SlideShare una empresa de Scribd logo

Sql injection, an old friend

Descargar como PPTX, PDF
Amador Aparicio
Amador Aparicio
1 de 10
SQL Injection, an old friend
SQLi, ¿desde cuándo? • 25 de diciembre de 1998. • Rain Forest Puppy.
SQLi, pasa el tiempo y … • Proyecto OWASP.
SQLi, arquitectura del SI … • Arquitectura de 3 niveles.
SQLi, arquitectura del SI … • Arquitectura de 3 niveles.
SQLi, arquitectura del SI … • Arquitectura de 3 niveles.
SQLi, peligros … • Extracción de información sensible de la BD de la organización. • Modificación de la información de la BD. –Ataques Persistentes. –XSS (Cross Site Scripting). • Apertura de una shell remota. –Máquinas de la red interna comprometidas.
SQLi, el proceso… 1. Búsqueda de una aplicación vulnerable. – Técnicas de Dorking. 2. Estudiar caracteríticas de sistema a auditar. – Técnicas de Footprinting, Fingerprinting. 3. Estudiar el comportamiento del sistema: booleanización, tautologías. – ¿Vulnerable? 4. Extracción de la información. – Play the Piano, SQL. 5. ¿Cómo parcheamos el sistema?
SQLi, Play the Piano …
Gracias … SELECT * FROM DUDAS;

Recomendados

Exploiting Web applications SQL Injection
Exploiting Web applications SQL InjectionExploiting Web applications SQL Injection
Exploiting Web applications SQL Injection
Conferencias FIST
 
Asegúr@IT 7: Serialized SQL Injection
Asegúr@IT 7: Serialized SQL InjectionAsegúr@IT 7: Serialized SQL Injection
Asegúr@IT 7: Serialized SQL Injection
Chema Alonso
 
Sql injection
Sql injectionSql injection
Sql injection
Minoxx
 
Seguridad sql injection
Seguridad sql injectionSeguridad sql injection
Seguridad sql injection
Gary Briceño
 
Chema Alonso Blind Sql Injection Taller
Chema Alonso Blind Sql Injection TallerChema Alonso Blind Sql Injection Taller
Chema Alonso Blind Sql Injection Taller
Cristian Borghello
 
Seguridad y Control de Acceso en una instalación Citrix
Seguridad y Control de Acceso en una instalación CitrixSeguridad y Control de Acceso en una instalación Citrix
Seguridad y Control de Acceso en una instalación Citrix
Joaquin Herrero
 
ANC same as apartheid
ANC same as apartheidANC same as apartheid
ANC same as apartheid
mgonline
 
Sino-Danish Center
Sino-Danish CenterSino-Danish Center
Sino-Danish Center
Steffen Helledie
 

Recomendados

Exploiting Web applications SQL Injection
Exploiting Web applications SQL InjectionExploiting Web applications SQL Injection
Exploiting Web applications SQL Injection
Conferencias FIST
 
Asegúr@IT 7: Serialized SQL Injection
Asegúr@IT 7: Serialized SQL InjectionAsegúr@IT 7: Serialized SQL Injection
Asegúr@IT 7: Serialized SQL Injection
Chema Alonso
 
Sql injection
Sql injectionSql injection
Sql injection
Minoxx
 
Seguridad sql injection
Seguridad sql injectionSeguridad sql injection
Seguridad sql injection
Gary Briceño
 
Chema Alonso Blind Sql Injection Taller
Chema Alonso Blind Sql Injection TallerChema Alonso Blind Sql Injection Taller
Chema Alonso Blind Sql Injection Taller
Cristian Borghello
 
Seguridad y Control de Acceso en una instalación Citrix
Seguridad y Control de Acceso en una instalación CitrixSeguridad y Control de Acceso en una instalación Citrix
Seguridad y Control de Acceso en una instalación Citrix
Joaquin Herrero
 
ANC same as apartheid
ANC same as apartheidANC same as apartheid
ANC same as apartheid
mgonline
 
Sino-Danish Center
Sino-Danish CenterSino-Danish Center
Sino-Danish Center
Steffen Helledie
 
Warp films presentation
Warp films presentationWarp films presentation
Warp films presentation
mariek123
 
Seguridad En Programación
Seguridad En ProgramaciónSeguridad En Programación
Seguridad En Programación
vladimir calderon
 
Citrix xen server
Citrix xen serverCitrix xen server
Citrix xen server
Williams Salas
 
Sql injection utilizando método post
Sql injection utilizando método postSql injection utilizando método post
Sql injection utilizando método post
Tensor
 
Connection String Parameter Pollution Attacks
Connection String Parameter Pollution AttacksConnection String Parameter Pollution Attacks
Connection String Parameter Pollution Attacks
Chema Alonso
 
Study on garments buying house merchandising
Study on garments buying house merchandisingStudy on garments buying house merchandising
Study on garments buying house merchandising
WINNERbd.it
 
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
RootedCON
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
RootedCON
 
Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.
Internet Security Auditors
 
Bajo Ataque 2.pptx
Bajo Ataque 2.pptxBajo Ataque 2.pptx
Bajo Ataque 2.pptx
Hacking Bolivia
 
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresRooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Alejandro Ramos
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
Gonzalo Vigo
 
All your data are belong to us - FIST Conference 2007
All your data are belong to us - FIST Conference 2007All your data are belong to us - FIST Conference 2007
All your data are belong to us - FIST Conference 2007
Christian Martorella
 
Taxonomia ataquesfinal
Taxonomia ataquesfinalTaxonomia ataquesfinal
Taxonomia ataquesfinal
LauraCGP
 
The Dark Art of Container Monitoring - Spanish
The Dark Art of Container Monitoring - SpanishThe Dark Art of Container Monitoring - Spanish
The Dark Art of Container Monitoring - Spanish
Sysdig
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
RootedCON
 
Temas de exposiciones teoria de sistemas
Temas de exposiciones teoria de sistemasTemas de exposiciones teoria de sistemas
Temas de exposiciones teoria de sistemas
Oswaldo Hechenleitner
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la Guerra
Luis Cortes Zavala
 
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
RootedCON
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
Internet Security Auditors
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstack
Marc Pàmpols
 
hacking.pptx
hacking.pptxhacking.pptx
hacking.pptx
FreddVargas1
 

Más contenido relacionado

Destacado

Warp films presentation
Warp films presentationWarp films presentation
Warp films presentation
mariek123
 

Destacado (6)

Warp films presentation
Warp films presentationWarp films presentation
Warp films presentation
 
Seguridad En Programación
Seguridad En ProgramaciónSeguridad En Programación
Seguridad En Programación
 
Citrix xen server
Citrix xen serverCitrix xen server
Citrix xen server
 
Sql injection utilizando método post
Sql injection utilizando método postSql injection utilizando método post
Sql injection utilizando método post
 
Connection String Parameter Pollution Attacks
Connection String Parameter Pollution AttacksConnection String Parameter Pollution Attacks
Connection String Parameter Pollution Attacks
 
Study on garments buying house merchandising
Study on garments buying house merchandisingStudy on garments buying house merchandising
Study on garments buying house merchandising
 

Similar a Sql injection, an old friend

All your data are belong to us - FIST Conference 2007
All your data are belong to us - FIST Conference 2007All your data are belong to us - FIST Conference 2007
All your data are belong to us - FIST Conference 2007
Christian Martorella
 
Taxonomia ataquesfinal
Taxonomia ataquesfinalTaxonomia ataquesfinal
Taxonomia ataquesfinal
LauraCGP
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
RootedCON
 
Temas de exposiciones teoria de sistemas
Temas de exposiciones teoria de sistemasTemas de exposiciones teoria de sistemas
Temas de exposiciones teoria de sistemas
Oswaldo Hechenleitner
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la Guerra
Luis Cortes Zavala
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
Internet Security Auditors
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
Sykrayo
 

Similar a Sql injection, an old friend (20)

Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.
 
Bajo Ataque 2.pptx
Bajo Ataque 2.pptxBajo Ataque 2.pptx
Bajo Ataque 2.pptx
 
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresRooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
 
All your data are belong to us - FIST Conference 2007
All your data are belong to us - FIST Conference 2007All your data are belong to us - FIST Conference 2007
All your data are belong to us - FIST Conference 2007
 
Taxonomia ataquesfinal
Taxonomia ataquesfinalTaxonomia ataquesfinal
Taxonomia ataquesfinal
 
The Dark Art of Container Monitoring - Spanish
The Dark Art of Container Monitoring - SpanishThe Dark Art of Container Monitoring - Spanish
The Dark Art of Container Monitoring - Spanish
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
 
Temas de exposiciones teoria de sistemas
Temas de exposiciones teoria de sistemasTemas de exposiciones teoria de sistemas
Temas de exposiciones teoria de sistemas
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la Guerra
 
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstack
 
hacking.pptx
hacking.pptxhacking.pptx
hacking.pptx
 
Desarrollo Full Stack UAM.net
Desarrollo Full Stack UAM.netDesarrollo Full Stack UAM.net
Desarrollo Full Stack UAM.net
 
Amenzas de seguridad en redes modernas - Seguridad informatica
Amenzas de seguridad en redes modernas - Seguridad informaticaAmenzas de seguridad en redes modernas - Seguridad informatica
Amenzas de seguridad en redes modernas - Seguridad informatica
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
 
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
 

Más de Amador Aparicio

Propuestas de proyectos fin de estudios curso 2013
Propuestas de proyectos fin de estudios curso 2013Propuestas de proyectos fin de estudios curso 2013
Propuestas de proyectos fin de estudios curso 2013
Amador Aparicio
 
Examen de Redes: subnetting.
Examen de Redes: subnetting.Examen de Redes: subnetting.
Examen de Redes: subnetting.
Amador Aparicio
 
Intercambio de claves Diffie-Hellman.
Intercambio de claves Diffie-Hellman.Intercambio de claves Diffie-Hellman.
Intercambio de claves Diffie-Hellman.
Amador Aparicio
 
Intercambio de claves Diffie-Hellman.
Intercambio de claves Diffie-Hellman.Intercambio de claves Diffie-Hellman.
Intercambio de claves Diffie-Hellman.
Amador Aparicio
 

Más de Amador Aparicio (20)

Reto Hacker1 2020-2021
Reto Hacker1 2020-2021Reto Hacker1 2020-2021
Reto Hacker1 2020-2021
 
Reto hacker 2
Reto hacker 2Reto hacker 2
Reto hacker 2
 
Presentación Amador Aparicio en Rooted19
Presentación Amador Aparicio en Rooted19Presentación Amador Aparicio en Rooted19
Presentación Amador Aparicio en Rooted19
 
Pechakucha FeedBack
Pechakucha FeedBackPechakucha FeedBack
Pechakucha FeedBack
 
Servicio DNS.
Servicio DNS. Servicio DNS.
Servicio DNS.
 
Propuestas de proyectos fin de estudios curso 2013
Propuestas de proyectos fin de estudios curso 2013Propuestas de proyectos fin de estudios curso 2013
Propuestas de proyectos fin de estudios curso 2013
 
Examen Seguridad: Criptografía.
Examen Seguridad: Criptografía.Examen Seguridad: Criptografía.
Examen Seguridad: Criptografía.
 
Ejercicios funciones de hash
Ejercicios funciones de hashEjercicios funciones de hash
Ejercicios funciones de hash
 
Ejercicios criptografía
Ejercicios criptografíaEjercicios criptografía
Ejercicios criptografía
 
Redes Recuperación Septiembre 02092013
Redes Recuperación Septiembre 02092013Redes Recuperación Septiembre 02092013
Redes Recuperación Septiembre 02092013
 
Grijota rrss
Grijota rrssGrijota rrss
Grijota rrss
 
Reto hacker 7 curso 2012-13
Reto hacker 7 curso 2012-13Reto hacker 7 curso 2012-13
Reto hacker 7 curso 2012-13
 
Examen de Redes: subnetting.
Examen de Redes: subnetting.Examen de Redes: subnetting.
Examen de Redes: subnetting.
 
Ejercicios RSA
Ejercicios RSAEjercicios RSA
Ejercicios RSA
 
Intercambio de claves Diffie-Hellman.
Intercambio de claves Diffie-Hellman.Intercambio de claves Diffie-Hellman.
Intercambio de claves Diffie-Hellman.
 
Intercambio de claves Diffie-Hellman.
Intercambio de claves Diffie-Hellman.Intercambio de claves Diffie-Hellman.
Intercambio de claves Diffie-Hellman.
 
El Algoritmo RSA
El Algoritmo RSAEl Algoritmo RSA
El Algoritmo RSA
 
Redes WiFi
Redes WiFiRedes WiFi
Redes WiFi
 
Redes WiFi
Redes WiFiRedes WiFi
Redes WiFi
 
Proxy java
Proxy javaProxy java
Proxy java
 

Sql injection, an old friend