SlideShare una empresa de Scribd logo

Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Informática

Descargar como DOCX, PDF
Jesús Daniel Mayo
Jesús Daniel Mayo

Este documento describe varias amenazas a las bases de datos, incluyendo inyecciones SQL, ataques de denegación de servicio (DoS) y ataques distribuidos de denegación de servicio (DDoS). Explica qué son estas amenazas, cómo funcionan y cómo se pueden implementar controles como filtrar peticiones, usar consultas preparadas y verificar datos para disminuir estos riesgos.

1 de 8
JESÚS DANIEL MAYO 18-11-17 [Amenaza a las Bases de Datos] Página 1 de 8 Evidencia Informe Amenaza a las Bases de Datos Aprendiz Jesús Daniel Mayo Vidal Instructora Mónica Yamile Burbano Criollo Actividad de Aprendizaje No.2 Gestión de la Seguridad Informática - 21720170 Centro De Electricidad Y Automatización Industrial - CEAI SENA Regional Valle – Cali, Colombia Sábado 18 de noviembre de 2017 SENA – Servicio Nacional de Aprendizaje
JESÚS DANIEL MAYO 18-11-17 [Amenaza a las Bases de Datos] Página 2 de 8 ¿Qué es una Inyección SQL? Una inyección SQL puede definirse cómounataque enel cual se inserta códigomaliciosoenlascadenasque posteriormente se pasan a una instancia de SQL para su análisis y ejecución, también se dice que existe o se produjo una inyección SQL cuando, de alguna manera, se inserta o "inyecta" código SQL invasor dentro del código SQL programado, a fin de alterar el funcionamientonormal del programa y lograr así que se ejecute la porción de código "invasor" incrustado, en la base de datos. Este tipo de intrusión normalmente es de carácter malicioso, dañino o espía, por tanto es un problema de seguridad informática, y debe ser tomado en cuenta por el programador de la aplicación para poder prevenirlo. Un programa elaborado con descuido, displicencia o con ignorancia del problema, podrá resultar ser vulnerable, y la seguridaddel sistema (base de datos) podrá quedar eventualmente comprometida. Por ejemplo, asumiendo que el siguiente código reside en una aplicación web y que existe un parámetro"nombreUsuario"que contiene el nombre de usuarioa consultar,una inyecciónSQLse podría provocar de la siguiente forma: El código SQL original y vulnerable es: consulta := "SELECT * FROM usuarios WHERE nombre = '" + nombreUsuario + "';" Si el operador escribe un nombre, por ejemplo "Alicia", nada anormal sucederá, la aplicación generaría una sentencia SQL similar a la siguiente, que es perfectamente correcta, en donde se seleccionarían todos los registros con el nombre "Alicia" en la base de datos: SELECT * FROMusuarios WHERE nombre = 'Alicia'; Pero si un operador malintencionado escribe como nombre de usuario a consultar: "Alicia'; DROP TABLE usuarios; SELECT * FROM datos WHERE nombre LIKE '%" (sinlascomillasexternas),se generaríalasiguiente consultaSQL,(el color verde esloque pretende el programador, el azul es el dato, y el rojo, el código SQL inyectado): SELECT * FROM usuarios WHERE nombre = 'Alicia'; DROP TABLE usuarios; SELECT * FROM datos WHERE nombre LIKE '%';
JESÚS DANIEL MAYO 18-11-17 [Amenaza a las Bases de Datos] Página 3 de 8 En la base de datos se ejecutaríala consultaenel ordendado, se seleccionaríantodoslosregistros con el nombre 'Alicia', se borraría la tabla 'usuarios' y finalmente se seleccionaría toda la tabla "datos", que no debería estar disponible para los usuarios web comunes. En resumen,cualquierdatode labasede datospuedequedardisponible paraserleídoomodificado por un usuario malintencionado. Nótese porqué se llama"Inyección"SQL.Si se observael códigomalicioso,de colorrojo,se notará que está insertado en el medio del código bueno, el verde. Así, el código rojo ha sido "inyectado" dentro del verde. ¿Cómo protegerse ante una Inyección SQL? La inyección SQL es fácil de evitar, por parte del programador, en la mayoría de los lenguajes de programación que permiten desarrollar aplicaciones web. Hay tres acciones básicas que te permitirán evadir estos ataques.  Limpia las peticiones de caracteres especiales Comohabéisvistoantes,lainyecciónhaanuladolaconsultadelcampocontraseñaagregándoleuna comilla simple, aunque también podría haber utilizado una comilla doble. Hay varias maneras de escapar de estos caracteres especiales, por ejemplo, en PHP tenemos la función mysql_real_scape_string() que habilitaque este tipode caracteresno interfieranenlafinalidadde la query en sí. PHP En el lenguaje PHP, hay diferentes funciones que pueden servir de ayuda para usar con distintos sistemas de gestión de bases de datos. Si se usa MySQL, la función a usar es: mysql_real_escape_string: $query_result= mysql_query("SELECT*FROMusuariosWHERE nombre= "" . mysql_real_escape_string($nombre_usuario) . """); Noobstante esmásrecomendadousaralternativasqueofrecenconsultaspreparadascomolaclase PDO. $statement = $pdo->prepare("SELECT * FROM usuarios WHERE nombre = :nombre"); $statement->bindParam(':nombre', $nombre_usuario); $statement->execute(); $result = $statement->fetch();  Delimita los valores en las consultas Usa comillassimplesparadelimitarcada valordentrode una consulta.Esto que parece de cajón,a muchos desarrolladores se les olvida. No es lo mismo, esto... SELECT * FROM usuarios WHERE id = $var ...que esto...
JESÚS DANIEL MAYO 18-11-17 [Amenaza a las Bases de Datos] Página 4 de 8 SELECT * FROM usuarios WHERE id = '$var'  Verifica siempre los datos enviados Comprueba que no haya caracteres extraños. Si el campo es un email, comprueba que lo enviado tenga el mismo formato que un email. Si es un número de teléfono, comprueba su longitud y su formatotambién. Si loque tieneque introducirel usuarioesunnúmeroentero,validaque estosea así. Es decir, verifica que los datos recibidos sean del tipo correcto. ¿Qué controles se podría implementar para disminuir estas amenazas? Se recomiendarealizaruna auditoriaanual de la configuraciónde la base de datos para encontrar posibles fallas en éstas y realizar mejoras que contribuyan al aumento de la seguridad de la información que en éstas se almacena. Tenerrespaldos (RAID) de laBase de datospara cuando se produzcan erroresde perdidade datos, para garantizar la integridad física de los datos. La tecnologíaRAID(RedundantArrayof IndependentDisks) oMatrizredundante de discos independientes, es un tipo de tecnología que se lo establece para que funcione redundantemente en los fallos que se vayan presentando. Seguridadde un SGBD enentornosweb:Debemosincluireste tipode control puestoque también hace parte de la seguridadde las basesde datos ya que los usuariosfinales interactúanconéstaa travésde lossiguientesprotocolos.Losservidoresproxys,cortafuegos,algoritmosde compendiode mensajesyfirmasdigitales,cerificadosdigitales,kerberos,SecuresocketsLayers(SSL) ysecure HTTP (HTTPS), secure electronic transactions (SET), etc. ¿Qué es un ataque DoS (Denial of Service)? SegúnWikipediaunataque de denegación de servicio, también llamado ataque DoS (porsus siglaseninglés),esunataque aun sistema de computadoras o red que causa que un servicioo recursosea inaccesiblea los usuarios legítimos. Normalmente provoca la pérdida de la conectividad con la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema atacado. DDoS son las siglas de Distributed Denial of Service. La traducción es “ataque distribuido denegación de servicio”, y traducido de nuevo significa que se ataca al servidor desde muchos ordenadores para que deje de funcionar.
JESÚS DANIEL MAYO 18-11-17 [Amenaza a las Bases de Datos] Página 5 de 8 Pero aun así estono nos guía mucho sobre lo que es un DDoS. Para explicarlovoya recurrir a una simple analogíaenlaque nuestroservidoresunauxiliarque atiende apersonasenunaventanilla. Nuestro auxiliar es muy eficiente y es capaz de atender a varias personasa la vez sin despeinarse: essu carga normal.Peroundía empiezanallegarcientosde personasalaventanillaapedirlecosas a nuestro auxiliar.Y como cualquier humano normal, cuando hay mucha gente dándole la lata no puede atender a todos y empieza a atender más lento de lo normal. Si viene todavía más gente probablemente acabe hastalasnarices,se marchará de la ventanillayya no atenderáa nadie más. En el servidorpasa lomismo:cuandohay demasiadaspeticionesse quedasinrecursos,se cuelgay dejade funcionar.Puedeque se apague directamente oque sólo deje de responderconexiones.De cualquierade lasdosformas,el servidornovolveráalanormalidadhastaque el ataquepare,yasea porque losatacantes han parado o porque se logradobloquearlasconexionesilegítimas(veremos más adelante cómo), y se re-arranque todo lo que haya dejado de funcionar. ¿Cómo se solucionaría esta problemática? Depende del ataque y del servidor. Los servidores se pueden proteger contra estos ataques con filtros que rechacen los paquetes mal formados o modificados con IPs falsas, de forma que al servidor sólo le llegan los paquetes legítimos. Por supuesto, las medidas no son infalibles y el servidor siempre puede acabar saturado si el ataque es suficientemente masivo y está bien preparado. Un ejemplode unataque DDoS real se muestraenel gráficode abajoen el que se puede observar la cantidad de tráfico que tiene que procesar el servidor cuando recibe uno de estos ataques. El tráfico durante el ataque (en verde) es tan grande que apenas se aprecia el tráfico normal del servidor. ¿Y qué ocurre cuando el servidor se satura? Simplemente deja de estar disponible durante un tiempo hasta que el ataque para. Es muy difícil que se produzcan daños físicos en el servidor. Además, el DDoS por sí sólo no permite entrar en el servidor: para ello es necesario aprovechar alguna vulnerabilidad, y eso no es nada fácil. Así que,básicamente,unDDoSsólopuede provocarlacaída de laweb,nadamás.Dependiendodel tipode webestopuede serunacatástrofe o no.Si la webgeneradinero(ventaonline,publicidad), el propietariodejade ganardineromientrasesawebestácaída. Imaginaoslaspérdidasque puede llegar a tener Amazon, por ejemplo, si su página está caída durante un día. ¿Qué controles se podría implementar para disminuir estas amenazas? Puestoque unataque DoS nocausa mayoresafectacionesaunservidorhablandodel componente físico,loque se recomiendaesloque semencionaarribaenel cuál se configurael servidorparaque
JESÚS DANIEL MAYO 18-11-17 [Amenaza a las Bases de Datos] Página 6 de 8 rechace laspeticionesde IPsfalsasparaque éstasnoseanprocesadasporel servidoryseacapazde poderbrindarle el servicioalosclienteslegítimos. Enel siguiete linkse puedeverunejemplode un ataque DDoS que sufrió la organización VideoLAN en sus servidores. La visualización que muestra estáhecha con el software Logstalgia. Cadaunode lospequeñospuntosde coloresesunapetición de acceso al servidor. Las que son del mismo color pertenecen al mismo host que las envía. A la derecha, vemos al servidor inundado de peticiones, tratando de servirlas todas (los puntos que rebotan de vuelta al host); los puntos que no recoge la paleta de la derecha y se pierden en la pantalla son el número de errores 404 que ven los usuarios que no pueden acceder.
JESÚS DANIEL MAYO 18-11-17 [Amenaza a las Bases de Datos] Página 7 de 8 Conclusión Las bases de datos han hecho avances significativos en el manejo de la información, varias de las aplicacionesquemanejamosennuestrodiariovivirrequierenconfidencialidad,poreso necesitamos modelos más sofisticados de seguridad, es por ellos que las entidades bancarias, médicas, departamentos gubernamentales, inteligencia militar, etc., requieren de mecanismos que sean capaces de garantizarlesel nivel de seguridadque éstosdemandan.Aunque laimplementaciónde seguridadmássofisticadanoestareafácil,debemoshacerelesfuerzoporlograrque nuestrosdatos estén completamente seguros.
JESÚS DANIEL MAYO 18-11-17 [Amenaza a las Bases de Datos] Página 8 de 8 Bibliografía ¿Qué esun ataque de denegaciónde servicio(DDos)?(18de 11 de 2017). Obtenidode Maestros del WEB: http://www.maestrosdelweb.com/ddos/ ¿Qué esuna InyecciónSQL?(18 de 11 de 2017). Obtenidode ICTEA: http://www.ictea.com/cs/knowledgebase.php?action=displayarticle&id=2112 Ataque de Denegaciónde Servicio.(18de 11 de 2017). Obtenidode Wikipedia: https://es.wikipedia.org/wiki/Ataque_de_denegación_de_servicio Inyecciónde CódigoSQL.(18 de 10 de 2017). Obtenidode Microsoft: https://technet.microsoft.com/es-es/library/ms161953(v=sql.105).aspx InyecciónSQL.(18 de 11 de 2017). Obtenidode Wikipedia: https://es.wikipedia.org/wiki/Inyección_SQL Son losataquesDDOSefectivoscomomediode protesta.(18de 11 de 2017). Obtenidode Genbeta:https://www.genbeta.com/web/son-los-ataques-ddos-efectivos-como-medio- de-protesta

Recomendados

Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0
José Moreno
 
INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)
toshko86
 
Sql injection
Sql injectionSql injection
Sql injection
Minoxx
 
Inyeccion sql
Inyeccion sqlInyeccion sql
Inyeccion sql
obispo28
 
Inyeccion de codigo
Inyeccion de codigoInyeccion de codigo
Inyeccion de codigo
Federico Hernández González
 
Inyección_sql
Inyección_sqlInyección_sql
Inyección_sql
jhom123
 
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Christian Martorella
 
Vulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones webVulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones web
RealTIC
 

Recomendados

Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0
José Moreno
 
INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)
toshko86
 
Sql injection
Sql injectionSql injection
Sql injection
Minoxx
 
Inyeccion sql
Inyeccion sqlInyeccion sql
Inyeccion sql
obispo28
 
Inyeccion de codigo
Inyeccion de codigoInyeccion de codigo
Inyeccion de codigo
Federico Hernández González
 
Inyección_sql
Inyección_sqlInyección_sql
Inyección_sql
jhom123
 
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Christian Martorella
 
Vulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones webVulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones web
RealTIC
 
Inyecciones SQL
Inyecciones SQLInyecciones SQL
Inyecciones SQL
Andy Gomez Soria
 
as
asas
as
Jesus Celestino
 
Inyección de código
Inyección de códigoInyección de código
Inyección de código
Carlos Arturo Fyuler
 
Administracion de seguridad
Administracion de seguridadAdministracion de seguridad
Administracion de seguridad
Vicente Alberca
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendices
Tensor
 
Asp seguridad
Asp seguridad Asp seguridad
Asp seguridad
gerardd98
 
Seguridad sql injection
Seguridad sql injectionSeguridad sql injection
Seguridad sql injection
Gary Briceño
 
Exploiting Web applications SQL Injection
Exploiting Web applications SQL InjectionExploiting Web applications SQL Injection
Exploiting Web applications SQL Injection
Conferencias FIST
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
seguridadelinux
 
Inyecciones sql para todos
Inyecciones sql para todosInyecciones sql para todos
Inyecciones sql para todos
csaralg
 
Seguridad en Base de Datos
Seguridad en Base de DatosSeguridad en Base de Datos
Seguridad en Base de Datos
myriam sarango
 
Ataques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseAtaques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerse
Supra Networks
 
Manual de instalcion my sql
Manual de instalcion my sqlManual de instalcion my sql
Manual de instalcion my sql
hugofermaga
 
Reporte de seguridad
Reporte de seguridadReporte de seguridad
Reporte de seguridad
Jorge García
 
Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)
Francisco José Cruz Jiménez
 
Cómo realizar un test de intrusión a una aplicación Web
Cómo realizar un test de intrusión a una aplicación WebCómo realizar un test de intrusión a una aplicación Web
Cómo realizar un test de intrusión a una aplicación Web
Eduardo Jalon
 
Presentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona SeguridadPresentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona Seguridad
guestbfa74a
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3
tantascosasquenose
 
Reporte de Seguridad
Reporte de SeguridadReporte de Seguridad
Reporte de Seguridad
kiensoiyo
 
Seguridad de aplicaciones web 2.0
Seguridad de aplicaciones web 2.0Seguridad de aplicaciones web 2.0
Seguridad de aplicaciones web 2.0
Pablo Viquez
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas web
Facultad de Ciencias y Sistemas
 
Riesgos de la informacion informatica
Riesgos de la informacion informaticaRiesgos de la informacion informatica
Riesgos de la informacion informatica
Yesid Orlando Orjuela Ramirez
 

Más contenido relacionado

La actualidad más candente

Inyecciones SQL
Inyecciones SQLInyecciones SQL
Inyecciones SQL
Andy Gomez Soria
 
as
asas
as
Jesus Celestino
 
Inyección de código
Inyección de códigoInyección de código
Inyección de código
Carlos Arturo Fyuler
 
Administracion de seguridad
Administracion de seguridadAdministracion de seguridad
Administracion de seguridad
Vicente Alberca
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendices
Tensor
 
Asp seguridad
Asp seguridad Asp seguridad
Asp seguridad
gerardd98
 
Seguridad sql injection
Seguridad sql injectionSeguridad sql injection
Seguridad sql injection
Gary Briceño
 
Exploiting Web applications SQL Injection
Exploiting Web applications SQL InjectionExploiting Web applications SQL Injection
Exploiting Web applications SQL Injection
Conferencias FIST
 

La actualidad más candente (8)

Inyecciones SQL
Inyecciones SQLInyecciones SQL
Inyecciones SQL
 
as
asas
as
 
Inyección de código
Inyección de códigoInyección de código
Inyección de código
 
Administracion de seguridad
Administracion de seguridadAdministracion de seguridad
Administracion de seguridad
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendices
 
Asp seguridad
Asp seguridad Asp seguridad
Asp seguridad
 
Seguridad sql injection
Seguridad sql injectionSeguridad sql injection
Seguridad sql injection
 
Exploiting Web applications SQL Injection
Exploiting Web applications SQL InjectionExploiting Web applications SQL Injection
Exploiting Web applications SQL Injection
 

Similar a Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Informática

Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
seguridadelinux
 
Inyecciones sql para todos
Inyecciones sql para todosInyecciones sql para todos
Inyecciones sql para todos
csaralg
 
Seguridad en Base de Datos
Seguridad en Base de DatosSeguridad en Base de Datos
Seguridad en Base de Datos
myriam sarango
 
Ataques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseAtaques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerse
Supra Networks
 
Manual de instalcion my sql
Manual de instalcion my sqlManual de instalcion my sql
Manual de instalcion my sql
hugofermaga
 
Reporte de seguridad
Reporte de seguridadReporte de seguridad
Reporte de seguridad
Jorge García
 
Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)
Francisco José Cruz Jiménez
 
Cómo realizar un test de intrusión a una aplicación Web
Cómo realizar un test de intrusión a una aplicación WebCómo realizar un test de intrusión a una aplicación Web
Cómo realizar un test de intrusión a una aplicación Web
Eduardo Jalon
 
Presentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona SeguridadPresentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona Seguridad
guestbfa74a
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3
tantascosasquenose
 
Reporte de Seguridad
Reporte de SeguridadReporte de Seguridad
Reporte de Seguridad
kiensoiyo
 
Seguridad de aplicaciones web 2.0
Seguridad de aplicaciones web 2.0Seguridad de aplicaciones web 2.0
Seguridad de aplicaciones web 2.0
Pablo Viquez
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas web
Facultad de Ciencias y Sistemas
 
Riesgos de la informacion informatica
Riesgos de la informacion informaticaRiesgos de la informacion informatica
Riesgos de la informacion informatica
Yesid Orlando Orjuela Ramirez
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datos
Angel Gom
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Alonso Caballero
 
Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"
Alonso Caballero
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones web
Jose Mato
 
Ciberseguridad y Seguridad Informática.pptx
Ciberseguridad y Seguridad Informática.pptxCiberseguridad y Seguridad Informática.pptx
Ciberseguridad y Seguridad Informática.pptx
bermudeznerhissaci00
 
Ciberseguridad y Seguridad Informática.pptx
Ciberseguridad y Seguridad Informática.pptxCiberseguridad y Seguridad Informática.pptx
Ciberseguridad y Seguridad Informática.pptx
bermudeznerhissaci00
 

Similar a Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Informática (20)

Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
 
Inyecciones sql para todos
Inyecciones sql para todosInyecciones sql para todos
Inyecciones sql para todos
 
Seguridad en Base de Datos
Seguridad en Base de DatosSeguridad en Base de Datos
Seguridad en Base de Datos
 
Ataques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseAtaques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerse
 
Manual de instalcion my sql
Manual de instalcion my sqlManual de instalcion my sql
Manual de instalcion my sql
 
Reporte de seguridad
Reporte de seguridadReporte de seguridad
Reporte de seguridad
 
Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)
 
Cómo realizar un test de intrusión a una aplicación Web
Cómo realizar un test de intrusión a una aplicación WebCómo realizar un test de intrusión a una aplicación Web
Cómo realizar un test de intrusión a una aplicación Web
 
Presentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona SeguridadPresentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona Seguridad
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3
 
Reporte de Seguridad
Reporte de SeguridadReporte de Seguridad
Reporte de Seguridad
 
Seguridad de aplicaciones web 2.0
Seguridad de aplicaciones web 2.0Seguridad de aplicaciones web 2.0
Seguridad de aplicaciones web 2.0
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas web
 
Riesgos de la informacion informatica
Riesgos de la informacion informaticaRiesgos de la informacion informatica
Riesgos de la informacion informatica
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datos
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
 
Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones web
 
Ciberseguridad y Seguridad Informática.pptx
Ciberseguridad y Seguridad Informática.pptxCiberseguridad y Seguridad Informática.pptx
Ciberseguridad y Seguridad Informática.pptx
 
Ciberseguridad y Seguridad Informática.pptx
Ciberseguridad y Seguridad Informática.pptxCiberseguridad y Seguridad Informática.pptx
Ciberseguridad y Seguridad Informática.pptx
 

Más de Jesús Daniel Mayo

Taller 1 tablas de la verdad - Jesus Mayo
Taller 1 tablas de la verdad - Jesus MayoTaller 1 tablas de la verdad - Jesus Mayo
Taller 1 tablas de la verdad - Jesus Mayo
Jesús Daniel Mayo
 
Informe de Trabajo Colaborativo
Informe de Trabajo ColaborativoInforme de Trabajo Colaborativo
Informe de Trabajo Colaborativo
Jesús Daniel Mayo
 
Foro Temático 'Aplicación de procedimientos para la solución de una situación...
Foro Temático 'Aplicación de procedimientos para la solución de una situación...Foro Temático 'Aplicación de procedimientos para la solución de una situación...
Foro Temático 'Aplicación de procedimientos para la solución de una situación...
Jesús Daniel Mayo
 
Foro Temático 'Fundamento y aplicación de estrategias matemáticas'
Foro Temático 'Fundamento y aplicación de estrategias matemáticas'Foro Temático 'Fundamento y aplicación de estrategias matemáticas'
Foro Temático 'Fundamento y aplicación de estrategias matemáticas'
Jesús Daniel Mayo
 
Estudio de Caso Actividad 1 - Razonamiento Cuantitativo Saber Pro
Estudio de Caso Actividad 1 - Razonamiento Cuantitativo Saber ProEstudio de Caso Actividad 1 - Razonamiento Cuantitativo Saber Pro
Estudio de Caso Actividad 1 - Razonamiento Cuantitativo Saber Pro
Jesús Daniel Mayo
 
Evaluación de Seguimiento - Redacción de Textos - Lectura Crítica
Evaluación de Seguimiento - Redacción de Textos - Lectura CríticaEvaluación de Seguimiento - Redacción de Textos - Lectura Crítica
Evaluación de Seguimiento - Redacción de Textos - Lectura Crítica
Jesús Daniel Mayo
 
Foro Temático - El Debate - Competencias Ciudadanas Saber Pro
Foro Temático - El Debate - Competencias Ciudadanas Saber ProForo Temático - El Debate - Competencias Ciudadanas Saber Pro
Foro Temático - El Debate - Competencias Ciudadanas Saber Pro
Jesús Daniel Mayo
 
Foro Temático - Marcando la diferencia - Competencias Ciudadanas Saber Pro
Foro Temático - Marcando la diferencia - Competencias Ciudadanas Saber ProForo Temático - Marcando la diferencia - Competencias Ciudadanas Saber Pro
Foro Temático - Marcando la diferencia - Competencias Ciudadanas Saber Pro
Jesús Daniel Mayo
 
Actividad 4 - Redes y Medios de Transmisión
Actividad 4 - Redes y Medios de TransmisiónActividad 4 - Redes y Medios de Transmisión
Actividad 4 - Redes y Medios de Transmisión
Jesús Daniel Mayo
 
Actividad 3 - Redes y Medios de Transmisión
Actividad 3 - Redes y Medios de TransmisiónActividad 3 - Redes y Medios de Transmisión
Actividad 3 - Redes y Medios de Transmisión
Jesús Daniel Mayo
 
Actividad 2 - Redes y Medios de Transmisión
Actividad 2 - Redes y Medios de TransmisiónActividad 2 - Redes y Medios de Transmisión
Actividad 2 - Redes y Medios de Transmisión
Jesús Daniel Mayo
 
Actividad 1 - Redes y Medios de Transmisión
Actividad 1 - Redes y Medios de TransmisiónActividad 1 - Redes y Medios de Transmisión
Actividad 1 - Redes y Medios de Transmisión
Jesús Daniel Mayo
 
Foro temático - El perfil del auditor - Gestión de la Seguridad Informática C...
Foro temático - El perfil del auditor - Gestión de la Seguridad Informática C...Foro temático - El perfil del auditor - Gestión de la Seguridad Informática C...
Foro temático - El perfil del auditor - Gestión de la Seguridad Informática C...
Jesús Daniel Mayo
 
Estudio de caso - Juliana y la Auditoría II - Gestión de la Seguridad Informá...
Estudio de caso - Juliana y la Auditoría II - Gestión de la Seguridad Informá...Estudio de caso - Juliana y la Auditoría II - Gestión de la Seguridad Informá...
Estudio de caso - Juliana y la Auditoría II - Gestión de la Seguridad Informá...
Jesús Daniel Mayo
 
Foto Temático 2 - La Auditoría Informática - Gestión de la Seguridad Informát...
Foto Temático 2 - La Auditoría Informática - Gestión de la Seguridad Informát...Foto Temático 2 - La Auditoría Informática - Gestión de la Seguridad Informát...
Foto Temático 2 - La Auditoría Informática - Gestión de la Seguridad Informát...
Jesús Daniel Mayo
 
Foro temático 1 - La Auditoría Informática - Gestión de la Seguridad Informát...
Foro temático 1 - La Auditoría Informática - Gestión de la Seguridad Informát...Foro temático 1 - La Auditoría Informática - Gestión de la Seguridad Informát...
Foro temático 1 - La Auditoría Informática - Gestión de la Seguridad Informát...
Jesús Daniel Mayo
 
Estudio de caso - Juliana y la Auditoría - Gestión de la Seguridad Informátic...
Estudio de caso - Juliana y la Auditoría - Gestión de la Seguridad Informátic...Estudio de caso - Juliana y la Auditoría - Gestión de la Seguridad Informátic...
Estudio de caso - Juliana y la Auditoría - Gestión de la Seguridad Informátic...
Jesús Daniel Mayo
 
Evidencia Informe “Análisis de caso Simón III” - Gestión de la Seguridad Info...
Evidencia Informe “Análisis de caso Simón III” - Gestión de la Seguridad Info...Evidencia Informe “Análisis de caso Simón III” - Gestión de la Seguridad Info...
Evidencia Informe “Análisis de caso Simón III” - Gestión de la Seguridad Info...
Jesús Daniel Mayo
 
Informe Análisis de caso Simón II - Gestión de la Seguridad Informática
Informe Análisis de caso Simón II - Gestión de la Seguridad InformáticaInforme Análisis de caso Simón II - Gestión de la Seguridad Informática
Informe Análisis de caso Simón II - Gestión de la Seguridad Informática
Jesús Daniel Mayo
 
Actividad - Amenazas a las bases de datos - Gestión de la Seguridad Informática
Actividad - Amenazas a las bases de datos - Gestión de la Seguridad InformáticaActividad - Amenazas a las bases de datos - Gestión de la Seguridad Informática
Actividad - Amenazas a las bases de datos - Gestión de la Seguridad Informática
Jesús Daniel Mayo
 

Más de Jesús Daniel Mayo (20)

Taller 1 tablas de la verdad - Jesus Mayo
Taller 1 tablas de la verdad - Jesus MayoTaller 1 tablas de la verdad - Jesus Mayo
Taller 1 tablas de la verdad - Jesus Mayo
 
Informe de Trabajo Colaborativo
Informe de Trabajo ColaborativoInforme de Trabajo Colaborativo
Informe de Trabajo Colaborativo
 
Foro Temático 'Aplicación de procedimientos para la solución de una situación...
Foro Temático 'Aplicación de procedimientos para la solución de una situación...Foro Temático 'Aplicación de procedimientos para la solución de una situación...
Foro Temático 'Aplicación de procedimientos para la solución de una situación...
 
Foro Temático 'Fundamento y aplicación de estrategias matemáticas'
Foro Temático 'Fundamento y aplicación de estrategias matemáticas'Foro Temático 'Fundamento y aplicación de estrategias matemáticas'
Foro Temático 'Fundamento y aplicación de estrategias matemáticas'
 
Estudio de Caso Actividad 1 - Razonamiento Cuantitativo Saber Pro
Estudio de Caso Actividad 1 - Razonamiento Cuantitativo Saber ProEstudio de Caso Actividad 1 - Razonamiento Cuantitativo Saber Pro
Estudio de Caso Actividad 1 - Razonamiento Cuantitativo Saber Pro
 
Evaluación de Seguimiento - Redacción de Textos - Lectura Crítica
Evaluación de Seguimiento - Redacción de Textos - Lectura CríticaEvaluación de Seguimiento - Redacción de Textos - Lectura Crítica
Evaluación de Seguimiento - Redacción de Textos - Lectura Crítica
 
Foro Temático - El Debate - Competencias Ciudadanas Saber Pro
Foro Temático - El Debate - Competencias Ciudadanas Saber ProForo Temático - El Debate - Competencias Ciudadanas Saber Pro
Foro Temático - El Debate - Competencias Ciudadanas Saber Pro
 
Foro Temático - Marcando la diferencia - Competencias Ciudadanas Saber Pro
Foro Temático - Marcando la diferencia - Competencias Ciudadanas Saber ProForo Temático - Marcando la diferencia - Competencias Ciudadanas Saber Pro
Foro Temático - Marcando la diferencia - Competencias Ciudadanas Saber Pro
 
Actividad 4 - Redes y Medios de Transmisión
Actividad 4 - Redes y Medios de TransmisiónActividad 4 - Redes y Medios de Transmisión
Actividad 4 - Redes y Medios de Transmisión
 
Actividad 3 - Redes y Medios de Transmisión
Actividad 3 - Redes y Medios de TransmisiónActividad 3 - Redes y Medios de Transmisión
Actividad 3 - Redes y Medios de Transmisión
 
Actividad 2 - Redes y Medios de Transmisión
Actividad 2 - Redes y Medios de TransmisiónActividad 2 - Redes y Medios de Transmisión
Actividad 2 - Redes y Medios de Transmisión
 
Actividad 1 - Redes y Medios de Transmisión
Actividad 1 - Redes y Medios de TransmisiónActividad 1 - Redes y Medios de Transmisión
Actividad 1 - Redes y Medios de Transmisión
 
Foro temático - El perfil del auditor - Gestión de la Seguridad Informática C...
Foro temático - El perfil del auditor - Gestión de la Seguridad Informática C...Foro temático - El perfil del auditor - Gestión de la Seguridad Informática C...
Foro temático - El perfil del auditor - Gestión de la Seguridad Informática C...
 
Estudio de caso - Juliana y la Auditoría II - Gestión de la Seguridad Informá...
Estudio de caso - Juliana y la Auditoría II - Gestión de la Seguridad Informá...Estudio de caso - Juliana y la Auditoría II - Gestión de la Seguridad Informá...
Estudio de caso - Juliana y la Auditoría II - Gestión de la Seguridad Informá...
 
Foto Temático 2 - La Auditoría Informática - Gestión de la Seguridad Informát...
Foto Temático 2 - La Auditoría Informática - Gestión de la Seguridad Informát...Foto Temático 2 - La Auditoría Informática - Gestión de la Seguridad Informát...
Foto Temático 2 - La Auditoría Informática - Gestión de la Seguridad Informát...
 
Foro temático 1 - La Auditoría Informática - Gestión de la Seguridad Informát...
Foro temático 1 - La Auditoría Informática - Gestión de la Seguridad Informát...Foro temático 1 - La Auditoría Informática - Gestión de la Seguridad Informát...
Foro temático 1 - La Auditoría Informática - Gestión de la Seguridad Informát...
 
Estudio de caso - Juliana y la Auditoría - Gestión de la Seguridad Informátic...
Estudio de caso - Juliana y la Auditoría - Gestión de la Seguridad Informátic...Estudio de caso - Juliana y la Auditoría - Gestión de la Seguridad Informátic...
Estudio de caso - Juliana y la Auditoría - Gestión de la Seguridad Informátic...
 
Evidencia Informe “Análisis de caso Simón III” - Gestión de la Seguridad Info...
Evidencia Informe “Análisis de caso Simón III” - Gestión de la Seguridad Info...Evidencia Informe “Análisis de caso Simón III” - Gestión de la Seguridad Info...
Evidencia Informe “Análisis de caso Simón III” - Gestión de la Seguridad Info...
 
Informe Análisis de caso Simón II - Gestión de la Seguridad Informática
Informe Análisis de caso Simón II - Gestión de la Seguridad InformáticaInforme Análisis de caso Simón II - Gestión de la Seguridad Informática
Informe Análisis de caso Simón II - Gestión de la Seguridad Informática
 
Actividad - Amenazas a las bases de datos - Gestión de la Seguridad Informática
Actividad - Amenazas a las bases de datos - Gestión de la Seguridad InformáticaActividad - Amenazas a las bases de datos - Gestión de la Seguridad Informática
Actividad - Amenazas a las bases de datos - Gestión de la Seguridad Informática
 

Último

Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdfPresentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
giampierdiaz5
 
Manual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputoManual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputo
doctorsoluciones34
 
TIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololoTIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololo
KukiiSanchez
 
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdfProjecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Festibity
 
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfqedublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
larapalaciosmonzon28
 
Inteligencia Artificial
Inteligencia ArtificialInteligencia Artificial
Inteligencia Artificial
YashiraPaye
 
El uso de las TIC por Cecilia Pozos S..pptx
El uso de las TIC por Cecilia Pozos S..pptxEl uso de las TIC por Cecilia Pozos S..pptx
El uso de las TIC por Cecilia Pozos S..pptx
cecypozos703
 
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdfProjecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Festibity
 
Manual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computoManual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computo
mantenimientocarbra6
 
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANOREVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
gisellearanguren1
 
Nuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsadNuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsad
larapalaciosmonzon28
 
Informació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdfInformació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdf
Festibity
 
Programming & Artificial Intelligence ebook.pdf
Programming & Artificial Intelligence ebook.pdfProgramming & Artificial Intelligence ebook.pdf
Programming & Artificial Intelligence ebook.pdf
Manuel Diaz
 
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdfPLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
70244530
 
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdfInformació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Festibity
 
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdfProjecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
Festibity
 
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
AMADO SALVADOR
 
Flows: Mejores Prácticas y Nuevos Features
Flows: Mejores Prácticas y Nuevos FeaturesFlows: Mejores Prácticas y Nuevos Features
Flows: Mejores Prácticas y Nuevos Features
Paola De la Torre
 
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDADEXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
AngelCristhianMB
 
625204013-64-Camino-a-----La-Lectura.pdf
625204013-64-Camino-a-----La-Lectura.pdf625204013-64-Camino-a-----La-Lectura.pdf
625204013-64-Camino-a-----La-Lectura.pdf
yuberpalma
 

Último (20)

Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdfPresentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
 
Manual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputoManual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputo
 
TIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololoTIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololo
 
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdfProjecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
 
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfqedublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
 
Inteligencia Artificial
Inteligencia ArtificialInteligencia Artificial
Inteligencia Artificial
 
El uso de las TIC por Cecilia Pozos S..pptx
El uso de las TIC por Cecilia Pozos S..pptxEl uso de las TIC por Cecilia Pozos S..pptx
El uso de las TIC por Cecilia Pozos S..pptx
 
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdfProjecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
Projecte Iniciativa TIC 2024 SOPRA STERIA. inCV.pdf
 
Manual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computoManual Web soporte y mantenimiento de equipo de computo
Manual Web soporte y mantenimiento de equipo de computo
 
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANOREVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
 
Nuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsadNuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsad
 
Informació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdfInformació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdf
 
Programming & Artificial Intelligence ebook.pdf
Programming & Artificial Intelligence ebook.pdfProgramming & Artificial Intelligence ebook.pdf
Programming & Artificial Intelligence ebook.pdf
 
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdfPLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
 
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdfInformació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
 
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdfProjecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
 
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
 
Flows: Mejores Prácticas y Nuevos Features
Flows: Mejores Prácticas y Nuevos FeaturesFlows: Mejores Prácticas y Nuevos Features
Flows: Mejores Prácticas y Nuevos Features
 
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDADEXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
 
625204013-64-Camino-a-----La-Lectura.pdf
625204013-64-Camino-a-----La-Lectura.pdf625204013-64-Camino-a-----La-Lectura.pdf
625204013-64-Camino-a-----La-Lectura.pdf
 

Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Informática

  • 1. JESÚS DANIEL MAYO 18-11-17 [Amenaza a las Bases de Datos] Página 1 de 8 Evidencia Informe Amenaza a las Bases de Datos Aprendiz Jesús Daniel Mayo Vidal Instructora Mónica Yamile Burbano Criollo Actividad de Aprendizaje No.2 Gestión de la Seguridad Informática - 21720170 Centro De Electricidad Y Automatización Industrial - CEAI SENA Regional Valle – Cali, Colombia Sábado 18 de noviembre de 2017 SENA – Servicio Nacional de Aprendizaje
  • 2. JESÚS DANIEL MAYO 18-11-17 [Amenaza a las Bases de Datos] Página 2 de 8 ¿Qué es una Inyección SQL? Una inyección SQL puede definirse cómounataque enel cual se inserta códigomaliciosoenlascadenasque posteriormente se pasan a una instancia de SQL para su análisis y ejecución, también se dice que existe o se produjo una inyección SQL cuando, de alguna manera, se inserta o "inyecta" código SQL invasor dentro del código SQL programado, a fin de alterar el funcionamientonormal del programa y lograr así que se ejecute la porción de código "invasor" incrustado, en la base de datos. Este tipo de intrusión normalmente es de carácter malicioso, dañino o espía, por tanto es un problema de seguridad informática, y debe ser tomado en cuenta por el programador de la aplicación para poder prevenirlo. Un programa elaborado con descuido, displicencia o con ignorancia del problema, podrá resultar ser vulnerable, y la seguridaddel sistema (base de datos) podrá quedar eventualmente comprometida. Por ejemplo, asumiendo que el siguiente código reside en una aplicación web y que existe un parámetro"nombreUsuario"que contiene el nombre de usuarioa consultar,una inyecciónSQLse podría provocar de la siguiente forma: El código SQL original y vulnerable es: consulta := "SELECT * FROM usuarios WHERE nombre = '" + nombreUsuario + "';" Si el operador escribe un nombre, por ejemplo "Alicia", nada anormal sucederá, la aplicación generaría una sentencia SQL similar a la siguiente, que es perfectamente correcta, en donde se seleccionarían todos los registros con el nombre "Alicia" en la base de datos: SELECT * FROMusuarios WHERE nombre = 'Alicia'; Pero si un operador malintencionado escribe como nombre de usuario a consultar: "Alicia'; DROP TABLE usuarios; SELECT * FROM datos WHERE nombre LIKE '%" (sinlascomillasexternas),se generaríalasiguiente consultaSQL,(el color verde esloque pretende el programador, el azul es el dato, y el rojo, el código SQL inyectado): SELECT * FROM usuarios WHERE nombre = 'Alicia'; DROP TABLE usuarios; SELECT * FROM datos WHERE nombre LIKE '%';
  • 3. JESÚS DANIEL MAYO 18-11-17 [Amenaza a las Bases de Datos] Página 3 de 8 En la base de datos se ejecutaríala consultaenel ordendado, se seleccionaríantodoslosregistros con el nombre 'Alicia', se borraría la tabla 'usuarios' y finalmente se seleccionaría toda la tabla "datos", que no debería estar disponible para los usuarios web comunes. En resumen,cualquierdatode labasede datospuedequedardisponible paraserleídoomodificado por un usuario malintencionado. Nótese porqué se llama"Inyección"SQL.Si se observael códigomalicioso,de colorrojo,se notará que está insertado en el medio del código bueno, el verde. Así, el código rojo ha sido "inyectado" dentro del verde. ¿Cómo protegerse ante una Inyección SQL? La inyección SQL es fácil de evitar, por parte del programador, en la mayoría de los lenguajes de programación que permiten desarrollar aplicaciones web. Hay tres acciones básicas que te permitirán evadir estos ataques.  Limpia las peticiones de caracteres especiales Comohabéisvistoantes,lainyecciónhaanuladolaconsultadelcampocontraseñaagregándoleuna comilla simple, aunque también podría haber utilizado una comilla doble. Hay varias maneras de escapar de estos caracteres especiales, por ejemplo, en PHP tenemos la función mysql_real_scape_string() que habilitaque este tipode caracteresno interfieranenlafinalidadde la query en sí. PHP En el lenguaje PHP, hay diferentes funciones que pueden servir de ayuda para usar con distintos sistemas de gestión de bases de datos. Si se usa MySQL, la función a usar es: mysql_real_escape_string: $query_result= mysql_query("SELECT*FROMusuariosWHERE nombre= "" . mysql_real_escape_string($nombre_usuario) . """); Noobstante esmásrecomendadousaralternativasqueofrecenconsultaspreparadascomolaclase PDO. $statement = $pdo->prepare("SELECT * FROM usuarios WHERE nombre = :nombre"); $statement->bindParam(':nombre', $nombre_usuario); $statement->execute(); $result = $statement->fetch();  Delimita los valores en las consultas Usa comillassimplesparadelimitarcada valordentrode una consulta.Esto que parece de cajón,a muchos desarrolladores se les olvida. No es lo mismo, esto... SELECT * FROM usuarios WHERE id = $var ...que esto...
  • 4. JESÚS DANIEL MAYO 18-11-17 [Amenaza a las Bases de Datos] Página 4 de 8 SELECT * FROM usuarios WHERE id = '$var'  Verifica siempre los datos enviados Comprueba que no haya caracteres extraños. Si el campo es un email, comprueba que lo enviado tenga el mismo formato que un email. Si es un número de teléfono, comprueba su longitud y su formatotambién. Si loque tieneque introducirel usuarioesunnúmeroentero,validaque estosea así. Es decir, verifica que los datos recibidos sean del tipo correcto. ¿Qué controles se podría implementar para disminuir estas amenazas? Se recomiendarealizaruna auditoriaanual de la configuraciónde la base de datos para encontrar posibles fallas en éstas y realizar mejoras que contribuyan al aumento de la seguridad de la información que en éstas se almacena. Tenerrespaldos (RAID) de laBase de datospara cuando se produzcan erroresde perdidade datos, para garantizar la integridad física de los datos. La tecnologíaRAID(RedundantArrayof IndependentDisks) oMatrizredundante de discos independientes, es un tipo de tecnología que se lo establece para que funcione redundantemente en los fallos que se vayan presentando. Seguridadde un SGBD enentornosweb:Debemosincluireste tipode control puestoque también hace parte de la seguridadde las basesde datos ya que los usuariosfinales interactúanconéstaa travésde lossiguientesprotocolos.Losservidoresproxys,cortafuegos,algoritmosde compendiode mensajesyfirmasdigitales,cerificadosdigitales,kerberos,SecuresocketsLayers(SSL) ysecure HTTP (HTTPS), secure electronic transactions (SET), etc. ¿Qué es un ataque DoS (Denial of Service)? SegúnWikipediaunataque de denegación de servicio, también llamado ataque DoS (porsus siglaseninglés),esunataque aun sistema de computadoras o red que causa que un servicioo recursosea inaccesiblea los usuarios legítimos. Normalmente provoca la pérdida de la conectividad con la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema atacado. DDoS son las siglas de Distributed Denial of Service. La traducción es “ataque distribuido denegación de servicio”, y traducido de nuevo significa que se ataca al servidor desde muchos ordenadores para que deje de funcionar.
  • 5. JESÚS DANIEL MAYO 18-11-17 [Amenaza a las Bases de Datos] Página 5 de 8 Pero aun así estono nos guía mucho sobre lo que es un DDoS. Para explicarlovoya recurrir a una simple analogíaenlaque nuestroservidoresunauxiliarque atiende apersonasenunaventanilla. Nuestro auxiliar es muy eficiente y es capaz de atender a varias personasa la vez sin despeinarse: essu carga normal.Peroundía empiezanallegarcientosde personasalaventanillaapedirlecosas a nuestro auxiliar.Y como cualquier humano normal, cuando hay mucha gente dándole la lata no puede atender a todos y empieza a atender más lento de lo normal. Si viene todavía más gente probablemente acabe hastalasnarices,se marchará de la ventanillayya no atenderáa nadie más. En el servidorpasa lomismo:cuandohay demasiadaspeticionesse quedasinrecursos,se cuelgay dejade funcionar.Puedeque se apague directamente oque sólo deje de responderconexiones.De cualquierade lasdosformas,el servidornovolveráalanormalidadhastaque el ataquepare,yasea porque losatacantes han parado o porque se logradobloquearlasconexionesilegítimas(veremos más adelante cómo), y se re-arranque todo lo que haya dejado de funcionar. ¿Cómo se solucionaría esta problemática? Depende del ataque y del servidor. Los servidores se pueden proteger contra estos ataques con filtros que rechacen los paquetes mal formados o modificados con IPs falsas, de forma que al servidor sólo le llegan los paquetes legítimos. Por supuesto, las medidas no son infalibles y el servidor siempre puede acabar saturado si el ataque es suficientemente masivo y está bien preparado. Un ejemplode unataque DDoS real se muestraenel gráficode abajoen el que se puede observar la cantidad de tráfico que tiene que procesar el servidor cuando recibe uno de estos ataques. El tráfico durante el ataque (en verde) es tan grande que apenas se aprecia el tráfico normal del servidor. ¿Y qué ocurre cuando el servidor se satura? Simplemente deja de estar disponible durante un tiempo hasta que el ataque para. Es muy difícil que se produzcan daños físicos en el servidor. Además, el DDoS por sí sólo no permite entrar en el servidor: para ello es necesario aprovechar alguna vulnerabilidad, y eso no es nada fácil. Así que,básicamente,unDDoSsólopuede provocarlacaída de laweb,nadamás.Dependiendodel tipode webestopuede serunacatástrofe o no.Si la webgeneradinero(ventaonline,publicidad), el propietariodejade ganardineromientrasesawebestácaída. Imaginaoslaspérdidasque puede llegar a tener Amazon, por ejemplo, si su página está caída durante un día. ¿Qué controles se podría implementar para disminuir estas amenazas? Puestoque unataque DoS nocausa mayoresafectacionesaunservidorhablandodel componente físico,loque se recomiendaesloque semencionaarribaenel cuál se configurael servidorparaque
  • 6. JESÚS DANIEL MAYO 18-11-17 [Amenaza a las Bases de Datos] Página 6 de 8 rechace laspeticionesde IPsfalsasparaque éstasnoseanprocesadasporel servidoryseacapazde poderbrindarle el servicioalosclienteslegítimos. Enel siguiete linkse puedeverunejemplode un ataque DDoS que sufrió la organización VideoLAN en sus servidores. La visualización que muestra estáhecha con el software Logstalgia. Cadaunode lospequeñospuntosde coloresesunapetición de acceso al servidor. Las que son del mismo color pertenecen al mismo host que las envía. A la derecha, vemos al servidor inundado de peticiones, tratando de servirlas todas (los puntos que rebotan de vuelta al host); los puntos que no recoge la paleta de la derecha y se pierden en la pantalla son el número de errores 404 que ven los usuarios que no pueden acceder.
  • 7. JESÚS DANIEL MAYO 18-11-17 [Amenaza a las Bases de Datos] Página 7 de 8 Conclusión Las bases de datos han hecho avances significativos en el manejo de la información, varias de las aplicacionesquemanejamosennuestrodiariovivirrequierenconfidencialidad,poreso necesitamos modelos más sofisticados de seguridad, es por ellos que las entidades bancarias, médicas, departamentos gubernamentales, inteligencia militar, etc., requieren de mecanismos que sean capaces de garantizarlesel nivel de seguridadque éstosdemandan.Aunque laimplementaciónde seguridadmássofisticadanoestareafácil,debemoshacerelesfuerzoporlograrque nuestrosdatos estén completamente seguros.
  • 8. JESÚS DANIEL MAYO 18-11-17 [Amenaza a las Bases de Datos] Página 8 de 8 Bibliografía ¿Qué esun ataque de denegaciónde servicio(DDos)?(18de 11 de 2017). Obtenidode Maestros del WEB: http://www.maestrosdelweb.com/ddos/ ¿Qué esuna InyecciónSQL?(18 de 11 de 2017). Obtenidode ICTEA: http://www.ictea.com/cs/knowledgebase.php?action=displayarticle&id=2112 Ataque de Denegaciónde Servicio.(18de 11 de 2017). Obtenidode Wikipedia: https://es.wikipedia.org/wiki/Ataque_de_denegación_de_servicio Inyecciónde CódigoSQL.(18 de 10 de 2017). Obtenidode Microsoft: https://technet.microsoft.com/es-es/library/ms161953(v=sql.105).aspx InyecciónSQL.(18 de 11 de 2017). Obtenidode Wikipedia: https://es.wikipedia.org/wiki/Inyección_SQL Son losataquesDDOSefectivoscomomediode protesta.(18de 11 de 2017). Obtenidode Genbeta:https://www.genbeta.com/web/son-los-ataques-ddos-efectivos-como-medio- de-protesta