Seguridad sql injection

Gary Briceño
Gary BriceñoInstructor en Cibertec
SQL Injection 
Elaborado por: 
Gary Briceño
Introducción 
•Una de las mayores vulnerabilidades de los sistemas 
•Se puede exponer información sensible
¿Qué es SQL Injection? 
•Es una vulnerabilidad al sistema 
•Resultado de permitir el ingreso de SQL desde una aplicación a la base de datos 
•No es exclusivo de aplicaciones web 
•Afecta a cualquier sistema que permita ingreso de información 
•Si se tiene la posibilidad de modificar la sentencia SQL, puede ser victima de SQL Injection
Ejemplo 1
Ejemplo 1
Ejemplo 2
Ejemplo 2
No lo intente en casa!! 
•http://www.legislation.gov.uk/ukpga/1990/18/contents 
•http://www.legislation.gov.uk/ukpga/2006/48/contents
Top 25 de Vulnerabilidad 
•SQL Injectionse encuentra en el top de la lista de vulnerabilidad 
•http://cwe.mitre.org/top25/index.html
Buscando SQL Injection
Método GET 
Envío de información con el método GET
Método POST 
Envío de información con el método POST
Plugin: SQL InjectMe 
https://addons.mozilla.org/en-US/firefox/addon/sql-inject-me/
Uso de Proxy 
•Se puede utilizar un proxy para prevenir la inserción de SQL 
•Ejemplo de proxy: 
•Paros Proxy 
•WebScarab 
•BurpSuite
Otros objetos vulnerables 
•Los Cookies, enviados al browser y luego devueltos al servidor en cada request. 
•Usualmente utilizados para autenticación, control de sesiones y mantener información del usuario, como las preferencias en el website. 
•Host Referer, que específica el host y el puerto del servidor. 
•Referer, específica el recurso de donde el recurso fue obtenido. 
•User-Agent, específica el navegador utilizado
Manipulación de parametros 
Se tiene: 
http://www.victim.com/showproducts.php?category=attacker 
Respuesta: 
Warning: mysql_fetch_assoc(): suppliedargumentisnota valid 
MySQLresultresourcein var/www/victim.com/showproducts.phponline 34 
Indica: 
La aplicación remota no esta administrando en forma correcta los errores de 
SQL Injection
Anexo
Seguridad   sql injection
1 de 18

Recomendados

Inyecciones sql para aprendices por
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendicesTensor
5.5K vistas49 diapositivas
Inyeccion sql por
Inyeccion sqlInyeccion sql
Inyeccion sqlobispo28
2.3K vistas14 diapositivas
INYECCION SQL(SEGURIDAD DE LA INFORMACION) por
INYECCION SQL(SEGURIDAD DE LA INFORMACION)INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)toshko86
4.6K vistas10 diapositivas
Inyecciones SQL por
Inyecciones SQLInyecciones SQL
Inyecciones SQLAndy Gomez Soria
548 vistas10 diapositivas
Inyeccionessqlparaaprendices complemento clase 1 por
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Tensor
1.2K vistas51 diapositivas
Inyección de código por
Inyección de códigoInyección de código
Inyección de códigoCarlos Arturo Fyuler
722 vistas15 diapositivas

Más contenido relacionado

La actualidad más candente

Inyeccion de codigo por
Inyeccion de codigoInyeccion de codigo
Inyeccion de codigoFederico Hernández González
3.3K vistas13 diapositivas
Seguridad Base de Datos sql injection v1.0 por
Seguridad Base de Datos sql injection v1.0Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0José Moreno
1.3K vistas25 diapositivas
Inyección sql1 por
Inyección sql1Inyección sql1
Inyección sql1piolincita89
514 vistas10 diapositivas
Base de datos por
Base de datosBase de datos
Base de datosBlind Jose
112 vistas26 diapositivas
Antivirus por
AntivirusAntivirus
AntivirusPatricia Mora
165 vistas21 diapositivas
Hoja de vida por
Hoja de vidaHoja de vida
Hoja de vida1049633535
124 vistas21 diapositivas

La actualidad más candente(20)

Seguridad Base de Datos sql injection v1.0 por José Moreno
Seguridad Base de Datos sql injection v1.0Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0
José Moreno1.3K vistas
Base de datos por Blind Jose
Base de datosBase de datos
Base de datos
Blind Jose112 vistas
Hoja de vida por 1049633535
Hoja de vidaHoja de vida
Hoja de vida
1049633535124 vistas
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008 por Christian Martorella
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Christian Martorella1.7K vistas
Vulnerabilidades en aplicaciones web por RealTIC
Vulnerabilidades en aplicaciones webVulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones web
RealTIC1.4K vistas
Samurai Web Testing Framework 2.0 por Alonso Caballero
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
Alonso Caballero1.1K vistas
DPRN3_U3_A1_JOMM por JoelMtz6
DPRN3_U3_A1_JOMMDPRN3_U3_A1_JOMM
DPRN3_U3_A1_JOMM
JoelMtz619 vistas
Dprn3 u3 a1_camo por cbrith14
Dprn3 u3 a1_camoDprn3 u3 a1_camo
Dprn3 u3 a1_camo
cbrith1420 vistas
Ethical hacking course sql injection por Santy Cadena
Ethical hacking course   sql injectionEthical hacking course   sql injection
Ethical hacking course sql injection
Santy Cadena1.5K vistas
Hecho por por salcedo96
Hecho porHecho por
Hecho por
salcedo96126 vistas
Lab1.4.5 por UNAD
Lab1.4.5Lab1.4.5
Lab1.4.5
UNAD227 vistas
DPRN3_U3_A1_CACO por none
DPRN3_U3_A1_CACODPRN3_U3_A1_CACO
DPRN3_U3_A1_CACO
none24 vistas

Similar a Seguridad sql injection

Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon... por
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Websec México, S.C.
2.1K vistas75 diapositivas
Inyecciones SQL para Aprendices por
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para AprendicesTensor
361 vistas49 diapositivas
Seguridad Sistemas de Gobierno por
Seguridad Sistemas de GobiernoSeguridad Sistemas de Gobierno
Seguridad Sistemas de GobiernoEsteban Saavedra
3.8K vistas29 diapositivas
Tratamiento de seguridad en aplicaciones por
Tratamiento de seguridad en aplicacionesTratamiento de seguridad en aplicaciones
Tratamiento de seguridad en aplicacionesayreonmx
354 vistas15 diapositivas
Webinar Gratuito: "Inyección SQL" por
Webinar Gratuito: "Inyección SQL"Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"Alonso Caballero
55 vistas13 diapositivas
El Estado de la Seguridad de IBM i en 2020 por
El Estado de la Seguridad de IBM i en 2020El Estado de la Seguridad de IBM i en 2020
El Estado de la Seguridad de IBM i en 2020HelpSystems
1.3K vistas96 diapositivas

Similar a Seguridad sql injection(20)

Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon... por Websec México, S.C.
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Websec México, S.C.2.1K vistas
Inyecciones SQL para Aprendices por Tensor
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para Aprendices
Tensor361 vistas
Tratamiento de seguridad en aplicaciones por ayreonmx
Tratamiento de seguridad en aplicacionesTratamiento de seguridad en aplicaciones
Tratamiento de seguridad en aplicaciones
ayreonmx354 vistas
El Estado de la Seguridad de IBM i en 2020 por HelpSystems
El Estado de la Seguridad de IBM i en 2020El Estado de la Seguridad de IBM i en 2020
El Estado de la Seguridad de IBM i en 2020
HelpSystems1.3K vistas
Gestión de Vulnerabilidades por Pablo Palacios
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de Vulnerabilidades
Pablo Palacios7.9K vistas
Problemas en pruebas de implantacion por Jose Diaz Silva
Problemas en pruebas de implantacionProblemas en pruebas de implantacion
Problemas en pruebas de implantacion
Jose Diaz Silva693 vistas
Security Scan, el primer paso para proteger su IBM i por HelpSystems
Security Scan, el primer paso para proteger su IBM iSecurity Scan, el primer paso para proteger su IBM i
Security Scan, el primer paso para proteger su IBM i
HelpSystems92 vistas
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof... por eccutpl
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
eccutpl5.1K vistas
Navegadores en la Empresa por Chema Alonso
Navegadores en la EmpresaNavegadores en la Empresa
Navegadores en la Empresa
Chema Alonso716 vistas
Navegadores en la Empresa por guest022763
Navegadores en la EmpresaNavegadores en la Empresa
Navegadores en la Empresa
guest022763228 vistas
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019] por RootedCON
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
RootedCON816 vistas
Amenaza a las bases de datos por Leonel Ibarra
Amenaza a las bases de datosAmenaza a las bases de datos
Amenaza a las bases de datos
Leonel Ibarra4.2K vistas
Code metrics Visual Sutdio 2017 por Germán Küber
Code metrics Visual Sutdio 2017Code metrics Visual Sutdio 2017
Code metrics Visual Sutdio 2017
Germán Küber39 vistas

Más de Gary Briceño

Git - Iniciando la Administración de Contenidos por
Git - Iniciando la Administración de ContenidosGit - Iniciando la Administración de Contenidos
Git - Iniciando la Administración de ContenidosGary Briceño
100 vistas18 diapositivas
Curso de Scala: Trabajando con variables por
Curso de Scala: Trabajando con variablesCurso de Scala: Trabajando con variables
Curso de Scala: Trabajando con variablesGary Briceño
2.6K vistas20 diapositivas
Kanban principio de visualizacion por
Kanban   principio de visualizacionKanban   principio de visualizacion
Kanban principio de visualizacionGary Briceño
1.1K vistas10 diapositivas
JavaScript: Mejorando la programación por
JavaScript: Mejorando la programaciónJavaScript: Mejorando la programación
JavaScript: Mejorando la programaciónGary Briceño
742 vistas16 diapositivas
Software para android por
Software para androidSoftware para android
Software para androidGary Briceño
482 vistas10 diapositivas
Gary Briceño por
Gary BriceñoGary Briceño
Gary BriceñoGary Briceño
381 vistas3 diapositivas

Más de Gary Briceño(14)

Git - Iniciando la Administración de Contenidos por Gary Briceño
Git - Iniciando la Administración de ContenidosGit - Iniciando la Administración de Contenidos
Git - Iniciando la Administración de Contenidos
Gary Briceño100 vistas
Curso de Scala: Trabajando con variables por Gary Briceño
Curso de Scala: Trabajando con variablesCurso de Scala: Trabajando con variables
Curso de Scala: Trabajando con variables
Gary Briceño2.6K vistas
Kanban principio de visualizacion por Gary Briceño
Kanban   principio de visualizacionKanban   principio de visualizacion
Kanban principio de visualizacion
Gary Briceño1.1K vistas
JavaScript: Mejorando la programación por Gary Briceño
JavaScript: Mejorando la programaciónJavaScript: Mejorando la programación
JavaScript: Mejorando la programación
Gary Briceño742 vistas
CAP 4: SEO - Optimizacion de Contenido por Gary Briceño
CAP 4: SEO - Optimizacion de ContenidoCAP 4: SEO - Optimizacion de Contenido
CAP 4: SEO - Optimizacion de Contenido
Gary Briceño3.2K vistas
CAP 3: SEO - Keywords Research por Gary Briceño
CAP 3: SEO - Keywords ResearchCAP 3: SEO - Keywords Research
CAP 3: SEO - Keywords Research
Gary Briceño3.5K vistas
CAP 2: SEO - Técnicas de SEO por Gary Briceño
CAP 2: SEO - Técnicas de SEOCAP 2: SEO - Técnicas de SEO
CAP 2: SEO - Técnicas de SEO
Gary Briceño1.5K vistas
CAP 1: SEO - Introduccion al marketing de buscadores por Gary Briceño
CAP 1: SEO - Introduccion al marketing de buscadoresCAP 1: SEO - Introduccion al marketing de buscadores
CAP 1: SEO - Introduccion al marketing de buscadores
Gary Briceño2K vistas
Instalando Android SDK por Gary Briceño
Instalando Android SDKInstalando Android SDK
Instalando Android SDK
Gary Briceño3.7K vistas

Último

Operations & Data Graph por
Operations & Data GraphOperations & Data Graph
Operations & Data GraphNeo4j
38 vistas25 diapositivas
MasterMind.pdf por
MasterMind.pdfMasterMind.pdf
MasterMind.pdfrtovarfernandez
17 vistas5 diapositivas
Tecnologia (3).pdf por
Tecnologia (3).pdfTecnologia (3).pdf
Tecnologia (3).pdfnosi6702
6 vistas15 diapositivas
La Guía Definitiva para una Actualización Exitosa a Alfresco 23.1 por
La Guía Definitiva para una Actualización Exitosa a Alfresco 23.1La Guía Definitiva para una Actualización Exitosa a Alfresco 23.1
La Guía Definitiva para una Actualización Exitosa a Alfresco 23.1Angel Borroy López
5 vistas22 diapositivas
Aws Community Day Guatemala Criptografia con AWS KMS por
Aws Community Day Guatemala Criptografia con AWS KMSAws Community Day Guatemala Criptografia con AWS KMS
Aws Community Day Guatemala Criptografia con AWS KMSMario IC
25 vistas42 diapositivas
Qué es el rodamiento hacia adelante.docx por
Qué es el rodamiento hacia adelante.docxQué es el rodamiento hacia adelante.docx
Qué es el rodamiento hacia adelante.docxFabianCarrillo31
7 vistas1 diapositiva

Último(8)

Operations & Data Graph por Neo4j
Operations & Data GraphOperations & Data Graph
Operations & Data Graph
Neo4j38 vistas
Tecnologia (3).pdf por nosi6702
Tecnologia (3).pdfTecnologia (3).pdf
Tecnologia (3).pdf
nosi67026 vistas
La Guía Definitiva para una Actualización Exitosa a Alfresco 23.1 por Angel Borroy López
La Guía Definitiva para una Actualización Exitosa a Alfresco 23.1La Guía Definitiva para una Actualización Exitosa a Alfresco 23.1
La Guía Definitiva para una Actualización Exitosa a Alfresco 23.1
Aws Community Day Guatemala Criptografia con AWS KMS por Mario IC
Aws Community Day Guatemala Criptografia con AWS KMSAws Community Day Guatemala Criptografia con AWS KMS
Aws Community Day Guatemala Criptografia con AWS KMS
Mario IC25 vistas
Qué es el rodamiento hacia adelante.docx por FabianCarrillo31
Qué es el rodamiento hacia adelante.docxQué es el rodamiento hacia adelante.docx
Qué es el rodamiento hacia adelante.docx
FabianCarrillo317 vistas
Peña_Anaya_TAREA Reportes Maestro - Detalle con el uso de AJAX.pptx por MOISESPENAANAYA
Peña_Anaya_TAREA Reportes Maestro - Detalle con el uso de AJAX.pptxPeña_Anaya_TAREA Reportes Maestro - Detalle con el uso de AJAX.pptx
Peña_Anaya_TAREA Reportes Maestro - Detalle con el uso de AJAX.pptx
MOISESPENAANAYA5 vistas
Tecnologia (1).pdf por nosi6702
Tecnologia (1).pdfTecnologia (1).pdf
Tecnologia (1).pdf
nosi67025 vistas

Seguridad sql injection

  • 1. SQL Injection Elaborado por: Gary Briceño
  • 2. Introducción •Una de las mayores vulnerabilidades de los sistemas •Se puede exponer información sensible
  • 3. ¿Qué es SQL Injection? •Es una vulnerabilidad al sistema •Resultado de permitir el ingreso de SQL desde una aplicación a la base de datos •No es exclusivo de aplicaciones web •Afecta a cualquier sistema que permita ingreso de información •Si se tiene la posibilidad de modificar la sentencia SQL, puede ser victima de SQL Injection
  • 8. No lo intente en casa!! •http://www.legislation.gov.uk/ukpga/1990/18/contents •http://www.legislation.gov.uk/ukpga/2006/48/contents
  • 9. Top 25 de Vulnerabilidad •SQL Injectionse encuentra en el top de la lista de vulnerabilidad •http://cwe.mitre.org/top25/index.html
  • 11. Método GET Envío de información con el método GET
  • 12. Método POST Envío de información con el método POST
  • 13. Plugin: SQL InjectMe https://addons.mozilla.org/en-US/firefox/addon/sql-inject-me/
  • 14. Uso de Proxy •Se puede utilizar un proxy para prevenir la inserción de SQL •Ejemplo de proxy: •Paros Proxy •WebScarab •BurpSuite
  • 15. Otros objetos vulnerables •Los Cookies, enviados al browser y luego devueltos al servidor en cada request. •Usualmente utilizados para autenticación, control de sesiones y mantener información del usuario, como las preferencias en el website. •Host Referer, que específica el host y el puerto del servidor. •Referer, específica el recurso de donde el recurso fue obtenido. •User-Agent, específica el navegador utilizado
  • 16. Manipulación de parametros Se tiene: http://www.victim.com/showproducts.php?category=attacker Respuesta: Warning: mysql_fetch_assoc(): suppliedargumentisnota valid MySQLresultresourcein var/www/victim.com/showproducts.phponline 34 Indica: La aplicación remota no esta administrando en forma correcta los errores de SQL Injection
  • 17. Anexo