SlideShare una empresa de Scribd logo

Aprendiz unad

Descargar como PPTX, PDF
D
davidalbanc

PRACTICA INDIVIDUAL

Educación
1 de 12
SEGURIDAD EN BASE DE DATOS PRESENTADO POR: DAVID ALEJANDRO ALBAN CRUZ C.C.1.143.827.466 FORO MOMENTO 2 GRUPAL UNIVERSIDAD NACIONAL ABIERTA A DISTANCIA – UNAD CIENCIAS BASICAS TECNOLOGÍA EN INGENIERIA EL BORDO, CAUCA 2014
INSTALACION DE VIRTUAL BOEXJETURAR SIGUIENTE NEXT SI INSTALAR LA INSTALACIÓN HA SIDO UN ÉXITO INSTALAND O VIRTUAL BOX
DENTRO DE LA MAQUINA VIRTUAL DAMOS CLIC EN NUEVO E INGRESAMOS LOS DATOS DE BADSTORE ENSEGUIDAD TE PIDE CONFIRMACION DE LA MEMORIA RAM EN ESTE CASO DE 128 MB PARA EL SERVIDOR
USAMOS UN DISCO DURO VIRTUAL DE ARANQUE EN LA MAQUINA VIRTUAL PUEDE CREAR UN NUEVO DISCO DURO O SELECCIONAR UNA LISTA DESPLEGABLE SI NESESITAS UN DISCO DURO CON MAYOR CAPACIDAD PUEDES OMITIR EL PASO EN LA SIGUIENTE OPCION DEVES ELEGIR DINAMICA EN ESTA OPCION NOS DEJA VER EL TAMAÑO QUE SE UTILIZARA EN NUESTRO DISCO DURO DENTRO LA MAQUINA VIRTUAL 50 MB CABE DESTACAR QUE ISO PESA 12MB ENSEGUIDA NEXT, LUEGO T ENEMOS QUE DARLE LA UBICACIÓN DE BADSTORE.ISO Y FINALIZIR PARA DAR INICIO CERRAR PARA QUE LA RED SEA MAS SEGURA NO DIRIGUIMOS A CONFIGURACIÓN/RED Y SELECONAMOS ASI: ACEPTA R
CUANDO LE DAMOS CLICK EN INICIAR ENPIEZA EL PROCESO DE INSTALACION DE BADSTORE SE MANEJA CONFIGURACION DHCP UNA VEZ TERMINE LA INSTALACION NOS MUESTRA LA CONSOLA DE NUESTRO SERVIDOR LUEGO LE DAMOS ENTER Y DIGITAMOS IPCONFIG
EL PROGRAMA SQLMAP SIRVE PARA REALIZAR ATAQUE POR INYECCIÓN DE CÓDIGO SQL SE INSTALA DE LA SIGUIENTE MANERA ABRIMO VIRTUAL BOX DEBEMOS TENER UN SISTEMA OPERATIVO INSTALADO EN LA MAQUNA UBUNTU ABRIMOS EL TERMINAL DE UBUNTU PARA INCIAR LA INSTALACION DIGITAMOS: SUDO -SH
CD /OPT APT-GET INSTALL GIT GIT CLONE GIF:// GITHUB.COM/SQLMAPPROJECT /SQL/SQLMAP.GIT DE ESTA MANERA HEMOS INGRESADO AL PROGRAMA SQLMAP
TO RUN IT ---- SUDO -SH ------- CD/OTP ----------- PYTHON SQLMAP. PY SQLMAP ES UNA HERRAMIENTA DE PRUEBAS DE PENETRACIÓN DE CÓDIGO ABIERTO QUE AUTOMATIZA EL PROCESO DE DETECTAR Y EXPLOTAR LOS ERRORES DE INYECCIÓN SQL Y HACERSE CARGO DE LOS SERVIDORES DE BASES DE DATOS. VIENE CON UN POTENTE MOTOR DE DETECCIÓN, MUCHAS CARACTERÍSTICAS DE NICHO PARA EL PROBADOR DE PENETRACIÓN MÁXIMA Y UNA AMPLIA GAMA DE INTERRUPTORES DE DURACIÓN DE LAS HUELLAS DACTILARES DE BASE DE DATOS, MÁS DE CAPTACIÓN DE DATOS DE LA BASE DE DATOS, PARA ACCEDER AL SISTEMA DE ARCHIVOS SUBYACENTE Y EJECUTAR COMANDOS EN EL SISTEMA OPERATIVO A TRAVÉS DE RESULTADOS DE BANDA CONEXIONES. SQL INJECTION ES UNA TÉCNICA DE ATAQUE A PAGINAS O APLICACIONES, QUE INTENTA INYECTAR CÓDIGO SQLDENTRO DE LA APLICACIÓN DESTINO, PARA ROMPER O ACCEDER A INFORMACIÓN. POR EJEMPLO CUANDO UNA WEB TIENE UN ÁREA DE INGRESO DE USUARIO O LOGIN USUALMENTE EL DESARROLLADOR PARA VALIDARLO, HACE LO SIGUIENTE: SELECT * FROM Users WHERE Username='usuario' AND Password='contraseña‘ SI LAS VARIABLES USUARIO Y CONTRASEÑA SE TOMAN DIRECTAMENTE DE EL FORMULARIO SIN NINGÚN TIPO DE ESCAPE DE CARACTERES Y SE INGRESAN EN LA CONSULTA, PODRÍAMOS HACER QUE EL USUARIO Y CONTRASEÑA TENGAN COMO VALOR ‘1’ OR ‘1’ = ‘1’. SELECT * FROM Users WHERE Username='1' OR '1' = '1' AND Password='1' OR '1′'= '1'
ATAQUE CON INYECCIÓN DE CÓDIGO SQL A SITIO WEB CONSISTE EN LA INSERCIÓN DE CÓDIGO SQL POR MEDIO DE LOS DATOS DE ENTRADA DESDE LA PARTE DEL CLIENTE HACIA LA APLICACIÓN. ES DECIR, POR MEDIO DE LA INSERCIÓN DE ESTE CÓDIGO EL ATACANTE PUEDE MODIFICAR LAS CONSULTAR ORIGINALES QUE DEBE REALIZAR LA APLICACIÓN Y EJECUTAR OTRAS TOTALMENTE DISTINTAS CON LA INTENCIÓN DE ACCEDER A LA HERRAMIENTA, OBTENER INFORMACIÓN DE ALGUNA DE LAS TABLAS O BORRAR LOS DATOS ALMACENADOS, ENTRE OTRAS MUCHAS COSAS A REALIIZAR EL LOGIN Y ENTRA AL SISTEMA DE INFORMACION SE ENVIA LA INFORMACION A UNA SENTENCIA SQL QUE SERÁ EJECUTADA CONTRA LA BASE DE DATOS DE LA APLICACIÓN EJM: • $sql = SELECT * FROM usuarios WHERE usuario = ‘$usuario’ and password = ‘$pass’; DIGAMOS QUE USUARIO: DavidAlbanc ---- CONTRASEÑA: Dav123 • $sql = SELECT * FROM usuarios WHERE usuario = ‘DavidAlbanc’ and password = ’Dan123′; COMO RESPUESTA DARA • $sql= SELECT * FROM usuarios WHERE usuario =
INFORMACION GENERAL DE LA BASE DE DATOS DATABASE "C:ARCHIVOS DE PROGRAMAFIREBIRDFIREBIRD_1_5HTTP://WWW.INPEC.GOV.CO:7777/SSO/JSP/LOGIN.JSP?SI TE2PSTORETOKEN", USER: SYSDBA SQL> NOMBRE DB TABLAS DE LA BD DESPCION DE LA BD • MYSQL> SELECT DATABASE(); +---------- --+ | DATABASE() | +---------- --+ | INPEC | • MYSQL> SHOW TABLES; • mysql> DESCRIBE pet; +---------+-------------+------+-----+--------- | Field | Type | Null | Key | Default | Extra | +---------+-------------+------+-----+--------- | name | varchar(20) | YES | | NULL | | | owner | varchar(20) | YES | | NULL | | | species | varchar(20) | YES | | NULL | | | sex | char(1) | YES | | NULL | | | birth | date | YES | | NULL | | | death | date | YES | | NULL | | +---------+-------------+------+-----+--------- +---------------------+ | TABLE DEL INPEC | +---------------------+ | EVENT | | PET |  CUAL ES SU SERVIDOR DE BASE DE DATOS MYSQL $DATABASE_HOST = "LOCALHOST";  CUAL ES EL NOMBRE DE LA BASE DE DATOS QUE ESTÁ USANDO $DATABASE_NAME = “INPEC DB";  CUAL ES EL NOMBRE DE USUARIO QUE ACCEDE A ESA BASE DE DATOS? $DATABASE_USER = “INPEC";  Y LA PALABRA CLAVE QUE USARÁ $DATABASE_PASSWORD = ‘INPEC123';
EL SOFTWARE WIRESHARK WIRESHARK POSEE UNA INTERFAZ GRÁFICA, LA CUAL FACILITA MUCHO SU USO, AUNQUE TAMBIÉN DISPONEMOS DE UNA VERSIÓN EN MODO TEXTO LLAMADA TSHARK. SELECCIONAREMOS LA INTERFAZ EN LA QUE QUERAMOS CAPTURAR. EN MI CASO ES WLAN0 SE CAPTURA MUCHO PAQUETES Y SE MANDA EL BROADCAST CADA 31 SEGUNDOS FILTRANDO POR DNS ESTAS PETICIONES LAS PODEMOS CONOCER APLICANDO EL FILTRO “HTTP.REQUEST“. DE ESTE MODO, PODREMOS CONOCER TODOS LOS GET Y POST QUE HAYAN SIDO REALIZADOS DURANTE LA CAPTURA.
CONCLUSION EN ESTA PRACTICA SE CONOCIÓ LA FUNCIONALIDAD E UTILIZACIÓN DE LOS PROGRAMAS QUE ANALIZAN EL TRAFICO DE LA RED: VIRTUAL BOX, BADSTORE, SQLMAP, WIRESHARK DONDE SE DOCUMENTO EN INTERNET ACERCA DEL MANEJO DE LOS SOFTWARE DONDE SE OBSERVARON LA CAPTURA DE LOS PAQUETES RESPECTIVOS Y ANALIZANDO OTRAS FUNCIONALIDADES APARTIR DE LA DOCUMENTACIÓN Y EL MANEJO DE LA HERRAMIENTA EN ESTA PRACTICA SE EVIDENCIO CON ILUSTRACIONES LAS CUALES DEMOSTRABAN LA FUNCIONALIDADES BÁSICAS COMO CAPTURA Y ANÁLISIS DE LOS PAQUETES EN SUS RESPECTIVOS APLICATIVOS SOLICITADO EN LA GUIA

Recomendados

Esquemas de seguridad para el servidor
Esquemas de seguridad para el servidorEsquemas de seguridad para el servidor
Esquemas de seguridad para el servidorAlberto Arredondo Infante
 
Vpn en forefront tmg 2010
Vpn en forefront tmg 2010Vpn en forefront tmg 2010
Vpn en forefront tmg 2010Andres Ldño
 
Encriptación asimétrica con GPG en Ubuntu
Encriptación asimétrica con GPG en UbuntuEncriptación asimétrica con GPG en Ubuntu
Encriptación asimétrica con GPG en UbuntuTotus Muertos
 
TMG CONFIGURACIÓN DE CLIENTE VPN
TMG CONFIGURACIÓN DE CLIENTE VPNTMG CONFIGURACIÓN DE CLIENTE VPN
TMG CONFIGURACIÓN DE CLIENTE VPNSaul Curitomay
 
Suse samba pdc_ldap
Suse samba pdc_ldapSuse samba pdc_ldap
Suse samba pdc_ldapAlberto Mayo Vega
 
VPN en TMG reglas
VPN en TMG reglasVPN en TMG reglas
VPN en TMG reglasPercy Quintanilla
 
Manual de instalacion de Servicio de archivos
Manual de instalacion de Servicio de archivosManual de instalacion de Servicio de archivos
Manual de instalacion de Servicio de archivosAndres Ldño
 
Sistemas rourter tp link
Sistemas rourter tp linkSistemas rourter tp link
Sistemas rourter tp linkAndrés Regalado Zúñiga
 

Recomendados

Esquemas de seguridad para el servidor
Esquemas de seguridad para el servidorEsquemas de seguridad para el servidor
Esquemas de seguridad para el servidorAlberto Arredondo Infante
 
Vpn en forefront tmg 2010
Vpn en forefront tmg 2010Vpn en forefront tmg 2010
Vpn en forefront tmg 2010Andres Ldño
 
Encriptación asimétrica con GPG en Ubuntu
Encriptación asimétrica con GPG en UbuntuEncriptación asimétrica con GPG en Ubuntu
Encriptación asimétrica con GPG en UbuntuTotus Muertos
 
TMG CONFIGURACIÓN DE CLIENTE VPN
TMG CONFIGURACIÓN DE CLIENTE VPNTMG CONFIGURACIÓN DE CLIENTE VPN
TMG CONFIGURACIÓN DE CLIENTE VPNSaul Curitomay
 
Suse samba pdc_ldap
Suse samba pdc_ldapSuse samba pdc_ldap
Suse samba pdc_ldapAlberto Mayo Vega
 
VPN en TMG reglas
VPN en TMG reglasVPN en TMG reglas
VPN en TMG reglasPercy Quintanilla
 
Manual de instalacion de Servicio de archivos
Manual de instalacion de Servicio de archivosManual de instalacion de Servicio de archivos
Manual de instalacion de Servicio de archivosAndres Ldño
 
Sistemas rourter tp link
Sistemas rourter tp linkSistemas rourter tp link
Sistemas rourter tp linkAndrés Regalado Zúñiga
 
Low budget video analysis
Low budget video analysisLow budget video analysis
Low budget video analysisZoe Franklin
 
Sexual harassment
Sexual harassmentSexual harassment
Sexual harassmentCatherineRincon
 
What is brain gate
What is brain gateWhat is brain gate
What is brain gatesaxenaagransh
 
Aprendiz unad
Aprendiz unadAprendiz unad
Aprendiz unaddavidalbanc
 
Ki kdklsviii-submitted22 april2013
Ki kdklsviii-submitted22 april2013Ki kdklsviii-submitted22 april2013
Ki kdklsviii-submitted22 april2013atika90
 
Presentación1
Presentación1Presentación1
Presentación1davidalbanc
 
Sexual harassment
Sexual harassmentSexual harassment
Sexual harassmentCatherineRincon
 
Cara posting-mitra-faliang
Cara posting-mitra-faliangCara posting-mitra-faliang
Cara posting-mitra-faliangMuhamad Anam
 
Sexual harassment
Sexual harassmentSexual harassment
Sexual harassmentCatherineRincon
 
SEGURIDAD EN REDES
SEGURIDAD EN REDESSEGURIDAD EN REDES
SEGURIDAD EN REDESdavidalbanc
 
Arzu instruction
Arzu instructionArzu instruction
Arzu instructionArzu Canalan
 
Lana del ray analysis A2
Lana del ray analysis A2Lana del ray analysis A2
Lana del ray analysis A2Zoe Franklin
 
Seguridad en base de datos
Seguridad en base de datosSeguridad en base de datos
Seguridad en base de datosdavidalbanc
 
Dons e ministérios
Dons e ministériosDons e ministérios
Dons e ministériosCristiane Lino Bucar
 
Sexual harassment
Sexual harassmentSexual harassment
Sexual harassmentCatherineRincon
 
Proyecto 6
Proyecto 6Proyecto 6
Proyecto 6Jose Luis Ruiz Perez
 
William fabricio manual de sistemas sas
William fabricio manual de sistemas sasWilliam fabricio manual de sistemas sas
William fabricio manual de sistemas sasRafael Toro
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Jose Gratereaux
 
Seguridad En Programación
Seguridad En ProgramaciónSeguridad En Programación
Seguridad En Programaciónvladimir calderon
 
Radius
RadiusRadius
Radiuscristiandsa
 
Java db2-documentacion-spanish v03
Java db2-documentacion-spanish v03Java db2-documentacion-spanish v03
Java db2-documentacion-spanish v03AaronVasco
 
Inyecciones sql para todos
Inyecciones sql para todosInyecciones sql para todos
Inyecciones sql para todoscsaralg
 

Más contenido relacionado

Destacado

Low budget video analysis
Low budget video analysisLow budget video analysis
Low budget video analysisZoe Franklin
 
Ki kdklsviii-submitted22 april2013
Ki kdklsviii-submitted22 april2013Ki kdklsviii-submitted22 april2013
Ki kdklsviii-submitted22 april2013atika90
 
Cara posting-mitra-faliang
Cara posting-mitra-faliangCara posting-mitra-faliang
Cara posting-mitra-faliangMuhamad Anam
 
SEGURIDAD EN REDES
SEGURIDAD EN REDESSEGURIDAD EN REDES
SEGURIDAD EN REDESdavidalbanc
 
Lana del ray analysis A2
Lana del ray analysis A2Lana del ray analysis A2
Lana del ray analysis A2Zoe Franklin
 
Seguridad en base de datos
Seguridad en base de datosSeguridad en base de datos
Seguridad en base de datosdavidalbanc
 

Destacado (15)

Low budget video analysis
Low budget video analysisLow budget video analysis
Low budget video analysis
 
Sexual harassment
Sexual harassmentSexual harassment
Sexual harassment
 
What is brain gate
What is brain gateWhat is brain gate
What is brain gate
 
Aprendiz unad
Aprendiz unadAprendiz unad
Aprendiz unad
 
Ki kdklsviii-submitted22 april2013
Ki kdklsviii-submitted22 april2013Ki kdklsviii-submitted22 april2013
Ki kdklsviii-submitted22 april2013
 
Presentación1
Presentación1Presentación1
Presentación1
 
Sexual harassment
Sexual harassmentSexual harassment
Sexual harassment
 
Cara posting-mitra-faliang
Cara posting-mitra-faliangCara posting-mitra-faliang
Cara posting-mitra-faliang
 
Sexual harassment
Sexual harassmentSexual harassment
Sexual harassment
 
SEGURIDAD EN REDES
SEGURIDAD EN REDESSEGURIDAD EN REDES
SEGURIDAD EN REDES
 
Arzu instruction
Arzu instructionArzu instruction
Arzu instruction
 
Lana del ray analysis A2
Lana del ray analysis A2Lana del ray analysis A2
Lana del ray analysis A2
 
Seguridad en base de datos
Seguridad en base de datosSeguridad en base de datos
Seguridad en base de datos
 
Dons e ministérios
Dons e ministériosDons e ministérios
Dons e ministérios
 
Sexual harassment
Sexual harassmentSexual harassment
Sexual harassment
 

Similar a Aprendiz unad

William fabricio manual de sistemas sas
William fabricio manual de sistemas sasWilliam fabricio manual de sistemas sas
William fabricio manual de sistemas sasRafael Toro
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Jose Gratereaux
 
Java db2-documentacion-spanish v03
Java db2-documentacion-spanish v03Java db2-documentacion-spanish v03
Java db2-documentacion-spanish v03AaronVasco
 
Inyecciones sql para todos
Inyecciones sql para todosInyecciones sql para todos
Inyecciones sql para todoscsaralg
 
Configurar servidor sql puerto 1433 y el oracle 1521 y sqlite administracion...
Configurar servidor sql puerto 1433 y el oracle 1521 y sqlite administracion...Configurar servidor sql puerto 1433 y el oracle 1521 y sqlite administracion...
Configurar servidor sql puerto 1433 y el oracle 1521 y sqlite administracion...Home
 
Instalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuInstalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuDavid Vevelas
 
Kkkkkkkkk Vvvvvvvvvvvvvvvvvvvv
Kkkkkkkkk VvvvvvvvvvvvvvvvvvvvKkkkkkkkk Vvvvvvvvvvvvvvvvvvvv
Kkkkkkkkk Vvvvvvvvvvvvvvvvvvvvkarensita220
 
Encripccion
EncripccionEncripccion
Encripccionvanesa
 
Kkkkkkkkk Vvvvvvvvvvvvvvvvvvvv
Kkkkkkkkk VvvvvvvvvvvvvvvvvvvvKkkkkkkkk Vvvvvvvvvvvvvvvvvvvv
Kkkkkkkkk Vvvvvvvvvvvvvvvvvvvvkarensita220
 
Encriptación parte 1
Encriptación parte 1Encriptación parte 1
Encriptación parte 1Mian Rosales
 
Portabilidad y transportabilidad
Portabilidad y transportabilidadPortabilidad y transportabilidad
Portabilidad y transportabilidadjuanmanuelsalgado
 
Replicación SQL Server 2008
Replicación SQL Server 2008Replicación SQL Server 2008
Replicación SQL Server 2008UTA
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3tantascosasquenose
 
DISEÑO E IMPLANTACIÓN DE UN ENTORNO DE TRABAJO
DISEÑO E IMPLANTACIÓN DE UN ENTORNO DE TRABAJODISEÑO E IMPLANTACIÓN DE UN ENTORNO DE TRABAJO
DISEÑO E IMPLANTACIÓN DE UN ENTORNO DE TRABAJOJavier Martin Rivero
 
Curso basicoseguridadweb slideshare7
Curso basicoseguridadweb slideshare7Curso basicoseguridadweb slideshare7
Curso basicoseguridadweb slideshare7tantascosasquenose
 
Conexión remota a base de datos con Oracle y MySQL
Conexión remota a base de datos con Oracle y MySQLConexión remota a base de datos con Oracle y MySQL
Conexión remota a base de datos con Oracle y MySQLIvan Luis Jimenez
 

Similar a Aprendiz unad (20)

Proyecto 6
Proyecto 6Proyecto 6
Proyecto 6
 
William fabricio manual de sistemas sas
William fabricio manual de sistemas sasWilliam fabricio manual de sistemas sas
William fabricio manual de sistemas sas
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5
 
Seguridad En Programación
Seguridad En ProgramaciónSeguridad En Programación
Seguridad En Programación
 
Radius
RadiusRadius
Radius
 
Java db2-documentacion-spanish v03
Java db2-documentacion-spanish v03Java db2-documentacion-spanish v03
Java db2-documentacion-spanish v03
 
Inyecciones sql para todos
Inyecciones sql para todosInyecciones sql para todos
Inyecciones sql para todos
 
Configurar servidor sql puerto 1433 y el oracle 1521 y sqlite administracion...
Configurar servidor sql puerto 1433 y el oracle 1521 y sqlite administracion...Configurar servidor sql puerto 1433 y el oracle 1521 y sqlite administracion...
Configurar servidor sql puerto 1433 y el oracle 1521 y sqlite administracion...
 
Semana 7 Despliegue a producción ORACLE OCI
Semana 7 Despliegue a producción ORACLE OCISemana 7 Despliegue a producción ORACLE OCI
Semana 7 Despliegue a producción ORACLE OCI
 
Instalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuInstalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntu
 
Kkkkkkkkk Vvvvvvvvvvvvvvvvvvvv
Kkkkkkkkk VvvvvvvvvvvvvvvvvvvvKkkkkkkkk Vvvvvvvvvvvvvvvvvvvv
Kkkkkkkkk Vvvvvvvvvvvvvvvvvvvv
 
Encripccion
EncripccionEncripccion
Encripccion
 
Kkkkkkkkk Vvvvvvvvvvvvvvvvvvvv
Kkkkkkkkk VvvvvvvvvvvvvvvvvvvvKkkkkkkkk Vvvvvvvvvvvvvvvvvvvv
Kkkkkkkkk Vvvvvvvvvvvvvvvvvvvv
 
Encriptación parte 1
Encriptación parte 1Encriptación parte 1
Encriptación parte 1
 
Portabilidad y transportabilidad
Portabilidad y transportabilidadPortabilidad y transportabilidad
Portabilidad y transportabilidad
 
Replicación SQL Server 2008
Replicación SQL Server 2008Replicación SQL Server 2008
Replicación SQL Server 2008
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3
 
DISEÑO E IMPLANTACIÓN DE UN ENTORNO DE TRABAJO
DISEÑO E IMPLANTACIÓN DE UN ENTORNO DE TRABAJODISEÑO E IMPLANTACIÓN DE UN ENTORNO DE TRABAJO
DISEÑO E IMPLANTACIÓN DE UN ENTORNO DE TRABAJO
 
Curso basicoseguridadweb slideshare7
Curso basicoseguridadweb slideshare7Curso basicoseguridadweb slideshare7
Curso basicoseguridadweb slideshare7
 
Conexión remota a base de datos con Oracle y MySQL
Conexión remota a base de datos con Oracle y MySQLConexión remota a base de datos con Oracle y MySQL
Conexión remota a base de datos con Oracle y MySQL
 

Último

Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoFundación YOD YOD
 
La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxJunkotantik
 
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docx
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docxGLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docx
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docxAleParedes11
 
codigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karinacodigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karinavergarakarina022
 
Herramientas de Inteligencia Artificial.pdf
Herramientas de Inteligencia Artificial.pdfHerramientas de Inteligencia Artificial.pdf
Herramientas de Inteligencia Artificial.pdfMARIAPAULAMAHECHAMOR
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.José Luis Palma
 
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxLINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxdanalikcruz2000
 
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...JAVIER SOLIS NOYOLA
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADOJosé Luis Palma
 
PRIMER SEMESTRE 2024 ASAMBLEA DEPARTAMENTAL.pptx
PRIMER SEMESTRE 2024 ASAMBLEA DEPARTAMENTAL.pptxPRIMER SEMESTRE 2024 ASAMBLEA DEPARTAMENTAL.pptx
PRIMER SEMESTRE 2024 ASAMBLEA DEPARTAMENTAL.pptxinformacionasapespu
 
2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdf2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdfBaker Publishing Company
 
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptxPPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptxOscarEduardoSanchezC
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arteRaquel Martín Contreras
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMarjorie Burga
 

Último (20)

Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativo
 
Unidad 3 | Teorías de la Comunicación | MCDI
Unidad 3 | Teorías de la Comunicación | MCDIUnidad 3 | Teorías de la Comunicación | MCDI
Unidad 3 | Teorías de la Comunicación | MCDI
 
La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptx
 
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docx
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docxGLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docx
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docx
 
codigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karinacodigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karina
 
Herramientas de Inteligencia Artificial.pdf
Herramientas de Inteligencia Artificial.pdfHerramientas de Inteligencia Artificial.pdf
Herramientas de Inteligencia Artificial.pdf
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.
 
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
 
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxLINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
 
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
 
PRIMER SEMESTRE 2024 ASAMBLEA DEPARTAMENTAL.pptx
PRIMER SEMESTRE 2024 ASAMBLEA DEPARTAMENTAL.pptxPRIMER SEMESTRE 2024 ASAMBLEA DEPARTAMENTAL.pptx
PRIMER SEMESTRE 2024 ASAMBLEA DEPARTAMENTAL.pptx
 
Razonamiento Matemático 1. Deta del año 2020
Razonamiento Matemático 1. Deta del año 2020Razonamiento Matemático 1. Deta del año 2020
Razonamiento Matemático 1. Deta del año 2020
 
2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdf2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdf
 
Sesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdfSesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdf
 
Defendamos la verdad. La defensa es importante.
Defendamos la verdad. La defensa es importante.Defendamos la verdad. La defensa es importante.
Defendamos la verdad. La defensa es importante.
 
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptxPPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arte
 
Unidad 4 | Teorías de las Comunicación | MCDI
Unidad 4 | Teorías de las Comunicación | MCDIUnidad 4 | Teorías de las Comunicación | MCDI
Unidad 4 | Teorías de las Comunicación | MCDI
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grande
 

Aprendiz unad

  • 1. SEGURIDAD EN BASE DE DATOS PRESENTADO POR: DAVID ALEJANDRO ALBAN CRUZ C.C.1.143.827.466 FORO MOMENTO 2 GRUPAL UNIVERSIDAD NACIONAL ABIERTA A DISTANCIA – UNAD CIENCIAS BASICAS TECNOLOGÍA EN INGENIERIA EL BORDO, CAUCA 2014
  • 2. INSTALACION DE VIRTUAL BOEXJETURAR SIGUIENTE NEXT SI INSTALAR LA INSTALACIÓN HA SIDO UN ÉXITO INSTALAND O VIRTUAL BOX
  • 3. DENTRO DE LA MAQUINA VIRTUAL DAMOS CLIC EN NUEVO E INGRESAMOS LOS DATOS DE BADSTORE ENSEGUIDAD TE PIDE CONFIRMACION DE LA MEMORIA RAM EN ESTE CASO DE 128 MB PARA EL SERVIDOR
  • 4. USAMOS UN DISCO DURO VIRTUAL DE ARANQUE EN LA MAQUINA VIRTUAL PUEDE CREAR UN NUEVO DISCO DURO O SELECCIONAR UNA LISTA DESPLEGABLE SI NESESITAS UN DISCO DURO CON MAYOR CAPACIDAD PUEDES OMITIR EL PASO EN LA SIGUIENTE OPCION DEVES ELEGIR DINAMICA EN ESTA OPCION NOS DEJA VER EL TAMAÑO QUE SE UTILIZARA EN NUESTRO DISCO DURO DENTRO LA MAQUINA VIRTUAL 50 MB CABE DESTACAR QUE ISO PESA 12MB ENSEGUIDA NEXT, LUEGO T ENEMOS QUE DARLE LA UBICACIÓN DE BADSTORE.ISO Y FINALIZIR PARA DAR INICIO CERRAR PARA QUE LA RED SEA MAS SEGURA NO DIRIGUIMOS A CONFIGURACIÓN/RED Y SELECONAMOS ASI: ACEPTA R
  • 5. CUANDO LE DAMOS CLICK EN INICIAR ENPIEZA EL PROCESO DE INSTALACION DE BADSTORE SE MANEJA CONFIGURACION DHCP UNA VEZ TERMINE LA INSTALACION NOS MUESTRA LA CONSOLA DE NUESTRO SERVIDOR LUEGO LE DAMOS ENTER Y DIGITAMOS IPCONFIG
  • 6. EL PROGRAMA SQLMAP SIRVE PARA REALIZAR ATAQUE POR INYECCIÓN DE CÓDIGO SQL SE INSTALA DE LA SIGUIENTE MANERA ABRIMO VIRTUAL BOX DEBEMOS TENER UN SISTEMA OPERATIVO INSTALADO EN LA MAQUNA UBUNTU ABRIMOS EL TERMINAL DE UBUNTU PARA INCIAR LA INSTALACION DIGITAMOS: SUDO -SH
  • 7. CD /OPT APT-GET INSTALL GIT GIT CLONE GIF:// GITHUB.COM/SQLMAPPROJECT /SQL/SQLMAP.GIT DE ESTA MANERA HEMOS INGRESADO AL PROGRAMA SQLMAP
  • 8. TO RUN IT ---- SUDO -SH ------- CD/OTP ----------- PYTHON SQLMAP. PY SQLMAP ES UNA HERRAMIENTA DE PRUEBAS DE PENETRACIÓN DE CÓDIGO ABIERTO QUE AUTOMATIZA EL PROCESO DE DETECTAR Y EXPLOTAR LOS ERRORES DE INYECCIÓN SQL Y HACERSE CARGO DE LOS SERVIDORES DE BASES DE DATOS. VIENE CON UN POTENTE MOTOR DE DETECCIÓN, MUCHAS CARACTERÍSTICAS DE NICHO PARA EL PROBADOR DE PENETRACIÓN MÁXIMA Y UNA AMPLIA GAMA DE INTERRUPTORES DE DURACIÓN DE LAS HUELLAS DACTILARES DE BASE DE DATOS, MÁS DE CAPTACIÓN DE DATOS DE LA BASE DE DATOS, PARA ACCEDER AL SISTEMA DE ARCHIVOS SUBYACENTE Y EJECUTAR COMANDOS EN EL SISTEMA OPERATIVO A TRAVÉS DE RESULTADOS DE BANDA CONEXIONES. SQL INJECTION ES UNA TÉCNICA DE ATAQUE A PAGINAS O APLICACIONES, QUE INTENTA INYECTAR CÓDIGO SQLDENTRO DE LA APLICACIÓN DESTINO, PARA ROMPER O ACCEDER A INFORMACIÓN. POR EJEMPLO CUANDO UNA WEB TIENE UN ÁREA DE INGRESO DE USUARIO O LOGIN USUALMENTE EL DESARROLLADOR PARA VALIDARLO, HACE LO SIGUIENTE: SELECT * FROM Users WHERE Username='usuario' AND Password='contraseña‘ SI LAS VARIABLES USUARIO Y CONTRASEÑA SE TOMAN DIRECTAMENTE DE EL FORMULARIO SIN NINGÚN TIPO DE ESCAPE DE CARACTERES Y SE INGRESAN EN LA CONSULTA, PODRÍAMOS HACER QUE EL USUARIO Y CONTRASEÑA TENGAN COMO VALOR ‘1’ OR ‘1’ = ‘1’. SELECT * FROM Users WHERE Username='1' OR '1' = '1' AND Password='1' OR '1′'= '1'
  • 9. ATAQUE CON INYECCIÓN DE CÓDIGO SQL A SITIO WEB CONSISTE EN LA INSERCIÓN DE CÓDIGO SQL POR MEDIO DE LOS DATOS DE ENTRADA DESDE LA PARTE DEL CLIENTE HACIA LA APLICACIÓN. ES DECIR, POR MEDIO DE LA INSERCIÓN DE ESTE CÓDIGO EL ATACANTE PUEDE MODIFICAR LAS CONSULTAR ORIGINALES QUE DEBE REALIZAR LA APLICACIÓN Y EJECUTAR OTRAS TOTALMENTE DISTINTAS CON LA INTENCIÓN DE ACCEDER A LA HERRAMIENTA, OBTENER INFORMACIÓN DE ALGUNA DE LAS TABLAS O BORRAR LOS DATOS ALMACENADOS, ENTRE OTRAS MUCHAS COSAS A REALIIZAR EL LOGIN Y ENTRA AL SISTEMA DE INFORMACION SE ENVIA LA INFORMACION A UNA SENTENCIA SQL QUE SERÁ EJECUTADA CONTRA LA BASE DE DATOS DE LA APLICACIÓN EJM: • $sql = SELECT * FROM usuarios WHERE usuario = ‘$usuario’ and password = ‘$pass’; DIGAMOS QUE USUARIO: DavidAlbanc ---- CONTRASEÑA: Dav123 • $sql = SELECT * FROM usuarios WHERE usuario = ‘DavidAlbanc’ and password = ’Dan123′; COMO RESPUESTA DARA • $sql= SELECT * FROM usuarios WHERE usuario =
  • 10. INFORMACION GENERAL DE LA BASE DE DATOS DATABASE "C:ARCHIVOS DE PROGRAMAFIREBIRDFIREBIRD_1_5HTTP://WWW.INPEC.GOV.CO:7777/SSO/JSP/LOGIN.JSP?SI TE2PSTORETOKEN", USER: SYSDBA SQL> NOMBRE DB TABLAS DE LA BD DESPCION DE LA BD • MYSQL> SELECT DATABASE(); +---------- --+ | DATABASE() | +---------- --+ | INPEC | • MYSQL> SHOW TABLES; • mysql> DESCRIBE pet; +---------+-------------+------+-----+--------- | Field | Type | Null | Key | Default | Extra | +---------+-------------+------+-----+--------- | name | varchar(20) | YES | | NULL | | | owner | varchar(20) | YES | | NULL | | | species | varchar(20) | YES | | NULL | | | sex | char(1) | YES | | NULL | | | birth | date | YES | | NULL | | | death | date | YES | | NULL | | +---------+-------------+------+-----+--------- +---------------------+ | TABLE DEL INPEC | +---------------------+ | EVENT | | PET |  CUAL ES SU SERVIDOR DE BASE DE DATOS MYSQL $DATABASE_HOST = "LOCALHOST";  CUAL ES EL NOMBRE DE LA BASE DE DATOS QUE ESTÁ USANDO $DATABASE_NAME = “INPEC DB";  CUAL ES EL NOMBRE DE USUARIO QUE ACCEDE A ESA BASE DE DATOS? $DATABASE_USER = “INPEC";  Y LA PALABRA CLAVE QUE USARÁ $DATABASE_PASSWORD = ‘INPEC123';
  • 11. EL SOFTWARE WIRESHARK WIRESHARK POSEE UNA INTERFAZ GRÁFICA, LA CUAL FACILITA MUCHO SU USO, AUNQUE TAMBIÉN DISPONEMOS DE UNA VERSIÓN EN MODO TEXTO LLAMADA TSHARK. SELECCIONAREMOS LA INTERFAZ EN LA QUE QUERAMOS CAPTURAR. EN MI CASO ES WLAN0 SE CAPTURA MUCHO PAQUETES Y SE MANDA EL BROADCAST CADA 31 SEGUNDOS FILTRANDO POR DNS ESTAS PETICIONES LAS PODEMOS CONOCER APLICANDO EL FILTRO “HTTP.REQUEST“. DE ESTE MODO, PODREMOS CONOCER TODOS LOS GET Y POST QUE HAYAN SIDO REALIZADOS DURANTE LA CAPTURA.
  • 12. CONCLUSION EN ESTA PRACTICA SE CONOCIÓ LA FUNCIONALIDAD E UTILIZACIÓN DE LOS PROGRAMAS QUE ANALIZAN EL TRAFICO DE LA RED: VIRTUAL BOX, BADSTORE, SQLMAP, WIRESHARK DONDE SE DOCUMENTO EN INTERNET ACERCA DEL MANEJO DE LOS SOFTWARE DONDE SE OBSERVARON LA CAPTURA DE LOS PAQUETES RESPECTIVOS Y ANALIZANDO OTRAS FUNCIONALIDADES APARTIR DE LA DOCUMENTACIÓN Y EL MANEJO DE LA HERRAMIENTA EN ESTA PRACTICA SE EVIDENCIO CON ILUSTRACIONES LAS CUALES DEMOSTRABAN LA FUNCIONALIDADES BÁSICAS COMO CAPTURA Y ANÁLISIS DE LOS PAQUETES EN SUS RESPECTIVOS APLICATIVOS SOLICITADO EN LA GUIA