SlideShare una empresa de Scribd logo
1 de 9
Descargar para leer sin conexión
Universidad	
  Nacional	
  Autónoma	
  de	
  México	
  
Facultad	
  de	
  Contaduría	
  y	
  Administración	
  
Diplomado	
  Diseño,	
  Construcción	
  y	
  Administración	
  de	
  Redes	
  de	
  Datos	
  
Módulo	
  6.	
  Seguridad	
  de	
  Bases	
  de	
  Datos	
  
	
  
Elaboró:	
  Francisco	
  Medina	
  López	
  	
   1	
  
Actividad	
   No.	
   1.11:	
   SQL	
   Injection	
   con	
  
sqlmap	
  en	
  Kali	
  Linux	
  
Antecedentes	
  
	
  
SQL	
  Injection	
  (SQLi)	
  es	
  el	
  ataque	
  vía	
  web	
  que	
  aprovecha	
  errores	
  en	
  la	
  validación	
  de	
  
datos	
   introducidos	
   por	
   el	
   usuario,	
   y	
   que	
   permiten	
   a	
   un	
   atacante,	
   tener	
   control	
   de	
  
cierta	
  aplicación.	
  
	
  
El	
   origen	
   de	
   la	
   vulnerabilidad	
   radica	
   en	
   la	
   incorrecta	
   revisión	
   y/o	
   filtrado	
   de	
   las	
  
variables	
  utilizadas	
  en	
  un	
  programa	
  que	
  contiene,	
  o	
  bien	
  genera,	
  código	
  SQL.	
  Es,	
  de	
  
hecho,	
  un	
  error	
  de	
  una	
  clase	
  más	
  general	
  de	
  vulnerabilidades	
  que	
  puede	
  ocurrir	
  en	
  
cualquier	
  lenguaje	
  de	
  programación	
  o	
  script	
  que	
  esté	
  embebido	
  dentro	
  de	
  otro.	
  
	
  
Kali	
   Linux	
   es	
   una	
   distribución	
   de	
   Linux	
   avanzada	
   para	
   pruebas	
   de	
   penetración	
   y	
  
auditorías	
  de	
  seguridad.	
  Es	
  una	
  completa	
  re-­‐construcción	
  de	
  BackTrack	
  Linux	
  que	
  se	
  
adhiere	
  completamente	
  a	
  los	
  estándares	
  de	
  desarrollo	
  de	
  Debian.	
  
	
  
SQLmap	
  es	
  una	
  herramienta	
  escrita	
  en	
  Python	
  que	
  se	
  encarga	
  de	
  realizar	
  peticiones	
  a	
  
los	
  parámetros	
  de	
  una	
  URL	
  que	
  se	
  le	
  indiquen,	
  ya	
  sea	
  mediante	
  una	
  petición	
  GET	
  o	
  
POST	
  buscando	
  que	
  la	
  aplicación	
  sea	
  vulnerable	
  a	
  una	
  posible	
  SQL	
  Injection	
  y	
  poder	
  
explotarla.	
  Es	
  capaz	
  de	
  explotar	
  todo	
  tipo	
  de	
  SQLi	
  como	
  union-­‐base,	
  time-­‐base-­‐blind,	
  
base-­‐blind-­‐injection,	
  heavy-­‐queries	
  entre	
  otros.	
  
	
  
Requerimientos	
  
	
  
Equipo	
   de	
   cómputo	
   con	
   el	
   sistema	
   operativo	
   Kali	
   Linux	
   correctamente	
   configurado	
  
para	
  tener	
  acceso	
  a	
  la	
  Internet.	
  
	
  
Servidor	
  web	
  objetivo	
  cuya	
  dirección	
  IP	
  será	
  proporcionada	
  por	
  el	
  instructor.	
  Para	
  el	
  
caso	
   de	
   los	
   ejemplos	
   mostrados	
   en	
   este	
   documento	
   se	
   usará	
   la	
   dirección	
   IP	
  
10.211.55.15	
  la	
  cual	
  deberá	
  ser	
  reemplazada	
  por	
  la	
  indicada	
  por	
  el	
  instructor.	
  
	
   	
  
Universidad	
  Nacional	
  Autónoma	
  de	
  México	
  
Facultad	
  de	
  Contaduría	
  y	
  Administración	
  
Diplomado	
  Diseño,	
  Construcción	
  y	
  Administración	
  de	
  Redes	
  de	
  Datos	
  
Módulo	
  6.	
  Seguridad	
  de	
  Bases	
  de	
  Datos	
  
	
  
Elaboró:	
  Francisco	
  Medina	
  López	
  	
   2	
  
Instrucciones	
  
	
  
1. Inicia	
  tu	
  equipo	
  de	
  cómputo	
  con	
  el	
  sistema	
  operativo	
  Kali	
  Linux	
  y	
  configura	
  los	
  
parámetros	
  de	
  red	
  para	
  tener	
  acceso	
  a	
  la	
  Internet.	
  
2. Abre	
  una	
  terminal	
  usando	
  el	
  ícono	
   ,	
  ubicado	
  en	
  el	
  panel	
  superior.	
  
	
  
	
  
	
  
3. Ejecuta	
  el	
  siguiente	
  comando	
  en	
  la	
  terminal	
  (Recuerda	
  cambiar	
  la	
  dirección	
  IP	
  
por	
  la	
  del	
  servidor	
  web	
  objetivo	
  indicada	
  por	
  el	
  instructor):	
  
	
  
sqlmap	
  -­‐u	
  "http://10.211.55.15/cat.php?id=3"	
  -­‐-­‐dbs	
  
	
  
	
  
Universidad	
  Nacional	
  Autónoma	
  de	
  México	
  
Facultad	
  de	
  Contaduría	
  y	
  Administración	
  
Diplomado	
  Diseño,	
  Construcción	
  y	
  Administración	
  de	
  Redes	
  de	
  Datos	
  
Módulo	
  6.	
  Seguridad	
  de	
  Bases	
  de	
  Datos	
  
	
  
Elaboró:	
  Francisco	
  Medina	
  López	
  	
   3	
  
La	
  URL	
  /cat.php?id=3	
  fue	
  obtenida	
  por	
  el	
  escáner	
  de	
  vulnerabilidades	
  web	
  
VEGA	
   en	
   la	
   Actividad	
   No.	
   1.10:	
   Análisis	
   de	
   vulnerabilidades	
   con	
   VEGA	
   en	
   Kali	
  
Linux.	
  
	
  
4. SQLmap	
  tratará	
  de	
  identificar	
  el	
  manejador	
  de	
  base	
  de	
  datos	
  utilizado	
  por	
  la	
  
aplicación	
   web	
   ejecutándose	
   en	
   el	
   servidor	
   web	
   objetivo.	
   En	
   este	
   caso	
  
determina	
  que	
  se	
  esta	
  utilizando	
  un	
  servidor	
  MySQL.	
  Presionar	
  la	
  tecla	
  Y	
  y	
  dar	
  
Enter.	
  	
  
	
  
	
  
	
  
5. En	
   el	
   paso	
   siguiente,	
   SQLmap	
   nos	
   pregunta	
   si	
   deseamos	
   incluir	
   todas	
   las	
  
pruebas	
  para	
  MySQL,	
  tecleamos	
  Enter	
  para	
  continuar.	
  
	
  
	
  
	
   	
  
Universidad	
  Nacional	
  Autónoma	
  de	
  México	
  
Facultad	
  de	
  Contaduría	
  y	
  Administración	
  
Diplomado	
  Diseño,	
  Construcción	
  y	
  Administración	
  de	
  Redes	
  de	
  Datos	
  
Módulo	
  6.	
  Seguridad	
  de	
  Bases	
  de	
  Datos	
  
	
  
Elaboró:	
  Francisco	
  Medina	
  López	
  	
   4	
  
	
  
6. 	
  SQLmap	
   identifica	
   que	
   la	
   variable	
   ‘id’	
   usada	
   por	
   la	
   aplicación	
   web	
   es	
  
vulnerable	
   a	
   SQL	
   Injection.	
   Tecleamos	
   Enter	
   para	
   indicar	
   que	
   no	
   queremos	
  
probar	
   otra	
   variable.	
   	
   En	
   este	
   momento	
   SQLmap	
   realiza	
   el	
   ataque	
   de	
   SQL	
  
Injection	
  y	
  logra	
  determinar	
  el	
  sistema	
  operativo	
  del	
  servidor	
  web	
  objetivo,	
  la	
  
versión	
  del	
  servidor	
  web	
  empleado,	
  la	
  versión	
  del	
  manejador	
  de	
  base	
  de	
  
datos	
  MySQL	
  en	
  ejecución	
  y	
  nos	
  muestra	
  las	
  dos	
  bases	
  de	
  datos	
  disponibles	
  
en	
  el	
  servidor.	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
   	
  
Universidad	
  Nacional	
  Autónoma	
  de	
  México	
  
Facultad	
  de	
  Contaduría	
  y	
  Administración	
  
Diplomado	
  Diseño,	
  Construcción	
  y	
  Administración	
  de	
  Redes	
  de	
  Datos	
  
Módulo	
  6.	
  Seguridad	
  de	
  Bases	
  de	
  Datos	
  
	
  
Elaboró:	
  Francisco	
  Medina	
  López	
  	
   5	
  
	
  
7. Una	
  vez	
  obtenido	
  el	
  nombre	
  de	
  las	
  bases	
  de	
  datos	
  disponibles	
  en	
  el	
  servidor,	
  
vamos	
  a	
  indicar	
  a	
  SQLmap	
  que	
  obtenga	
  las	
  tablas	
  que	
  conforman	
  la	
  base	
  de	
  
datos	
  photoblog,	
  para	
  ellos	
  ejecutamos	
  el	
  siguiente	
  comando:	
  
	
  
sqlmap	
  -­‐u	
  "http://10.211.55.15/cat.php?id=3"	
  -­‐D	
  photoblog	
  -­‐-­‐tables	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
Podemos	
  observar	
  que	
  la	
  base	
  de	
  datos	
  photoblog	
  tiene	
  tres	
  tablas:	
  
• categories	
  
• pictures	
  
• users	
  
	
   	
  
Universidad	
  Nacional	
  Autónoma	
  de	
  México	
  
Facultad	
  de	
  Contaduría	
  y	
  Administración	
  
Diplomado	
  Diseño,	
  Construcción	
  y	
  Administración	
  de	
  Redes	
  de	
  Datos	
  
Módulo	
  6.	
  Seguridad	
  de	
  Bases	
  de	
  Datos	
  
	
  
Elaboró:	
  Francisco	
  Medina	
  López	
  	
   6	
  
	
  
8. Una	
  vez	
  identificadas	
  las	
  tablas,	
  podemos	
  inferir	
  que	
  las	
  credenciales	
  de	
  acceso	
  
a	
  la	
  aplicación	
  se	
  encuentran	
  en	
  la	
  tabla	
  users.	
  Para	
  realizar	
  una	
  consulta	
  y	
  
mostrar	
  el	
  contenido	
  de	
  dicha	
  tabla,	
  ejecutamos	
  el	
  siguiente	
  comando:	
  
	
  
sqlmap	
   -­‐u	
   "http://10.211.55.15/cat.php?id=3"	
   -­‐D	
   photoblog	
   -­‐T	
  
users	
  -­‐-­‐columns	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
El	
  resultado	
  de	
  la	
  ejecución	
  del	
  comando,	
  nos	
  permite	
  conocer	
  los	
  campos	
  de	
  la	
  
tabla	
  user	
  dentro	
  de	
  la	
  base	
  de	
  datos	
  photoblog.	
  
	
   	
  
Universidad	
  Nacional	
  Autónoma	
  de	
  México	
  
Facultad	
  de	
  Contaduría	
  y	
  Administración	
  
Diplomado	
  Diseño,	
  Construcción	
  y	
  Administración	
  de	
  Redes	
  de	
  Datos	
  
Módulo	
  6.	
  Seguridad	
  de	
  Bases	
  de	
  Datos	
  
	
  
Elaboró:	
  Francisco	
  Medina	
  López	
  	
   7	
  
9. Conociendo	
  el	
  nombre	
  de	
  la	
  columnas	
  de	
  la	
  tabla	
  users,	
  es	
  posible	
  hacer	
  una	
  
consulta	
  para	
  obtener	
  el	
  contenido	
  de	
  la	
  tabla.	
  Para	
  ellos	
  tecleamos	
  el	
  siguiente	
  
comando:	
  
	
  
sqlmap	
   -­‐u	
   "http://10.211.55.15/cat.php?id=3"	
   -­‐D	
   photoblog	
   -­‐T	
  
users	
  -­‐C	
  login,password	
  -­‐-­‐dump	
  
	
  
	
  
	
  
10. SQLmap	
  logra	
  identificar	
  un	
  campo	
  cifrado	
  que	
  contiene	
  las	
  contraseñas	
  de	
  las	
  
cuentas	
  de	
  la	
  tabla	
  users.	
  Presionamos	
  la	
  tecla	
  Y	
  y	
  Enter.	
  	
  
	
  
11. SQLmap	
   permite	
   intentar	
   obtener	
   las	
   contraseñas	
   usando	
   un	
   diccionarios,	
  
para	
  utilizarlo	
  presionamos	
  la	
  tecla	
  Enter.	
  
	
  
Universidad	
  Nacional	
  Autónoma	
  de	
  México	
  
Facultad	
  de	
  Contaduría	
  y	
  Administración	
  
Diplomado	
  Diseño,	
  Construcción	
  y	
  Administración	
  de	
  Redes	
  de	
  Datos	
  
Módulo	
  6.	
  Seguridad	
  de	
  Bases	
  de	
  Datos	
  
	
  
Elaboró:	
  Francisco	
  Medina	
  López	
  	
   8	
  
12. El	
   siguiente	
   paso	
   consiste	
   en	
   indicar	
   la	
   ruta	
   al	
   diccionario	
   a	
   utilizar,	
  
presionamos	
  la	
  tecla	
  Enter	
  para	
  utilizar	
  el	
  diccionario	
  por	
  Default	
  incluido	
  en	
  
SQLmap.	
  
	
  
	
  
	
  
13. A	
  continuación,	
  SQLmap	
  nos	
  pregunta	
  si	
  deseamos	
  usar	
  prefijos	
  comúnmente	
  
utilizados	
   en	
   las	
   contraseñas.	
   Presionamos	
   la	
   tecla	
   Y	
   y	
   después	
   Enter	
   para	
  
indicar	
  que	
  SI	
  queremos	
  usar	
  los	
  prefijos.	
  	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  
14. Terminado	
  el	
  proceso,	
  SQLmap	
  obtiene	
  el	
  nombre	
  de	
  usuario	
  y	
  la	
  contraseña	
  
almacenada	
  en	
  la	
  tabla	
  users	
  de	
  la	
  base	
  de	
  datos	
  photoblog.	
  
	
   	
  
Universidad	
  Nacional	
  Autónoma	
  de	
  México	
  
Facultad	
  de	
  Contaduría	
  y	
  Administración	
  
Diplomado	
  Diseño,	
  Construcción	
  y	
  Administración	
  de	
  Redes	
  de	
  Datos	
  
Módulo	
  6.	
  Seguridad	
  de	
  Bases	
  de	
  Datos	
  
	
  
Elaboró:	
  Francisco	
  Medina	
  López	
  	
   9	
  
	
  
15. Introducimos	
   los	
   datos	
   obtenidos	
   en	
   la	
   aplicación	
   web	
   photoblog	
   desde	
   un	
  
navegador	
  web.	
  
	
  
	
  
	
  
	
  
	
  
	
  
	
  

Más contenido relacionado

La actualidad más candente

Las diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datosLas diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datosImperva
 
Actividad No. 4: Captura e Inyección de paquetes en redes WLAN
Actividad No. 4: Captura e Inyección de paquetes en redes WLANActividad No. 4: Captura e Inyección de paquetes en redes WLAN
Actividad No. 4: Captura e Inyección de paquetes en redes WLANFrancisco Medina
 
Metodología para Sistemas de Información(MEDSI) por Jonas Montilva
Metodología para Sistemas de Información(MEDSI) por Jonas MontilvaMetodología para Sistemas de Información(MEDSI) por Jonas Montilva
Metodología para Sistemas de Información(MEDSI) por Jonas Montilvadeywilliams
 
Tabla comparativa de Sistemas operativos móviles
Tabla comparativa de Sistemas operativos móvilesTabla comparativa de Sistemas operativos móviles
Tabla comparativa de Sistemas operativos móvileskpwalkin
 
Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas  Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Nanet Martinez
 
Legislación informática
Legislación  informáticaLegislación  informática
Legislación informáticaale-pruneda
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaJose Manuel Acosta
 
Protección y Seguridad de los Sistemas Operativos
Protección y Seguridad de los Sistemas OperativosProtección y Seguridad de los Sistemas Operativos
Protección y Seguridad de los Sistemas OperativosRichard J. Nuñez
 
La herramienta de desarrollo de agentes Jade
La herramienta de desarrollo de agentes JadeLa herramienta de desarrollo de agentes Jade
La herramienta de desarrollo de agentes Jadepcuestaesei
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases kyaalena
 
Estructuras (CAPAS) de un sistema operativo
Estructuras (CAPAS) de un sistema operativoEstructuras (CAPAS) de un sistema operativo
Estructuras (CAPAS) de un sistema operativoMarvin Romero
 
Plan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputoPlan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputomarily calderón lizana
 
Metodologia Kendall y Kendall (1.997)
Metodologia Kendall y Kendall (1.997)Metodologia Kendall y Kendall (1.997)
Metodologia Kendall y Kendall (1.997)RobertoCaniza
 
Mecanismos de seguridad informática
Mecanismos de seguridad informáticaMecanismos de seguridad informática
Mecanismos de seguridad informáticaJean Carlos Leon Vega
 

La actualidad más candente (20)

Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
 
Las diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datosLas diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datos
 
Actividad No. 4: Captura e Inyección de paquetes en redes WLAN
Actividad No. 4: Captura e Inyección de paquetes en redes WLANActividad No. 4: Captura e Inyección de paquetes en redes WLAN
Actividad No. 4: Captura e Inyección de paquetes en redes WLAN
 
Metodología para Sistemas de Información(MEDSI) por Jonas Montilva
Metodología para Sistemas de Información(MEDSI) por Jonas MontilvaMetodología para Sistemas de Información(MEDSI) por Jonas Montilva
Metodología para Sistemas de Información(MEDSI) por Jonas Montilva
 
Oracle
Oracle Oracle
Oracle
 
Tabla comparativa de Sistemas operativos móviles
Tabla comparativa de Sistemas operativos móvilesTabla comparativa de Sistemas operativos móviles
Tabla comparativa de Sistemas operativos móviles
 
Arquitectura del software
Arquitectura del softwareArquitectura del software
Arquitectura del software
 
Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas  Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas
 
Legislación informática
Legislación  informáticaLegislación  informática
Legislación informática
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
 
Plan de Contingencia Informatico
Plan de Contingencia InformaticoPlan de Contingencia Informatico
Plan de Contingencia Informatico
 
JAVA DATABASE CONNECTIVITY (JDBC)
  JAVA DATABASE CONNECTIVITY (JDBC)  JAVA DATABASE CONNECTIVITY (JDBC)
JAVA DATABASE CONNECTIVITY (JDBC)
 
Protección y Seguridad de los Sistemas Operativos
Protección y Seguridad de los Sistemas OperativosProtección y Seguridad de los Sistemas Operativos
Protección y Seguridad de los Sistemas Operativos
 
SQLite
SQLiteSQLite
SQLite
 
La herramienta de desarrollo de agentes Jade
La herramienta de desarrollo de agentes JadeLa herramienta de desarrollo de agentes Jade
La herramienta de desarrollo de agentes Jade
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases
 
Estructuras (CAPAS) de un sistema operativo
Estructuras (CAPAS) de un sistema operativoEstructuras (CAPAS) de un sistema operativo
Estructuras (CAPAS) de un sistema operativo
 
Plan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputoPlan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputo
 
Metodologia Kendall y Kendall (1.997)
Metodologia Kendall y Kendall (1.997)Metodologia Kendall y Kendall (1.997)
Metodologia Kendall y Kendall (1.997)
 
Mecanismos de seguridad informática
Mecanismos de seguridad informáticaMecanismos de seguridad informática
Mecanismos de seguridad informática
 

Similar a Actividad No. 1.11: SQL Injection con sqlmap en Kali Linux

Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0José Moreno
 
Actividad No. 1.8: Análisis del protocolo MySQL
Actividad No. 1.8: Análisis del protocolo MySQLActividad No. 1.8: Análisis del protocolo MySQL
Actividad No. 1.8: Análisis del protocolo MySQLFrancisco Medina
 
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali LinuxActividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali LinuxFrancisco Medina
 
Actividad No. 1.7: Creación de usuarios en MySQL
Actividad No. 1.7: Creación de usuarios en MySQLActividad No. 1.7: Creación de usuarios en MySQL
Actividad No. 1.7: Creación de usuarios en MySQLFrancisco Medina
 
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes Francisco Medina
 
Actividad No. 1.9: Auditoria de contraseñas en MySQL
Actividad No. 1.9: Auditoria de contraseñas en MySQLActividad No. 1.9: Auditoria de contraseñas en MySQL
Actividad No. 1.9: Auditoria de contraseñas en MySQLFrancisco Medina
 
Bases de Datos Distribuidas con Sql Server 2012
Bases de Datos Distribuidas con Sql Server 2012Bases de Datos Distribuidas con Sql Server 2012
Bases de Datos Distribuidas con Sql Server 2012Antonio Ortiz
 
Manual de instalcion my sql
Manual de instalcion my sqlManual de instalcion my sql
Manual de instalcion my sqlhugofermaga
 
Instalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuInstalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuDavid Vevelas
 
Paper injection sql_santiago_hidalgo_diego_jaramillo_victor_olalla_becket_toa...
Paper injection sql_santiago_hidalgo_diego_jaramillo_victor_olalla_becket_toa...Paper injection sql_santiago_hidalgo_diego_jaramillo_victor_olalla_becket_toa...
Paper injection sql_santiago_hidalgo_diego_jaramillo_victor_olalla_becket_toa...Becket Toapanta
 
Evaluación de Ataques tipo Inyección SQL a Ciegas a las Aplicaciones Web util...
Evaluación de Ataques tipo Inyección SQL a Ciegas a las Aplicaciones Web util...Evaluación de Ataques tipo Inyección SQL a Ciegas a las Aplicaciones Web util...
Evaluación de Ataques tipo Inyección SQL a Ciegas a las Aplicaciones Web util...beckett1
 
Actividad No. 1.6: Creación de bases de datos en MySQL
Actividad No. 1.6: Creación de bases de datos en MySQLActividad No. 1.6: Creación de bases de datos en MySQL
Actividad No. 1.6: Creación de bases de datos en MySQLFrancisco Medina
 
Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"Alonso Caballero
 
Actividad No. 1.13: Configuración acceso seguro al servidor de base de datos ...
Actividad No. 1.13: Configuración acceso seguro al servidor de base de datos ...Actividad No. 1.13: Configuración acceso seguro al servidor de base de datos ...
Actividad No. 1.13: Configuración acceso seguro al servidor de base de datos ...Francisco Medina
 
Actividad 1 Programación Net III
Actividad 1 Programación Net IIIActividad 1 Programación Net III
Actividad 1 Programación Net IIIJANETNuez5
 
Actividad No. 1.12: Crackeo de contraseña de MySQL
Actividad No. 1.12: Crackeo de contraseña de MySQLActividad No. 1.12: Crackeo de contraseña de MySQL
Actividad No. 1.12: Crackeo de contraseña de MySQLFrancisco Medina
 
Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Carlos Alderete
 

Similar a Actividad No. 1.11: SQL Injection con sqlmap en Kali Linux (20)

Articulo ieee ataque_i
Articulo ieee ataque_iArticulo ieee ataque_i
Articulo ieee ataque_i
 
Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0
 
Actividad No. 1.8: Análisis del protocolo MySQL
Actividad No. 1.8: Análisis del protocolo MySQLActividad No. 1.8: Análisis del protocolo MySQL
Actividad No. 1.8: Análisis del protocolo MySQL
 
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali LinuxActividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
 
Actividad No. 1.7: Creación de usuarios en MySQL
Actividad No. 1.7: Creación de usuarios en MySQLActividad No. 1.7: Creación de usuarios en MySQL
Actividad No. 1.7: Creación de usuarios en MySQL
 
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
 
Actividad No. 1.9: Auditoria de contraseñas en MySQL
Actividad No. 1.9: Auditoria de contraseñas en MySQLActividad No. 1.9: Auditoria de contraseñas en MySQL
Actividad No. 1.9: Auditoria de contraseñas en MySQL
 
Bases de Datos Distribuidas con Sql Server 2012
Bases de Datos Distribuidas con Sql Server 2012Bases de Datos Distribuidas con Sql Server 2012
Bases de Datos Distribuidas con Sql Server 2012
 
Manual de instalcion my sql
Manual de instalcion my sqlManual de instalcion my sql
Manual de instalcion my sql
 
Instalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuInstalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntu
 
Paper injection sql_santiago_hidalgo_diego_jaramillo_victor_olalla_becket_toa...
Paper injection sql_santiago_hidalgo_diego_jaramillo_victor_olalla_becket_toa...Paper injection sql_santiago_hidalgo_diego_jaramillo_victor_olalla_becket_toa...
Paper injection sql_santiago_hidalgo_diego_jaramillo_victor_olalla_becket_toa...
 
Evaluación de Ataques tipo Inyección SQL a Ciegas a las Aplicaciones Web util...
Evaluación de Ataques tipo Inyección SQL a Ciegas a las Aplicaciones Web util...Evaluación de Ataques tipo Inyección SQL a Ciegas a las Aplicaciones Web util...
Evaluación de Ataques tipo Inyección SQL a Ciegas a las Aplicaciones Web util...
 
Actividad No. 1.6: Creación de bases de datos en MySQL
Actividad No. 1.6: Creación de bases de datos en MySQLActividad No. 1.6: Creación de bases de datos en MySQL
Actividad No. 1.6: Creación de bases de datos en MySQL
 
Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"
 
Actividad No. 1.13: Configuración acceso seguro al servidor de base de datos ...
Actividad No. 1.13: Configuración acceso seguro al servidor de base de datos ...Actividad No. 1.13: Configuración acceso seguro al servidor de base de datos ...
Actividad No. 1.13: Configuración acceso seguro al servidor de base de datos ...
 
Actividad 1 Programación Net III
Actividad 1 Programación Net IIIActividad 1 Programación Net III
Actividad 1 Programación Net III
 
Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)
 
Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)
 
Actividad No. 1.12: Crackeo de contraseña de MySQL
Actividad No. 1.12: Crackeo de contraseña de MySQLActividad No. 1.12: Crackeo de contraseña de MySQL
Actividad No. 1.12: Crackeo de contraseña de MySQL
 
Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1
 

Más de Francisco Medina

Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaFrancisco Medina
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadFrancisco Medina
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadFrancisco Medina
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosFrancisco Medina
 
Por qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en InternetPor qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en InternetFrancisco Medina
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaFrancisco Medina
 
2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad Informática2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad InformáticaFrancisco Medina
 
Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1Francisco Medina
 
Caso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y ShellshockCaso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y ShellshockFrancisco Medina
 
Tema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las ComunicacionesTema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las ComunicacionesFrancisco Medina
 
Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2Francisco Medina
 
Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2Francisco Medina
 
Presentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de DatosPresentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de DatosFrancisco Medina
 
Módulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado EstructuradoMódulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado EstructuradoFrancisco Medina
 
Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.Francisco Medina
 

Más de Francisco Medina (20)

Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
 
2021 1 T4-Criptografía
2021 1 T4-Criptografía2021 1 T4-Criptografía
2021 1 T4-Criptografía
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de Riesgos
 
Por qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en InternetPor qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en Internet
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
 
Conociendo la Dark Web
Conociendo la Dark WebConociendo la Dark Web
Conociendo la Dark Web
 
2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad Informática2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad Informática
 
Tema 1. Active Directory
Tema 1. Active DirectoryTema 1. Active Directory
Tema 1. Active Directory
 
Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1
 
Caso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y ShellshockCaso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y Shellshock
 
Tema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las ComunicacionesTema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las Comunicaciones
 
2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad
 
Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2
 
Tema 1. Seguridad Física
Tema 1. Seguridad FísicaTema 1. Seguridad Física
Tema 1. Seguridad Física
 
Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2
 
Presentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de DatosPresentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de Datos
 
Módulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado EstructuradoMódulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado Estructurado
 
Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.
 

Último

EJEMPLO MODELO DE PLAN DE REFUERZO ESCOLAR.docx
EJEMPLO MODELO DE PLAN DE REFUERZO ESCOLAR.docxEJEMPLO MODELO DE PLAN DE REFUERZO ESCOLAR.docx
EJEMPLO MODELO DE PLAN DE REFUERZO ESCOLAR.docxFabianValenciaJabo
 
MODELO DE INFORME DE INDAGACION CIENTIFICA .docx
MODELO DE INFORME DE INDAGACION CIENTIFICA .docxMODELO DE INFORME DE INDAGACION CIENTIFICA .docx
MODELO DE INFORME DE INDAGACION CIENTIFICA .docxRAMON EUSTAQUIO CARO BAYONA
 
Mapa Mental de estrategias de articulación de las areas curriculares.pdf
Mapa Mental de estrategias de articulación de las areas curriculares.pdfMapa Mental de estrategias de articulación de las areas curriculares.pdf
Mapa Mental de estrategias de articulación de las areas curriculares.pdfvictorbeltuce
 
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptxc3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptxMartín Ramírez
 
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfTarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfManuel Molina
 
CUADERNILLO DE EJERCICIOS PARA EL TERCER TRIMESTRE, SEXTO GRADO
CUADERNILLO DE EJERCICIOS PARA EL TERCER TRIMESTRE, SEXTO GRADOCUADERNILLO DE EJERCICIOS PARA EL TERCER TRIMESTRE, SEXTO GRADO
CUADERNILLO DE EJERCICIOS PARA EL TERCER TRIMESTRE, SEXTO GRADOEveliaHernandez8
 
Presentacion minimalista aesthetic simple beige_20240415_224856_0000.pdf
Presentacion minimalista aesthetic simple beige_20240415_224856_0000.pdfPresentacion minimalista aesthetic simple beige_20240415_224856_0000.pdf
Presentacion minimalista aesthetic simple beige_20240415_224856_0000.pdfSarayLuciaSnchezFigu
 
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdfEstrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdfAlfredoRamirez953210
 
Fichas de Matemática TERCERO DE SECUNDARIA.pdf
Fichas de Matemática TERCERO DE SECUNDARIA.pdfFichas de Matemática TERCERO DE SECUNDARIA.pdf
Fichas de Matemática TERCERO DE SECUNDARIA.pdfssuser50d1252
 
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdf
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdfFisiologia.Articular. 3 Kapandji.6a.Ed.pdf
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdfcoloncopias5
 
PROGRAMACION ANUAL DE MATEMATICA 2024.docx
PROGRAMACION ANUAL DE MATEMATICA 2024.docxPROGRAMACION ANUAL DE MATEMATICA 2024.docx
PROGRAMACION ANUAL DE MATEMATICA 2024.docxEribertoPerezRamirez
 
libro para colorear de Peppa pig, ideal para educación inicial
libro para colorear de Peppa pig, ideal para educación iniciallibro para colorear de Peppa pig, ideal para educación inicial
libro para colorear de Peppa pig, ideal para educación inicialLorenaSanchez350426
 
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptxPresentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptxYeseniaRivera50
 
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...fcastellanos3
 
PLAN DE TUTORIA- PARA NIVEL PRIMARIA CUARTO GRADO
PLAN DE TUTORIA- PARA NIVEL PRIMARIA CUARTO GRADOPLAN DE TUTORIA- PARA NIVEL PRIMARIA CUARTO GRADO
PLAN DE TUTORIA- PARA NIVEL PRIMARIA CUARTO GRADOMARIBEL DIAZ
 

Último (20)

EJEMPLO MODELO DE PLAN DE REFUERZO ESCOLAR.docx
EJEMPLO MODELO DE PLAN DE REFUERZO ESCOLAR.docxEJEMPLO MODELO DE PLAN DE REFUERZO ESCOLAR.docx
EJEMPLO MODELO DE PLAN DE REFUERZO ESCOLAR.docx
 
MODELO DE INFORME DE INDAGACION CIENTIFICA .docx
MODELO DE INFORME DE INDAGACION CIENTIFICA .docxMODELO DE INFORME DE INDAGACION CIENTIFICA .docx
MODELO DE INFORME DE INDAGACION CIENTIFICA .docx
 
Mapa Mental de estrategias de articulación de las areas curriculares.pdf
Mapa Mental de estrategias de articulación de las areas curriculares.pdfMapa Mental de estrategias de articulación de las areas curriculares.pdf
Mapa Mental de estrategias de articulación de las areas curriculares.pdf
 
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptxc3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
 
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfTarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
 
TL/CNL – 2.ª FASE .
TL/CNL – 2.ª FASE                       .TL/CNL – 2.ª FASE                       .
TL/CNL – 2.ª FASE .
 
CUADERNILLO DE EJERCICIOS PARA EL TERCER TRIMESTRE, SEXTO GRADO
CUADERNILLO DE EJERCICIOS PARA EL TERCER TRIMESTRE, SEXTO GRADOCUADERNILLO DE EJERCICIOS PARA EL TERCER TRIMESTRE, SEXTO GRADO
CUADERNILLO DE EJERCICIOS PARA EL TERCER TRIMESTRE, SEXTO GRADO
 
Presentacion minimalista aesthetic simple beige_20240415_224856_0000.pdf
Presentacion minimalista aesthetic simple beige_20240415_224856_0000.pdfPresentacion minimalista aesthetic simple beige_20240415_224856_0000.pdf
Presentacion minimalista aesthetic simple beige_20240415_224856_0000.pdf
 
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdfEstrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
 
Fichas de Matemática TERCERO DE SECUNDARIA.pdf
Fichas de Matemática TERCERO DE SECUNDARIA.pdfFichas de Matemática TERCERO DE SECUNDARIA.pdf
Fichas de Matemática TERCERO DE SECUNDARIA.pdf
 
VISITA À PROTEÇÃO CIVIL _
VISITA À PROTEÇÃO CIVIL                  _VISITA À PROTEÇÃO CIVIL                  _
VISITA À PROTEÇÃO CIVIL _
 
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdf
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdfFisiologia.Articular. 3 Kapandji.6a.Ed.pdf
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdf
 
PROGRAMACION ANUAL DE MATEMATICA 2024.docx
PROGRAMACION ANUAL DE MATEMATICA 2024.docxPROGRAMACION ANUAL DE MATEMATICA 2024.docx
PROGRAMACION ANUAL DE MATEMATICA 2024.docx
 
Aedes aegypti + Intro to Coquies EE.pptx
Aedes aegypti + Intro to Coquies EE.pptxAedes aegypti + Intro to Coquies EE.pptx
Aedes aegypti + Intro to Coquies EE.pptx
 
La luz brilla en la oscuridad. Necesitamos luz
La luz brilla en la oscuridad. Necesitamos luzLa luz brilla en la oscuridad. Necesitamos luz
La luz brilla en la oscuridad. Necesitamos luz
 
libro para colorear de Peppa pig, ideal para educación inicial
libro para colorear de Peppa pig, ideal para educación iniciallibro para colorear de Peppa pig, ideal para educación inicial
libro para colorear de Peppa pig, ideal para educación inicial
 
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptxPresentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
 
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
 
PLAN DE TUTORIA- PARA NIVEL PRIMARIA CUARTO GRADO
PLAN DE TUTORIA- PARA NIVEL PRIMARIA CUARTO GRADOPLAN DE TUTORIA- PARA NIVEL PRIMARIA CUARTO GRADO
PLAN DE TUTORIA- PARA NIVEL PRIMARIA CUARTO GRADO
 
PPTX: La luz brilla en la oscuridad.pptx
PPTX: La luz brilla en la oscuridad.pptxPPTX: La luz brilla en la oscuridad.pptx
PPTX: La luz brilla en la oscuridad.pptx
 

Actividad No. 1.11: SQL Injection con sqlmap en Kali Linux

  • 1. Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Diplomado  Diseño,  Construcción  y  Administración  de  Redes  de  Datos   Módulo  6.  Seguridad  de  Bases  de  Datos     Elaboró:  Francisco  Medina  López     1   Actividad   No.   1.11:   SQL   Injection   con   sqlmap  en  Kali  Linux   Antecedentes     SQL  Injection  (SQLi)  es  el  ataque  vía  web  que  aprovecha  errores  en  la  validación  de   datos   introducidos   por   el   usuario,   y   que   permiten   a   un   atacante,   tener   control   de   cierta  aplicación.     El   origen   de   la   vulnerabilidad   radica   en   la   incorrecta   revisión   y/o   filtrado   de   las   variables  utilizadas  en  un  programa  que  contiene,  o  bien  genera,  código  SQL.  Es,  de   hecho,  un  error  de  una  clase  más  general  de  vulnerabilidades  que  puede  ocurrir  en   cualquier  lenguaje  de  programación  o  script  que  esté  embebido  dentro  de  otro.     Kali   Linux   es   una   distribución   de   Linux   avanzada   para   pruebas   de   penetración   y   auditorías  de  seguridad.  Es  una  completa  re-­‐construcción  de  BackTrack  Linux  que  se   adhiere  completamente  a  los  estándares  de  desarrollo  de  Debian.     SQLmap  es  una  herramienta  escrita  en  Python  que  se  encarga  de  realizar  peticiones  a   los  parámetros  de  una  URL  que  se  le  indiquen,  ya  sea  mediante  una  petición  GET  o   POST  buscando  que  la  aplicación  sea  vulnerable  a  una  posible  SQL  Injection  y  poder   explotarla.  Es  capaz  de  explotar  todo  tipo  de  SQLi  como  union-­‐base,  time-­‐base-­‐blind,   base-­‐blind-­‐injection,  heavy-­‐queries  entre  otros.     Requerimientos     Equipo   de   cómputo   con   el   sistema   operativo   Kali   Linux   correctamente   configurado   para  tener  acceso  a  la  Internet.     Servidor  web  objetivo  cuya  dirección  IP  será  proporcionada  por  el  instructor.  Para  el   caso   de   los   ejemplos   mostrados   en   este   documento   se   usará   la   dirección   IP   10.211.55.15  la  cual  deberá  ser  reemplazada  por  la  indicada  por  el  instructor.      
  • 2. Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Diplomado  Diseño,  Construcción  y  Administración  de  Redes  de  Datos   Módulo  6.  Seguridad  de  Bases  de  Datos     Elaboró:  Francisco  Medina  López     2   Instrucciones     1. Inicia  tu  equipo  de  cómputo  con  el  sistema  operativo  Kali  Linux  y  configura  los   parámetros  de  red  para  tener  acceso  a  la  Internet.   2. Abre  una  terminal  usando  el  ícono   ,  ubicado  en  el  panel  superior.         3. Ejecuta  el  siguiente  comando  en  la  terminal  (Recuerda  cambiar  la  dirección  IP   por  la  del  servidor  web  objetivo  indicada  por  el  instructor):     sqlmap  -­‐u  "http://10.211.55.15/cat.php?id=3"  -­‐-­‐dbs      
  • 3. Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Diplomado  Diseño,  Construcción  y  Administración  de  Redes  de  Datos   Módulo  6.  Seguridad  de  Bases  de  Datos     Elaboró:  Francisco  Medina  López     3   La  URL  /cat.php?id=3  fue  obtenida  por  el  escáner  de  vulnerabilidades  web   VEGA   en   la   Actividad   No.   1.10:   Análisis   de   vulnerabilidades   con   VEGA   en   Kali   Linux.     4. SQLmap  tratará  de  identificar  el  manejador  de  base  de  datos  utilizado  por  la   aplicación   web   ejecutándose   en   el   servidor   web   objetivo.   En   este   caso   determina  que  se  esta  utilizando  un  servidor  MySQL.  Presionar  la  tecla  Y  y  dar   Enter.           5. En   el   paso   siguiente,   SQLmap   nos   pregunta   si   deseamos   incluir   todas   las   pruebas  para  MySQL,  tecleamos  Enter  para  continuar.          
  • 4. Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Diplomado  Diseño,  Construcción  y  Administración  de  Redes  de  Datos   Módulo  6.  Seguridad  de  Bases  de  Datos     Elaboró:  Francisco  Medina  López     4     6.  SQLmap   identifica   que   la   variable   ‘id’   usada   por   la   aplicación   web   es   vulnerable   a   SQL   Injection.   Tecleamos   Enter   para   indicar   que   no   queremos   probar   otra   variable.     En   este   momento   SQLmap   realiza   el   ataque   de   SQL   Injection  y  logra  determinar  el  sistema  operativo  del  servidor  web  objetivo,  la   versión  del  servidor  web  empleado,  la  versión  del  manejador  de  base  de   datos  MySQL  en  ejecución  y  nos  muestra  las  dos  bases  de  datos  disponibles   en  el  servidor.                                                  
  • 5. Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Diplomado  Diseño,  Construcción  y  Administración  de  Redes  de  Datos   Módulo  6.  Seguridad  de  Bases  de  Datos     Elaboró:  Francisco  Medina  López     5     7. Una  vez  obtenido  el  nombre  de  las  bases  de  datos  disponibles  en  el  servidor,   vamos  a  indicar  a  SQLmap  que  obtenga  las  tablas  que  conforman  la  base  de   datos  photoblog,  para  ellos  ejecutamos  el  siguiente  comando:     sqlmap  -­‐u  "http://10.211.55.15/cat.php?id=3"  -­‐D  photoblog  -­‐-­‐tables                                                 Podemos  observar  que  la  base  de  datos  photoblog  tiene  tres  tablas:   • categories   • pictures   • users      
  • 6. Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Diplomado  Diseño,  Construcción  y  Administración  de  Redes  de  Datos   Módulo  6.  Seguridad  de  Bases  de  Datos     Elaboró:  Francisco  Medina  López     6     8. Una  vez  identificadas  las  tablas,  podemos  inferir  que  las  credenciales  de  acceso   a  la  aplicación  se  encuentran  en  la  tabla  users.  Para  realizar  una  consulta  y   mostrar  el  contenido  de  dicha  tabla,  ejecutamos  el  siguiente  comando:     sqlmap   -­‐u   "http://10.211.55.15/cat.php?id=3"   -­‐D   photoblog   -­‐T   users  -­‐-­‐columns                                                 El  resultado  de  la  ejecución  del  comando,  nos  permite  conocer  los  campos  de  la   tabla  user  dentro  de  la  base  de  datos  photoblog.      
  • 7. Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Diplomado  Diseño,  Construcción  y  Administración  de  Redes  de  Datos   Módulo  6.  Seguridad  de  Bases  de  Datos     Elaboró:  Francisco  Medina  López     7   9. Conociendo  el  nombre  de  la  columnas  de  la  tabla  users,  es  posible  hacer  una   consulta  para  obtener  el  contenido  de  la  tabla.  Para  ellos  tecleamos  el  siguiente   comando:     sqlmap   -­‐u   "http://10.211.55.15/cat.php?id=3"   -­‐D   photoblog   -­‐T   users  -­‐C  login,password  -­‐-­‐dump         10. SQLmap  logra  identificar  un  campo  cifrado  que  contiene  las  contraseñas  de  las   cuentas  de  la  tabla  users.  Presionamos  la  tecla  Y  y  Enter.       11. SQLmap   permite   intentar   obtener   las   contraseñas   usando   un   diccionarios,   para  utilizarlo  presionamos  la  tecla  Enter.    
  • 8. Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Diplomado  Diseño,  Construcción  y  Administración  de  Redes  de  Datos   Módulo  6.  Seguridad  de  Bases  de  Datos     Elaboró:  Francisco  Medina  López     8   12. El   siguiente   paso   consiste   en   indicar   la   ruta   al   diccionario   a   utilizar,   presionamos  la  tecla  Enter  para  utilizar  el  diccionario  por  Default  incluido  en   SQLmap.         13. A  continuación,  SQLmap  nos  pregunta  si  deseamos  usar  prefijos  comúnmente   utilizados   en   las   contraseñas.   Presionamos   la   tecla   Y   y   después   Enter   para   indicar  que  SI  queremos  usar  los  prefijos.                                                   14. Terminado  el  proceso,  SQLmap  obtiene  el  nombre  de  usuario  y  la  contraseña   almacenada  en  la  tabla  users  de  la  base  de  datos  photoblog.      
  • 9. Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Diplomado  Diseño,  Construcción  y  Administración  de  Redes  de  Datos   Módulo  6.  Seguridad  de  Bases  de  Datos     Elaboró:  Francisco  Medina  López     9     15. Introducimos   los   datos   obtenidos   en   la   aplicación   web   photoblog   desde   un   navegador  web.