SlideShare una empresa de Scribd logo

SQL Iny 40

Gary Briceño
Gary Briceño

Definición de SQL injection 7 y cómo identificar algunas formas de SQL Injection. Así mismo algunos objetos que pueden llevar a que nuestro web site sea vulnerado.

Software
1 de 18
Descargar para leer sin conexión
SQL Injection Elaborado por: Gary Briceño
Introducción •Una de las mayores vulnerabilidades de los sistemas •Se puede exponer información sensible
¿Qué es SQL Injection? •Es una vulnerabilidad al sistema •Resultado de permitir el ingreso de SQL desde una aplicación a la base de datos •No es exclusivo de aplicaciones web •Afecta a cualquier sistema que permita ingreso de información •Si se tiene la posibilidad de modificar la sentencia SQL, puede ser victima de SQL Injection
Ejemplo 1
Ejemplo 1
Ejemplo 2
Ejemplo 2
No lo intente en casa!! •http://www.legislation.gov.uk/ukpga/1990/18/contents •http://www.legislation.gov.uk/ukpga/2006/48/contents
Top 25 de Vulnerabilidad •SQL Injectionse encuentra en el top de la lista de vulnerabilidad •http://cwe.mitre.org/top25/index.html
Buscando SQL Injection
Método GET Envío de información con el método GET
Método POST Envío de información con el método POST
Plugin: SQL InjectMe https://addons.mozilla.org/en-US/firefox/addon/sql-inject-me/
Uso de Proxy •Se puede utilizar un proxy para prevenir la inserción de SQL •Ejemplo de proxy: •Paros Proxy •WebScarab •BurpSuite
Otros objetos vulnerables •Los Cookies, enviados al browser y luego devueltos al servidor en cada request. •Usualmente utilizados para autenticación, control de sesiones y mantener información del usuario, como las preferencias en el website. •Host Referer, que específica el host y el puerto del servidor. •Referer, específica el recurso de donde el recurso fue obtenido. •User-Agent, específica el navegador utilizado
Manipulación de parametros Se tiene: http://www.victim.com/showproducts.php?category=attacker Respuesta: Warning: mysql_fetch_assoc(): suppliedargumentisnota valid MySQLresultresourcein var/www/victim.com/showproducts.phponline 34 Indica: La aplicación remota no esta administrando en forma correcta los errores de SQL Injection
Anexo
SQL Iny 40

Recomendados

Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendicesTensor
 
Inyeccion sql
Inyeccion sqlInyeccion sql
Inyeccion sqlobispo28
 
INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)toshko86
 
Inyecciones SQL
Inyecciones SQLInyecciones SQL
Inyecciones SQLAndy Gomez Soria
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Tensor
 
Inyección de código
Inyección de códigoInyección de código
Inyección de códigoCarlos Arturo Fyuler
 
Inyección_sql
Inyección_sqlInyección_sql
Inyección_sqljhom123
 
Sql injection
Sql injectionSql injection
Sql injectionMinoxx
 

Recomendados

Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendicesTensor
 
Inyeccion sql
Inyeccion sqlInyeccion sql
Inyeccion sqlobispo28
 
INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)toshko86
 
Inyecciones SQL
Inyecciones SQLInyecciones SQL
Inyecciones SQLAndy Gomez Soria
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Tensor
 
Inyección de código
Inyección de códigoInyección de código
Inyección de códigoCarlos Arturo Fyuler
 
Inyección_sql
Inyección_sqlInyección_sql
Inyección_sqljhom123
 
Sql injection
Sql injectionSql injection
Sql injectionMinoxx
 
Inyeccion de codigo
Inyeccion de codigoInyeccion de codigo
Inyeccion de codigoFederico Hernández González
 
Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0José Moreno
 
Inyección sql1
Inyección sql1Inyección sql1
Inyección sql1piolincita89
 
Base de datos
Base de datosBase de datos
Base de datosBlind Jose
 
Antivirus
AntivirusAntivirus
AntivirusPatricia Mora
 
Hoja de vida
Hoja de vidaHoja de vida
Hoja de vida1049633535
 
Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4tantascosasquenose
 
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008Christian Martorella
 
Vulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones webVulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones webRealTIC
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
Forzar claves
Forzar clavesForzar claves
Forzar clavesMiguel Sanchez Enriquez
 
DPRN3_U3_A1_JOMM
DPRN3_U3_A1_JOMMDPRN3_U3_A1_JOMM
DPRN3_U3_A1_JOMMJoelMtz6
 
Dprn3 u3 a1_camo
Dprn3 u3 a1_camoDprn3 u3 a1_camo
Dprn3 u3 a1_camocbrith14
 
Hecho por
Hecho porHecho por
Hecho porsalcedo96
 
Como configurar una red inhalambrica
Como configurar una red inhalambricaComo configurar una red inhalambrica
Como configurar una red inhalambricaChristian Regalado Sarmiento
 
Lab1.4.5
Lab1.4.5Lab1.4.5
Lab1.4.5UNAD
 
CONEXIÓN A MySQL EN .NET
CONEXIÓN A MySQL EN .NETCONEXIÓN A MySQL EN .NET
CONEXIÓN A MySQL EN .NETRoberto Salas
 
Qué es spy works
Qué es spy worksQué es spy works
Qué es spy worksJonatan Cruz
 
DPRN3_U3_A1_CACO
DPRN3_U3_A1_CACODPRN3_U3_A1_CACO
DPRN3_U3_A1_CACOnone
 
Spring Security
Spring SecuritySpring Security
Spring SecuritySantiago Márquez Solís
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Websec México, S.C.
 
Inyecciones SQL para Aprendices
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para AprendicesTensor
 

Más contenido relacionado

La actualidad más candente

Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0José Moreno
 
Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4tantascosasquenose
 
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008Christian Martorella
 
Vulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones webVulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones webRealTIC
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
DPRN3_U3_A1_JOMM
DPRN3_U3_A1_JOMMDPRN3_U3_A1_JOMM
DPRN3_U3_A1_JOMMJoelMtz6
 
Dprn3 u3 a1_camo
Dprn3 u3 a1_camoDprn3 u3 a1_camo
Dprn3 u3 a1_camocbrith14
 
Lab1.4.5
Lab1.4.5Lab1.4.5
Lab1.4.5UNAD
 
CONEXIÓN A MySQL EN .NET
CONEXIÓN A MySQL EN .NETCONEXIÓN A MySQL EN .NET
CONEXIÓN A MySQL EN .NETRoberto Salas
 
DPRN3_U3_A1_CACO
DPRN3_U3_A1_CACODPRN3_U3_A1_CACO
DPRN3_U3_A1_CACOnone
 

La actualidad más candente (20)

Inyeccion de codigo
Inyeccion de codigoInyeccion de codigo
Inyeccion de codigo
 
Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0
 
Inyección sql1
Inyección sql1Inyección sql1
Inyección sql1
 
Base de datos
Base de datosBase de datos
Base de datos
 
Antivirus
AntivirusAntivirus
Antivirus
 
Hoja de vida
Hoja de vidaHoja de vida
Hoja de vida
 
Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4
 
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
 
Vulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones webVulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones web
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
 
Forzar claves
Forzar clavesForzar claves
Forzar claves
 
DPRN3_U3_A1_JOMM
DPRN3_U3_A1_JOMMDPRN3_U3_A1_JOMM
DPRN3_U3_A1_JOMM
 
Dprn3 u3 a1_camo
Dprn3 u3 a1_camoDprn3 u3 a1_camo
Dprn3 u3 a1_camo
 
Hecho por
Hecho porHecho por
Hecho por
 
Como configurar una red inhalambrica
Como configurar una red inhalambricaComo configurar una red inhalambrica
Como configurar una red inhalambrica
 
Lab1.4.5
Lab1.4.5Lab1.4.5
Lab1.4.5
 
CONEXIÓN A MySQL EN .NET
CONEXIÓN A MySQL EN .NETCONEXIÓN A MySQL EN .NET
CONEXIÓN A MySQL EN .NET
 
Qué es spy works
Qué es spy worksQué es spy works
Qué es spy works
 
DPRN3_U3_A1_CACO
DPRN3_U3_A1_CACODPRN3_U3_A1_CACO
DPRN3_U3_A1_CACO
 
Spring Security
Spring SecuritySpring Security
Spring Security
 

Similar a SQL Iny 40

Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Websec México, S.C.
 
Inyecciones SQL para Aprendices
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para AprendicesTensor
 
Seguridad Sistemas de Gobierno
Seguridad Sistemas de GobiernoSeguridad Sistemas de Gobierno
Seguridad Sistemas de GobiernoEsteban Saavedra
 
Tratamiento de seguridad en aplicaciones
Tratamiento de seguridad en aplicacionesTratamiento de seguridad en aplicaciones
Tratamiento de seguridad en aplicacionesayreonmx
 
Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"Alonso Caballero
 
El Estado de la Seguridad de IBM i en 2020
El Estado de la Seguridad de IBM i en 2020El Estado de la Seguridad de IBM i en 2020
El Estado de la Seguridad de IBM i en 2020HelpSystems
 
seguridad de las aplicaciones web en el internet
seguridad de las aplicaciones web en el internetseguridad de las aplicaciones web en el internet
seguridad de las aplicaciones web en el internetssuser948499
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de VulnerabilidadesPablo Palacios
 
Problemas en pruebas de implantacion
Problemas en pruebas de implantacionProblemas en pruebas de implantacion
Problemas en pruebas de implantacionJose Diaz Silva
 
Security Scan, el primer paso para proteger su IBM i
Security Scan, el primer paso para proteger su IBM iSecurity Scan, el primer paso para proteger su IBM i
Security Scan, el primer paso para proteger su IBM iHelpSystems
 
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlasIntroducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlasS2 Grupo · Security Art Work
 
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...eccutpl
 
Navegadores en la Empresa
Navegadores en la EmpresaNavegadores en la Empresa
Navegadores en la EmpresaChema Alonso
 
Navegadores en la Empresa
Navegadores en la EmpresaNavegadores en la Empresa
Navegadores en la Empresaguest022763
 
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]RootedCON
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebAlonso Caballero
 

Similar a SQL Iny 40 (20)

Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
 
Inyecciones SQL para Aprendices
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para Aprendices
 
Seguridad Sistemas de Gobierno
Seguridad Sistemas de GobiernoSeguridad Sistemas de Gobierno
Seguridad Sistemas de Gobierno
 
Tratamiento de seguridad en aplicaciones
Tratamiento de seguridad en aplicacionesTratamiento de seguridad en aplicaciones
Tratamiento de seguridad en aplicaciones
 
Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"
 
El Estado de la Seguridad de IBM i en 2020
El Estado de la Seguridad de IBM i en 2020El Estado de la Seguridad de IBM i en 2020
El Estado de la Seguridad de IBM i en 2020
 
seguridad de las aplicaciones web en el internet
seguridad de las aplicaciones web en el internetseguridad de las aplicaciones web en el internet
seguridad de las aplicaciones web en el internet
 
Malware
MalwareMalware
Malware
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de Vulnerabilidades
 
Hardening Sql 2008 01
Hardening Sql 2008 01Hardening Sql 2008 01
Hardening Sql 2008 01
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
 
Problemas en pruebas de implantacion
Problemas en pruebas de implantacionProblemas en pruebas de implantacion
Problemas en pruebas de implantacion
 
Security Scan, el primer paso para proteger su IBM i
Security Scan, el primer paso para proteger su IBM iSecurity Scan, el primer paso para proteger su IBM i
Security Scan, el primer paso para proteger su IBM i
 
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlasIntroducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
 
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético Web
 
Navegadores en la Empresa
Navegadores en la EmpresaNavegadores en la Empresa
Navegadores en la Empresa
 
Navegadores en la Empresa
Navegadores en la EmpresaNavegadores en la Empresa
Navegadores en la Empresa
 
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
 

Más de Gary Briceño

Git - Iniciando la Administración de Contenidos
Git - Iniciando la Administración de ContenidosGit - Iniciando la Administración de Contenidos
Git - Iniciando la Administración de ContenidosGary Briceño
 
Curso de Scala: Trabajando con variables
Curso de Scala: Trabajando con variablesCurso de Scala: Trabajando con variables
Curso de Scala: Trabajando con variablesGary Briceño
 
Kanban principio de visualizacion
Kanban principio de visualizacionKanban principio de visualizacion
Kanban principio de visualizacionGary Briceño
 
JavaScript: Mejorando la programación
JavaScript: Mejorando la programaciónJavaScript: Mejorando la programación
JavaScript: Mejorando la programaciónGary Briceño
 
Software para android
Software para androidSoftware para android
Software para androidGary Briceño
 
CAP 4: SEO - Optimizacion de Contenido
CAP 4: SEO - Optimizacion de ContenidoCAP 4: SEO - Optimizacion de Contenido
CAP 4: SEO - Optimizacion de ContenidoGary Briceño
 
CAP 3: SEO - Keywords Research
CAP 3: SEO - Keywords ResearchCAP 3: SEO - Keywords Research
CAP 3: SEO - Keywords ResearchGary Briceño
 
CAP 2: SEO - Técnicas de SEO
CAP 2: SEO - Técnicas de SEOCAP 2: SEO - Técnicas de SEO
CAP 2: SEO - Técnicas de SEOGary Briceño
 
CAP 1: SEO - Introduccion al marketing de buscadores
CAP 1: SEO - Introduccion al marketing de buscadoresCAP 1: SEO - Introduccion al marketing de buscadores
CAP 1: SEO - Introduccion al marketing de buscadoresGary Briceño
 
Instalando Android SDK
Instalando Android SDKInstalando Android SDK
Instalando Android SDKGary Briceño
 

Más de Gary Briceño (14)

Git - Iniciando la Administración de Contenidos
Git - Iniciando la Administración de ContenidosGit - Iniciando la Administración de Contenidos
Git - Iniciando la Administración de Contenidos
 
Curso de Scala: Trabajando con variables
Curso de Scala: Trabajando con variablesCurso de Scala: Trabajando con variables
Curso de Scala: Trabajando con variables
 
Kanban principio de visualizacion
Kanban principio de visualizacionKanban principio de visualizacion
Kanban principio de visualizacion
 
JavaScript: Mejorando la programación
JavaScript: Mejorando la programaciónJavaScript: Mejorando la programación
JavaScript: Mejorando la programación
 
Software para android
Software para androidSoftware para android
Software para android
 
Gary Briceño
Gary BriceñoGary Briceño
Gary Briceño
 
CAP 4: SEO - Optimizacion de Contenido
CAP 4: SEO - Optimizacion de ContenidoCAP 4: SEO - Optimizacion de Contenido
CAP 4: SEO - Optimizacion de Contenido
 
CAP 3: SEO - Keywords Research
CAP 3: SEO - Keywords ResearchCAP 3: SEO - Keywords Research
CAP 3: SEO - Keywords Research
 
CAP 2: SEO - Técnicas de SEO
CAP 2: SEO - Técnicas de SEOCAP 2: SEO - Técnicas de SEO
CAP 2: SEO - Técnicas de SEO
 
CAP 1: SEO - Introduccion al marketing de buscadores
CAP 1: SEO - Introduccion al marketing de buscadoresCAP 1: SEO - Introduccion al marketing de buscadores
CAP 1: SEO - Introduccion al marketing de buscadores
 
Instalando Android SDK
Instalando Android SDKInstalando Android SDK
Instalando Android SDK
 
Tecnicas de SEO
Tecnicas de SEOTecnicas de SEO
Tecnicas de SEO
 
Temario curso SEO
Temario curso SEOTemario curso SEO
Temario curso SEO
 
Trennbare Verben
Trennbare VerbenTrennbare Verben
Trennbare Verben
 

SQL Iny 40

  • 1. SQL Injection Elaborado por: Gary Briceño
  • 2. Introducción •Una de las mayores vulnerabilidades de los sistemas •Se puede exponer información sensible
  • 3. ¿Qué es SQL Injection? •Es una vulnerabilidad al sistema •Resultado de permitir el ingreso de SQL desde una aplicación a la base de datos •No es exclusivo de aplicaciones web •Afecta a cualquier sistema que permita ingreso de información •Si se tiene la posibilidad de modificar la sentencia SQL, puede ser victima de SQL Injection
  • 8. No lo intente en casa!! •http://www.legislation.gov.uk/ukpga/1990/18/contents •http://www.legislation.gov.uk/ukpga/2006/48/contents
  • 9. Top 25 de Vulnerabilidad •SQL Injectionse encuentra en el top de la lista de vulnerabilidad •http://cwe.mitre.org/top25/index.html
  • 11. Método GET Envío de información con el método GET
  • 12. Método POST Envío de información con el método POST
  • 13. Plugin: SQL InjectMe https://addons.mozilla.org/en-US/firefox/addon/sql-inject-me/
  • 14. Uso de Proxy •Se puede utilizar un proxy para prevenir la inserción de SQL •Ejemplo de proxy: •Paros Proxy •WebScarab •BurpSuite
  • 15. Otros objetos vulnerables •Los Cookies, enviados al browser y luego devueltos al servidor en cada request. •Usualmente utilizados para autenticación, control de sesiones y mantener información del usuario, como las preferencias en el website. •Host Referer, que específica el host y el puerto del servidor. •Referer, específica el recurso de donde el recurso fue obtenido. •User-Agent, específica el navegador utilizado
  • 16. Manipulación de parametros Se tiene: http://www.victim.com/showproducts.php?category=attacker Respuesta: Warning: mysql_fetch_assoc(): suppliedargumentisnota valid MySQLresultresourcein var/www/victim.com/showproducts.phponline 34 Indica: La aplicación remota no esta administrando en forma correcta los errores de SQL Injection
  • 17. Anexo