cruz
 
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...mauromaulinir
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético WebEduardo Arriols Nuñez
 
Amenaza a las bases de datos
Amenaza a las bases de datosAmenaza a las bases de datos
Amenaza a las bases de datosLeonel Ibarra
 
Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"Alonso Caballero
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3tantascosasquenose
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016Gonzalo Vigo
 
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS
 
Seguridad en Base de Datos
Seguridad en Base de DatosSeguridad en Base de Datos
Seguridad en Base de Datosmyriam sarango
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9Universidad Kino A.C.
 
Libertad
LibertadLibertad
LibertadTensor
 
Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)Tensor
 

Más contenido relacionado

Similar a 1 sq linjection

Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendicesTensor
 
Seguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioSeguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioCarlos Soriano
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De DatosWilliam Suárez
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datosguestb40a1b0
 
Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Tensor
 
Inyecciones SQL para Aprendices
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para AprendicesTensor
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Miguel de la Cruz
 
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...mauromaulinir
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
Amenaza a las bases de datos
Amenaza a las bases de datosAmenaza a las bases de datos
Amenaza a las bases de datosLeonel Ibarra
 
Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"Alonso Caballero
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3tantascosasquenose
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016Gonzalo Vigo
 
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS
 
Seguridad en Base de Datos
Seguridad en Base de DatosSeguridad en Base de Datos
Seguridad en Base de Datosmyriam sarango
 

Similar a 1 sq linjection (20)

Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendices
 
Seguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioSeguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuario
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1
 
Inyecciones SQL
Inyecciones SQLInyecciones SQL
Inyecciones SQL
 
Inyecciones SQL para Aprendices
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para Aprendices
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)
 
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
Resumen curso de seguridad para desarrolladores de aplicaciones web, webservi...
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético Web
 
Amenaza a las bases de datos
Amenaza a las bases de datosAmenaza a las bases de datos
Amenaza a las bases de datos
 
Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
 
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologíasUNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
UNEG-AS 2012-Inf11: Métodos usados para abusar de las nuevas tecnologías
 
Seguridad en Base de Datos
Seguridad en Base de DatosSeguridad en Base de Datos
Seguridad en Base de Datos
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9
 

Más de Tensor

Libertad
LibertadLibertad
LibertadTensor
 
Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)Tensor
 
Metodo de la bisección
Metodo de la bisecciónMetodo de la bisección
Metodo de la bisecciónTensor
 
Transito vehicular
Transito vehicularTransito vehicular
Transito vehicularTensor
 
Teoria de colas
Teoria de colasTeoria de colas
Teoria de colasTensor
 
Practica 7 2016
Practica 7 2016Practica 7 2016
Practica 7 2016Tensor
 
Practica 6 2016
Practica 6 2016Practica 6 2016
Practica 6 2016Tensor
 
Game maker
Game makerGame maker
Game makerTensor
 
Practica 5 2016
Practica 5 2016Practica 5 2016
Practica 5 2016Tensor
 
Procesamiento de archivos
Procesamiento de archivosProcesamiento de archivos
Procesamiento de archivosTensor
 
Cadenas y funciones de cadena
Cadenas y funciones de cadenaCadenas y funciones de cadena
Cadenas y funciones de cadenaTensor
 
Simulación en promodel clase 04
Simulación en promodel clase 04Simulación en promodel clase 04
Simulación en promodel clase 04Tensor
 
Reduccion de orden
Reduccion de ordenReduccion de orden
Reduccion de ordenTensor
 
Variación+de+parametros
Variación+de+parametrosVariación+de+parametros
Variación+de+parametrosTensor
 
Coeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposiciónCoeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposiciónTensor
 
Bernoulli y ricatti
Bernoulli y ricattiBernoulli y ricatti
Bernoulli y ricattiTensor
 
Practica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicioPractica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicioTensor
 
Clase 14 ondas reflejadas
Clase 14 ondas reflejadasClase 14 ondas reflejadas
Clase 14 ondas reflejadasTensor
 
Ondas em
Ondas emOndas em
Ondas emTensor
 
Clase 7 ondas electromagneticas
Clase 7 ondas electromagneticasClase 7 ondas electromagneticas
Clase 7 ondas electromagneticasTensor
 

Más de Tensor (20)

Libertad
LibertadLibertad
Libertad
 
Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)
 
Metodo de la bisección
Metodo de la bisecciónMetodo de la bisección
Metodo de la bisección
 
Transito vehicular
Transito vehicularTransito vehicular
Transito vehicular
 
Teoria de colas
Teoria de colasTeoria de colas
Teoria de colas
 
Practica 7 2016
Practica 7 2016Practica 7 2016
Practica 7 2016
 
Practica 6 2016
Practica 6 2016Practica 6 2016
Practica 6 2016
 
Game maker
Game makerGame maker
Game maker
 
Practica 5 2016
Practica 5 2016Practica 5 2016
Practica 5 2016
 
Procesamiento de archivos
Procesamiento de archivosProcesamiento de archivos
Procesamiento de archivos
 
Cadenas y funciones de cadena
Cadenas y funciones de cadenaCadenas y funciones de cadena
Cadenas y funciones de cadena
 
Simulación en promodel clase 04
Simulación en promodel clase 04Simulación en promodel clase 04
Simulación en promodel clase 04
 
Reduccion de orden
Reduccion de ordenReduccion de orden
Reduccion de orden
 
Variación+de+parametros
Variación+de+parametrosVariación+de+parametros
Variación+de+parametros
 
Coeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposiciónCoeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposición
 
Bernoulli y ricatti
Bernoulli y ricattiBernoulli y ricatti
Bernoulli y ricatti
 
Practica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicioPractica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicio
 
Clase 14 ondas reflejadas
Clase 14 ondas reflejadasClase 14 ondas reflejadas
Clase 14 ondas reflejadas
 
Ondas em
Ondas emOndas em
Ondas em
 
Clase 7 ondas electromagneticas
Clase 7 ondas electromagneticasClase 7 ondas electromagneticas
Clase 7 ondas electromagneticas
 

Último

el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzprofefilete
 
Marketing y servicios 2ºBTP Cocina DGETP
Marketing y servicios 2ºBTP Cocina DGETPMarketing y servicios 2ºBTP Cocina DGETP
Marketing y servicios 2ºBTP Cocina DGETPANEP - DETP
 
Día de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundialDía de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundialpatriciaines1993
 
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUFICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUgustavorojas179704
 
codigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karinacodigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karinavergarakarina022
 
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...JAVIER SOLIS NOYOLA
 
Plan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPEPlan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPELaura Chacón
 
Procesos Didácticos en Educación Inicial .pptx
Procesos Didácticos en Educación Inicial .pptxProcesos Didácticos en Educación Inicial .pptx
Procesos Didácticos en Educación Inicial .pptxMapyMerma1
 
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIARAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIACarlos Campaña Montenegro
 
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptxPresentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptxYeseniaRivera50
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADOJosé Luis Palma
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.José Luis Palma
 
plan-de-trabajo-colegiado en una institucion educativa
plan-de-trabajo-colegiado en una institucion educativaplan-de-trabajo-colegiado en una institucion educativa
plan-de-trabajo-colegiado en una institucion educativafiorelachuctaya2
 
BROCHURE EXCEL 2024 FII.pdfwrfertetwetewtewtwtwtwtwtwtwtewtewtewtwtwtwtwe
BROCHURE EXCEL 2024 FII.pdfwrfertetwetewtewtwtwtwtwtwtwtewtewtewtwtwtwtweBROCHURE EXCEL 2024 FII.pdfwrfertetwetewtewtwtwtwtwtwtwtewtewtewtwtwtwtwe
BROCHURE EXCEL 2024 FII.pdfwrfertetwetewtewtwtwtwtwtwtwtewtewtewtwtwtwtwealekzHuri
 
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdfOswaldoGonzalezCruz
 
La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxJunkotantik
 
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.pptDE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.pptELENA GALLARDO PAÚLS
 
Flores Nacionales de América Latina - Botánica
Flores Nacionales de América Latina - BotánicaFlores Nacionales de América Latina - Botánica
Flores Nacionales de América Latina - BotánicaJuan Carlos Fonseca Mata
 

Último (20)

el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
 
Marketing y servicios 2ºBTP Cocina DGETP
Marketing y servicios 2ºBTP Cocina DGETPMarketing y servicios 2ºBTP Cocina DGETP
Marketing y servicios 2ºBTP Cocina DGETP
 
Día de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundialDía de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundial
 
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUFICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
 
codigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karinacodigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karina
 
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
 
Plan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPEPlan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPE
 
Procesos Didácticos en Educación Inicial .pptx
Procesos Didácticos en Educación Inicial .pptxProcesos Didácticos en Educación Inicial .pptx
Procesos Didácticos en Educación Inicial .pptx
 
Sesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdfSesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdf
 
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIARAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
 
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptxPresentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.
 
plan-de-trabajo-colegiado en una institucion educativa
plan-de-trabajo-colegiado en una institucion educativaplan-de-trabajo-colegiado en una institucion educativa
plan-de-trabajo-colegiado en una institucion educativa
 
Repaso Pruebas CRECE PR 2024. Ciencia General
Repaso Pruebas CRECE PR 2024. Ciencia GeneralRepaso Pruebas CRECE PR 2024. Ciencia General
Repaso Pruebas CRECE PR 2024. Ciencia General
 
BROCHURE EXCEL 2024 FII.pdfwrfertetwetewtewtwtwtwtwtwtwtewtewtewtwtwtwtwe
BROCHURE EXCEL 2024 FII.pdfwrfertetwetewtewtwtwtwtwtwtwtewtewtewtwtwtwtweBROCHURE EXCEL 2024 FII.pdfwrfertetwetewtewtwtwtwtwtwtwtewtewtewtwtwtwtwe
BROCHURE EXCEL 2024 FII.pdfwrfertetwetewtewtwtwtwtwtwtwtewtewtewtwtwtwtwe
 
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
 
La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptx
 
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.pptDE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
 
Flores Nacionales de América Latina - Botánica
Flores Nacionales de América Latina - BotánicaFlores Nacionales de América Latina - Botánica
Flores Nacionales de América Latina - Botánica
 

1 sq linjection

  • 1. Inyección SQL Análisis de Seguridad en TI Integrantes: • Víctor Hugo González • Sergio Cerón • Juan Carlos Carrillo
  • 2. Inyección SQL Objetivo Identificar por medio de inyección SQL vulnerabilidades en una página web y posteriormente acceder a la base de datos de dicha página. ¿Qué son? ¿Cómo funcionan? ¿Como se evitan?
  • 3. Definición - SQL Injection • Son técnicas o métodos de infiltración de código malicioso que se basa de una vulnerabilidad informática que se encuentra presente en una aplicación para realizar consultas de datos a una base de datos. • Es la técnica utilizada por personas maliciosas con el fin de alterar o atacar una aplicación a través de comandos SQL. • Se puede atacar cualquier tipo de aplicación que use una base datos, o una aplicación web, es decir puede estar en todo tipo de lenguajes de programación como por ejemplo PHP, JAVA, PERL, C#, ASP, etc.
  • 4. Blind SQL injection El BLIND SQL Injection se considera un ataque a ciegas, es decir, sin conocer nada sobre el server (Versión de SQL, nombre de las tablas, numero de tablas, etc, que deberemos saber para concluir el ataque y para saber defendernos.)
  • 5. ¿Cómo funciona? Ocurren errores en SQL por la ignorancia del lenguaje, pero este código puede ser reparado por programadores o administradores de BD. • Se inserta lenguaje para alterar el contenido y su funcionamiento normal para ejecutarlo en la base de datos. • El lenguaje que se incerta son sentencias de base de datos, de manera que nos muestre información que nos ayude a obtener lo que buscamos.
  • 6. Ejemplos En este primer ejercicio se utilizará inyección SQL a las siguientes páginas Web : http://www.biomedicos.com.mx y http://www.casaveerkamp.com CASAVEERKAMP BIOMEDICOS
  • 7. Procedimiento 1. Por medio del programa WEBCRUISER se escanearon y detectaron las vulnerabilidades de las 2 páginas web, presentando los siguientes resultados: Biomedicos.com.mx Casaveerkamp.com
  • 8. Procedimiento 2. Después de identificar la vulnerabilidad se deberá de seleccionar y copiar a la herramienta HAVIJ. Esta herramienta nos permite identificar y vulnerar la base de datos, dando como resultado la obtención del nombre de la base de datos “biomedicos” así como sus respectivas tablas, campos y registros.
  • 9. Procedimiento 3. Ahora que ya tenemos identificado el nombre de la base de datos, se pueden ya identificar las tablas, campos y registros. En el ejemplo presentado con la página de biomedicos, se identificaron tablas donde podremos obtener datos personales de pacientes, listas de precios de servicios y claves de accesos de usuarios. Datos Personales de pacientes
  • 10. Listas de Precios Servicios Claves de acceso
  • 11. Procedimiento 4. A través de la herramienta HAVIJ se encontró la página principal de administración del portal, por lo que se podrá tener acceso al portal de administración teniendo los permisos correctos (obtenidos anteriormente).
  • 12. Reporte de inyección o vunerabilidad Se encontró en la página de biomedicos, un error de programación en el archivo sucursales.php
  • 13. Recomendaciones ¿Cómo evitar una vulnerabilidad? Para prevenir inyecciones de vulnerabilidad se debe de reforzar las mejores prácticas de codificación e implementación de procedimientos en las bases de datos, se recomienda seguir las mejores practicas por ejemplo:      Deshabilitar mensajes de error que den información al atacante Proteger la contraseña del administrador de la base de datos (sa) Asegurarse que el código fuente sea auditable Restringir longitud en las claves Evitar contraseñas sencillas
  • 14. Más información en Internet http://www.owasp.org