SlideShare una empresa de Scribd logo

Inyecciones SQL

Descargar como PPTX, PDF
Andy Gomez Soria
Andy Gomez Soria

Una inyección SQL es un ataque cibernético que ocurre cuando código SQL malicioso es insertado en una entrada de datos de una aplicación web de forma que se ejecuta en la base de datos subyacente. Esto puede permitir a un atacante ver datos confidenciales, modificar bases de datos o incluso ejecutar comandos arbitrarios en el servidor de la base de datos. El documento describe cómo funcionan las inyecciones SQL, sus características y consecuencias, y ofrece recomendaciones como el uso de procedimientos almacenados para prevenir

Educación
1 de 10
INYECCIONES SQL GRUPO: ANDY PAÚL GÓMEZ SORIA KEVIN JEXAEL QUINTEROS CHIRE
¿Qué es una Inyección SQL? Es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos. Se dice que existe o se produjo una inyección SQL cuando, de alguna manera se inserta o “inyecta” código SQL invasor dentro del código SQL programado, a fin de alterar el funcionamiento normal del programa y lograr así que se ejecute la porción de código “invasor” incrustado en la base de datos.
Características  Un programa “arma descuidadamente” una sentencia SQL en tiempo de ejecución.  Durante la fase de desarrollo del programa o página web, al ejecutarse una sentencia T-SQL de una manera abierta, es un bug que se puede aprovechar por el hacker.  Siempre que el programador necesite y haga uso de parámetros a ingresar por parte del usuario, a efectos de consultar una base de datos; ya que, justamente dentro de los parámetros es donde se puede incorporar el código SQL intruso.
Consecuencias Algunas de las consecuencias de estas Inyecciones SQL es el tiempo dedicado al programa o página web, es decir; no tratar de Encriptar el código usado para el desarrollo, sin la necesidad de usar la lógica para evitar esos ataques. Esta dado también, que al realizar una aplicación o pagina web en mínimo costo, es definido por el desarrollador tratar de considerar este tipo de seguridad y evitar estos ataques.
Recomendaciones Es recomendable analizar el trabajo para realizar la aplicación o la página web, es decir, considerar las posibilidades de ataques al trabajo final. Es recomendable, también, usar código clasificado al momento de considerar posibles ataques, y conocer ampliamente todo tipo de código para que pueda ser de un funcionamiento eficiente para el cliente, y el servidor.
Ejemplo de SQL injection en una Web Tenemos una aplicación Web (realizada en ASP) en la que el acceso a ciertas secciones está restringido. Para restringir ese acceso creamos una tabla de usuarios y contraseñas y sólo los usuarios que se validen contra esa tabla podrán acceder a esos contenidos. Una manera de que los usuarios se validen será colocar un par de cuadros de texto en nuestra página Web (por ejemplo txtUsuario y txtPassword) donde puedan introducir su nombre y su contraseña y enviar ese par usuario/contraseña a la base de datos para comprobar si es
Usuarios Password ADMIN 1234 USUARIO 9876 Primero creamos la tabla que vamos a usar y la rellenamos con datos: Si el usuario escribe Admin y 1234 la sentencia creada será: Como esta sentencia nos devuelve un registro, dejaremos que el usuario entre en la Web. Si el usuario escribe por ejemplo ‘Admin’ y de contraseña cualquier otra cosa, la sentencia no nos devolverá registros y no permitiremos entrar a esa persona. SELECT Count(*) FROM Usuarios WHERE Usuario=’Admin’ AND Password=’1234’”
Pero ¿qué ocurre si el usuario escribe ‘ or ’1′=’1 como usuario y lo mismo de contraseña? En este caso la variable Consulta contendrá la cadena: Y obviamente esta sentencia nos devuelve registros con lo que el usuario entrará en nuestra Web sin tener permiso. Pero esto no es lo peor. Lo peor será que el usuario utilice estos trucos de inyección de SQL para ejecutar código arbitrario en nuestro servidor. Sentencias DDL, cambiar permisos, utilizar procedimientos almacenados, etc. "SELECT Count(*) FROM Usuarios WHERE Usuario = '' or '1'='1' AND password = '' or '1'='1'"
Otro factor importante en cuanto a la seguridad es limitar al máximo los permisos del usuario que ejecuta estas sentencias para evitar posibles problemas. Por ejemplo utilizando un usuario distinto para las sentencias SELECT, DELETE, UPDATE y asegurándonos que cada ejecución de una sentencia ejecute una sentencia del tipo permitido. Por supuesto utilizar el usuario ‘SA’ o uno que pertenezca al rol ‘db_owner’ para ejecutar las sentencias de uso habitual de la base de datos debería quedar descartado. Una solución definitiva sería trabajar con procedimientos almacenados. El modo en el que se pasan los parámetros a los procedimientos almacenados evita que la inyección SQL pueda ser usada. Por ejemplo utilizando el siguiente procedimiento almacenado:
FUENTE:

Recomendados

Inyección_sql
Inyección_sqlInyección_sql
Inyección_sql
jhom123
 
Inyeccion sql
Inyeccion sqlInyeccion sql
Inyeccion sqlobispo28
 
Sql injection
Sql injectionSql injection
Sql injectionMinoxx
 
INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)
toshko86
 
Seguridad sql injection
Seguridad sql injectionSeguridad sql injection
Seguridad sql injection
Gary Briceño
 
Inyeccion de codigo
Inyeccion de codigoInyeccion de codigo
Inyeccion de codigoFederico Hernández González
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendices
Tensor
 
Inyección sql1
Inyección sql1Inyección sql1
Inyección sql1piolincita89
 

Recomendados

Inyección_sql
Inyección_sqlInyección_sql
Inyección_sql
jhom123
 
Inyeccion sql
Inyeccion sqlInyeccion sql
Inyeccion sqlobispo28
 
Sql injection
Sql injectionSql injection
Sql injectionMinoxx
 
INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)
toshko86
 
Seguridad sql injection
Seguridad sql injectionSeguridad sql injection
Seguridad sql injection
Gary Briceño
 
Inyeccion de codigo
Inyeccion de codigoInyeccion de codigo
Inyeccion de codigoFederico Hernández González
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendices
Tensor
 
Inyección sql1
Inyección sql1Inyección sql1
Inyección sql1piolincita89
 
Inyección de código
Inyección de códigoInyección de código
Inyección de código
Carlos Arturo Fyuler
 
Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0
José Moreno
 
Base de datos
Base de datosBase de datos
Base de datos
Blind Jose
 
Configuracion sql
Configuracion sqlConfiguracion sql
Configuracion sql
diego david martinez
 
Sqlinjection
SqlinjectionSqlinjection
Sqlinjection
Tensor
 
Forzar claves
Forzar clavesForzar claves
Forzar claves
Miguel Sanchez Enriquez
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3
tantascosasquenose
 
Autentificación de Seguridad de SQL SERVER
Autentificación de Seguridad de SQL SERVERAutentificación de Seguridad de SQL SERVER
Autentificación de Seguridad de SQL SERVER
Jaime Aguilar Rafael
 
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
Jesús Daniel Mayo
 
Conexion remota Sql Server
Conexion remota Sql ServerConexion remota Sql Server
Conexion remota Sql Server
David Flores Gallegos
 
Programación orientada a objetos II
Programación orientada a objetos IIProgramación orientada a objetos II
Programación orientada a objetos II
yanburbano
 
Pasos para configurar sql server 2008 para admitir conexiones remotas
Pasos para configurar sql server 2008 para admitir conexiones remotasPasos para configurar sql server 2008 para admitir conexiones remotas
Pasos para configurar sql server 2008 para admitir conexiones remotas
Vladimir Cotaquispe Gutierrez
 
Administracion de seguridad
Administracion de seguridadAdministracion de seguridad
Administracion de seguridad
Vicente Alberca
 
la mejor forma de Conectar c# con mysql con archivos de configuracion
la mejor forma de Conectar c# con mysql con archivos de configuracion la mejor forma de Conectar c# con mysql con archivos de configuracion
la mejor forma de Conectar c# con mysql con archivos de configuracion
juandavid1118
 
Habilitacion de Autentificaion de sql
Habilitacion de Autentificaion de sql Habilitacion de Autentificaion de sql
Habilitacion de Autentificaion de sql
KevinFD
 
Vulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones webVulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones web
RealTIC
 
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Christian Martorella
 
Instalacion SQL Server 2012 Express
Instalacion SQL Server 2012 ExpressInstalacion SQL Server 2012 Express
Instalacion SQL Server 2012 Expresscarlos2293
 
Asp seguridad
Asp seguridad Asp seguridad
Asp seguridad
gerardd98
 
Dprn3 u3 a1_veag
Dprn3 u3 a1_veagDprn3 u3 a1_veag
Dprn3 u3 a1_veag
Verónica Aguilar Garduño
 
Cyberbullying 2 starter
Cyberbullying 2 starterCyberbullying 2 starter
Cyberbullying 2 starterjmumz
 
Dublin Core raffinement
Dublin Core raffinementDublin Core raffinement
Dublin Core raffinementgido40
 

Más contenido relacionado

La actualidad más candente

Inyección de código
Inyección de códigoInyección de código
Inyección de código
Carlos Arturo Fyuler
 
Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0
José Moreno
 
Base de datos
Base de datosBase de datos
Base de datos
Blind Jose
 
Configuracion sql
Configuracion sqlConfiguracion sql
Configuracion sql
diego david martinez
 
Sqlinjection
SqlinjectionSqlinjection
Sqlinjection
Tensor
 
Forzar claves
Forzar clavesForzar claves
Forzar claves
Miguel Sanchez Enriquez
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3
tantascosasquenose
 
Autentificación de Seguridad de SQL SERVER
Autentificación de Seguridad de SQL SERVERAutentificación de Seguridad de SQL SERVER
Autentificación de Seguridad de SQL SERVER
Jaime Aguilar Rafael
 
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
Jesús Daniel Mayo
 
Conexion remota Sql Server
Conexion remota Sql ServerConexion remota Sql Server
Conexion remota Sql Server
David Flores Gallegos
 
Programación orientada a objetos II
Programación orientada a objetos IIProgramación orientada a objetos II
Programación orientada a objetos II
yanburbano
 
Pasos para configurar sql server 2008 para admitir conexiones remotas
Pasos para configurar sql server 2008 para admitir conexiones remotasPasos para configurar sql server 2008 para admitir conexiones remotas
Pasos para configurar sql server 2008 para admitir conexiones remotas
Vladimir Cotaquispe Gutierrez
 
Administracion de seguridad
Administracion de seguridadAdministracion de seguridad
Administracion de seguridad
Vicente Alberca
 
la mejor forma de Conectar c# con mysql con archivos de configuracion
la mejor forma de Conectar c# con mysql con archivos de configuracion la mejor forma de Conectar c# con mysql con archivos de configuracion
la mejor forma de Conectar c# con mysql con archivos de configuracion
juandavid1118
 
Habilitacion de Autentificaion de sql
Habilitacion de Autentificaion de sql Habilitacion de Autentificaion de sql
Habilitacion de Autentificaion de sql
KevinFD
 
Vulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones webVulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones web
RealTIC
 
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Christian Martorella
 
Instalacion SQL Server 2012 Express
Instalacion SQL Server 2012 ExpressInstalacion SQL Server 2012 Express
Instalacion SQL Server 2012 Expresscarlos2293
 
Asp seguridad
Asp seguridad Asp seguridad
Asp seguridad
gerardd98
 
Dprn3 u3 a1_veag
Dprn3 u3 a1_veagDprn3 u3 a1_veag
Dprn3 u3 a1_veag
Verónica Aguilar Garduño
 

La actualidad más candente (20)

Inyección de código
Inyección de códigoInyección de código
Inyección de código
 
Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0
 
Base de datos
Base de datosBase de datos
Base de datos
 
Configuracion sql
Configuracion sqlConfiguracion sql
Configuracion sql
 
Sqlinjection
SqlinjectionSqlinjection
Sqlinjection
 
Forzar claves
Forzar clavesForzar claves
Forzar claves
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3
 
Autentificación de Seguridad de SQL SERVER
Autentificación de Seguridad de SQL SERVERAutentificación de Seguridad de SQL SERVER
Autentificación de Seguridad de SQL SERVER
 
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
 
Conexion remota Sql Server
Conexion remota Sql ServerConexion remota Sql Server
Conexion remota Sql Server
 
Programación orientada a objetos II
Programación orientada a objetos IIProgramación orientada a objetos II
Programación orientada a objetos II
 
Pasos para configurar sql server 2008 para admitir conexiones remotas
Pasos para configurar sql server 2008 para admitir conexiones remotasPasos para configurar sql server 2008 para admitir conexiones remotas
Pasos para configurar sql server 2008 para admitir conexiones remotas
 
Administracion de seguridad
Administracion de seguridadAdministracion de seguridad
Administracion de seguridad
 
la mejor forma de Conectar c# con mysql con archivos de configuracion
la mejor forma de Conectar c# con mysql con archivos de configuracion la mejor forma de Conectar c# con mysql con archivos de configuracion
la mejor forma de Conectar c# con mysql con archivos de configuracion
 
Habilitacion de Autentificaion de sql
Habilitacion de Autentificaion de sql Habilitacion de Autentificaion de sql
Habilitacion de Autentificaion de sql
 
Vulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones webVulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones web
 
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
 
Instalacion SQL Server 2012 Express
Instalacion SQL Server 2012 ExpressInstalacion SQL Server 2012 Express
Instalacion SQL Server 2012 Express
 
Asp seguridad
Asp seguridad Asp seguridad
Asp seguridad
 
Dprn3 u3 a1_veag
Dprn3 u3 a1_veagDprn3 u3 a1_veag
Dprn3 u3 a1_veag
 

Destacado

Cyberbullying 2 starter
Cyberbullying 2 starterCyberbullying 2 starter
Cyberbullying 2 starterjmumz
 
Dublin Core raffinement
Dublin Core raffinementDublin Core raffinement
Dublin Core raffinementgido40
 
[US] 2014 Ranking Factors Webinar - Jordan Koene
[US] 2014 Ranking Factors Webinar - Jordan Koene[US] 2014 Ranking Factors Webinar - Jordan Koene
[US] 2014 Ranking Factors Webinar - Jordan Koene
Searchmetrics
 
Entrepreneurship lessons
Entrepreneurship lessonsEntrepreneurship lessons
Entrepreneurship lessons
I Love Science
 
Mice tourism
Mice tourism Mice tourism
Mice tourism
Saru@Pondicherry University
 
Presentación Google Adwords
Presentación Google AdwordsPresentación Google Adwords
Presentación Google AdwordsSeeway Formación
 
Plan Media Lunnetterie de Luxe
Plan Media Lunnetterie de LuxePlan Media Lunnetterie de Luxe
Plan Media Lunnetterie de Luxe
Les Brigades du Marketing - www.lesbrigadesdumarketing.com
 
Pecha kucha
Pecha kuchaPecha kucha
Pecha kucha
Pili, Noemi i Roger
 
Presentación Google AdWords
Presentación Google AdWordsPresentación Google AdWords
Presentación Google AdWordsClickDirecto
 
SEO Powerpoint (SEM)
SEO Powerpoint (SEM)SEO Powerpoint (SEM)
SEO Powerpoint (SEM)
ebridges
 
Over view: Technology based learning at NIIT University
Over view: Technology based learning at NIIT UniversityOver view: Technology based learning at NIIT University
Over view: Technology based learning at NIIT University
I Love Science
 
Space capabilities of Dnipropetrovsk region
Space capabilities of Dnipropetrovsk regionSpace capabilities of Dnipropetrovsk region
Space capabilities of Dnipropetrovsk region
DIA_investment
 
Seo campus 01-03-2011
Seo campus 01-03-2011Seo campus 01-03-2011
Seo campus 01-03-2011
Olivier Andrieu
 
The Men of Quality
The Men of QualityThe Men of Quality
The Men of Quality
themenofquality
 
Wordcamp Toronto Presentation
Wordcamp Toronto PresentationWordcamp Toronto Presentation
Wordcamp Toronto Presentation
Roy Sivan
 
Ariane 5 launcher failure
Ariane 5 launcher failure Ariane 5 launcher failure
Ariane 5 launcher failure
sommerville-videos
 
Beyond The Blog: Using WordPress as a Content Management System
Beyond The Blog: Using WordPress as a Content Management SystemBeyond The Blog: Using WordPress as a Content Management System
Beyond The Blog: Using WordPress as a Content Management System
Mitch Canter
 

Destacado (19)

Cyberbullying 2 starter
Cyberbullying 2 starterCyberbullying 2 starter
Cyberbullying 2 starter
 
Dublin Core raffinement
Dublin Core raffinementDublin Core raffinement
Dublin Core raffinement
 
[US] 2014 Ranking Factors Webinar - Jordan Koene
[US] 2014 Ranking Factors Webinar - Jordan Koene[US] 2014 Ranking Factors Webinar - Jordan Koene
[US] 2014 Ranking Factors Webinar - Jordan Koene
 
Entrepreneurship lessons
Entrepreneurship lessonsEntrepreneurship lessons
Entrepreneurship lessons
 
Mice tourism
Mice tourism Mice tourism
Mice tourism
 
Presentación Google Adwords
Presentación Google AdwordsPresentación Google Adwords
Presentación Google Adwords
 
Plan Media Lunnetterie de Luxe
Plan Media Lunnetterie de LuxePlan Media Lunnetterie de Luxe
Plan Media Lunnetterie de Luxe
 
327 sanjay bajpeyi
327 sanjay bajpeyi327 sanjay bajpeyi
327 sanjay bajpeyi
 
Pecha kucha
Pecha kuchaPecha kucha
Pecha kucha
 
Presentación Google AdWords
Presentación Google AdWordsPresentación Google AdWords
Presentación Google AdWords
 
SEO Powerpoint (SEM)
SEO Powerpoint (SEM)SEO Powerpoint (SEM)
SEO Powerpoint (SEM)
 
Over view: Technology based learning at NIIT University
Over view: Technology based learning at NIIT UniversityOver view: Technology based learning at NIIT University
Over view: Technology based learning at NIIT University
 
Space capabilities of Dnipropetrovsk region
Space capabilities of Dnipropetrovsk regionSpace capabilities of Dnipropetrovsk region
Space capabilities of Dnipropetrovsk region
 
Seo campus 01-03-2011
Seo campus 01-03-2011Seo campus 01-03-2011
Seo campus 01-03-2011
 
The Men of Quality
The Men of QualityThe Men of Quality
The Men of Quality
 
Wordcamp Toronto Presentation
Wordcamp Toronto PresentationWordcamp Toronto Presentation
Wordcamp Toronto Presentation
 
The environment
The environmentThe environment
The environment
 
Ariane 5 launcher failure
Ariane 5 launcher failure Ariane 5 launcher failure
Ariane 5 launcher failure
 
Beyond The Blog: Using WordPress as a Content Management System
Beyond The Blog: Using WordPress as a Content Management SystemBeyond The Blog: Using WordPress as a Content Management System
Beyond The Blog: Using WordPress as a Content Management System
 

Similar a Inyecciones SQL

Ataques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseAtaques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerse
Supra Networks
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1
Tensor
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
seguridadelinux
 
Inyecciones SQL para Aprendices
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para Aprendices
Tensor
 
Curso basicoseguridadweb slideshare7
Curso basicoseguridadweb slideshare7Curso basicoseguridadweb slideshare7
Curso basicoseguridadweb slideshare7
tantascosasquenose
 
Vulnerabilidades del Software
Vulnerabilidades del SoftwareVulnerabilidades del Software
Vulnerabilidades del Software
lechosopowers
 
Web app attacks
Web app attacksWeb app attacks
Web app attacks
Jaime Restrepo
 
Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"
Alonso Caballero
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
camposer
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASP
Marcos Harasimowicz
 
Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)
Francisco José Cruz Jiménez
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
Fernando Solis
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas web
Facultad de Ciencias y Sistemas
 
Ataques a-bases-de-datos
Ataques a-bases-de-datosAtaques a-bases-de-datos
Ataques a-bases-de-datos
alan moreno
 
Ataques a-bases-de-datos
Ataques a-bases-de-datosAtaques a-bases-de-datos
Ataques a-bases-de-datos
Juvenal Hernandez
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
Alonso Caballero
 
Seguridad En Programación
Seguridad En ProgramaciónSeguridad En Programación
Seguridad En Programación
vladimir calderon
 
"Los Imprescindibles de .NetCore"
"Los Imprescindibles de .NetCore""Los Imprescindibles de .NetCore"
"Los Imprescindibles de .NetCore"
www.encamina.com
 

Similar a Inyecciones SQL (20)

Ataques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseAtaques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerse
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
 
Inyecciones SQL para Aprendices
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para Aprendices
 
Curso basicoseguridadweb slideshare7
Curso basicoseguridadweb slideshare7Curso basicoseguridadweb slideshare7
Curso basicoseguridadweb slideshare7
 
Vulnerabilidades del Software
Vulnerabilidades del SoftwareVulnerabilidades del Software
Vulnerabilidades del Software
 
Web app attacks
Web app attacksWeb app attacks
Web app attacks
 
WebAttack - Presentación
WebAttack - PresentaciónWebAttack - Presentación
WebAttack - Presentación
 
Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASP
 
Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas web
 
Ataques a-bases-de-datos
Ataques a-bases-de-datosAtaques a-bases-de-datos
Ataques a-bases-de-datos
 
Ataques a-bases-de-datos
Ataques a-bases-de-datosAtaques a-bases-de-datos
Ataques a-bases-de-datos
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
 
Seguridad En Programación
Seguridad En ProgramaciónSeguridad En Programación
Seguridad En Programación
 
Vulnerabilidades web
Vulnerabilidades webVulnerabilidades web
Vulnerabilidades web
 
"Los Imprescindibles de .NetCore"
"Los Imprescindibles de .NetCore""Los Imprescindibles de .NetCore"
"Los Imprescindibles de .NetCore"
 

Último

Fase 1, Lenguaje algebraico y pensamiento funcional
Fase 1, Lenguaje algebraico y pensamiento funcionalFase 1, Lenguaje algebraico y pensamiento funcional
Fase 1, Lenguaje algebraico y pensamiento funcional
YasneidyGonzalez
 
corpus-christi-sesion-de-aprendizaje.pdf
corpus-christi-sesion-de-aprendizaje.pdfcorpus-christi-sesion-de-aprendizaje.pdf
corpus-christi-sesion-de-aprendizaje.pdf
YolandaRodriguezChin
 
Horarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de MadridHorarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de Madrid
20minutos
 
1º GRADO CONCLUSIONES DESCRIPTIVAS PRIMARIA.docx
1º GRADO CONCLUSIONES DESCRIPTIVAS PRIMARIA.docx1º GRADO CONCLUSIONES DESCRIPTIVAS PRIMARIA.docx
1º GRADO CONCLUSIONES DESCRIPTIVAS PRIMARIA.docx
FelixCamachoGuzman
 
3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...
3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...
3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...
rosannatasaycoyactay
 
c3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptx
c3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptxc3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptx
c3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptx
Martín Ramírez
 
UNIDAD DE APRENDIZAJE DEL MES Junio 2024
UNIDAD DE APRENDIZAJE DEL MES Junio 2024UNIDAD DE APRENDIZAJE DEL MES Junio 2024
UNIDAD DE APRENDIZAJE DEL MES Junio 2024
EdwardYumbato1
 
El fundamento del gobierno de Dios. El amor
El fundamento del gobierno de Dios. El amorEl fundamento del gobierno de Dios. El amor
El fundamento del gobierno de Dios. El amor
Alejandrino Halire Ccahuana
 
Automatización de proceso de producción de la empresa Gloria SA (1).pptx
Automatización de proceso de producción de la empresa Gloria SA (1).pptxAutomatización de proceso de producción de la empresa Gloria SA (1).pptx
Automatización de proceso de producción de la empresa Gloria SA (1).pptx
GallardoJahse
 
Un libro sin recetas, para la maestra y el maestro Fase 3.pdf
Un libro sin recetas, para la maestra y el maestro Fase 3.pdfUn libro sin recetas, para la maestra y el maestro Fase 3.pdf
Un libro sin recetas, para la maestra y el maestro Fase 3.pdf
sandradianelly
 
Portafolio de servicios Centro de Educación Continua EPN
Portafolio de servicios Centro de Educación Continua EPNPortafolio de servicios Centro de Educación Continua EPN
Portafolio de servicios Centro de Educación Continua EPN
jmorales40
 
Fase 3; Estudio de la Geometría Analítica
Fase 3; Estudio de la Geometría AnalíticaFase 3; Estudio de la Geometría Analítica
Fase 3; Estudio de la Geometría Analítica
YasneidyGonzalez
 
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNETPRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
CESAR MIJAEL ESPINOZA SALAZAR
 
Fase 2, Pensamiento variacional y trigonometrico
Fase 2, Pensamiento variacional y trigonometricoFase 2, Pensamiento variacional y trigonometrico
Fase 2, Pensamiento variacional y trigonometrico
YasneidyGonzalez
 
PRÁCTICAS PEDAGOGÍA.pdf_Educación Y Sociedad_AnaFernández
PRÁCTICAS PEDAGOGÍA.pdf_Educación Y Sociedad_AnaFernándezPRÁCTICAS PEDAGOGÍA.pdf_Educación Y Sociedad_AnaFernández
PRÁCTICAS PEDAGOGÍA.pdf_Educación Y Sociedad_AnaFernández
Ruben53283
 
ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...
ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...
ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...
JAVIER SOLIS NOYOLA
 
Semana 10-TSM-del 27 al 31 de mayo 2024.pptx
Semana 10-TSM-del 27 al 31 de mayo 2024.pptxSemana 10-TSM-del 27 al 31 de mayo 2024.pptx
Semana 10-TSM-del 27 al 31 de mayo 2024.pptx
LorenaCovarrubias12
 
Asistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdf
Asistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdfAsistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdf
Asistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdf
Demetrio Ccesa Rayme
 
True Mother's Speech at THE PENTECOST SERVICE..pdf
True Mother's Speech at THE PENTECOST SERVICE..pdfTrue Mother's Speech at THE PENTECOST SERVICE..pdf
True Mother's Speech at THE PENTECOST SERVICE..pdf
Mercedes Gonzalez
 
Semana #10-PM3 del 27 al 31 de mayo.pptx
Semana #10-PM3 del 27 al 31 de mayo.pptxSemana #10-PM3 del 27 al 31 de mayo.pptx
Semana #10-PM3 del 27 al 31 de mayo.pptx
LorenaCovarrubias12
 

Último (20)

Fase 1, Lenguaje algebraico y pensamiento funcional
Fase 1, Lenguaje algebraico y pensamiento funcionalFase 1, Lenguaje algebraico y pensamiento funcional
Fase 1, Lenguaje algebraico y pensamiento funcional
 
corpus-christi-sesion-de-aprendizaje.pdf
corpus-christi-sesion-de-aprendizaje.pdfcorpus-christi-sesion-de-aprendizaje.pdf
corpus-christi-sesion-de-aprendizaje.pdf
 
Horarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de MadridHorarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de Madrid
 
1º GRADO CONCLUSIONES DESCRIPTIVAS PRIMARIA.docx
1º GRADO CONCLUSIONES DESCRIPTIVAS PRIMARIA.docx1º GRADO CONCLUSIONES DESCRIPTIVAS PRIMARIA.docx
1º GRADO CONCLUSIONES DESCRIPTIVAS PRIMARIA.docx
 
3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...
3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...
3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...
 
c3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptx
c3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptxc3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptx
c3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptx
 
UNIDAD DE APRENDIZAJE DEL MES Junio 2024
UNIDAD DE APRENDIZAJE DEL MES Junio 2024UNIDAD DE APRENDIZAJE DEL MES Junio 2024
UNIDAD DE APRENDIZAJE DEL MES Junio 2024
 
El fundamento del gobierno de Dios. El amor
El fundamento del gobierno de Dios. El amorEl fundamento del gobierno de Dios. El amor
El fundamento del gobierno de Dios. El amor
 
Automatización de proceso de producción de la empresa Gloria SA (1).pptx
Automatización de proceso de producción de la empresa Gloria SA (1).pptxAutomatización de proceso de producción de la empresa Gloria SA (1).pptx
Automatización de proceso de producción de la empresa Gloria SA (1).pptx
 
Un libro sin recetas, para la maestra y el maestro Fase 3.pdf
Un libro sin recetas, para la maestra y el maestro Fase 3.pdfUn libro sin recetas, para la maestra y el maestro Fase 3.pdf
Un libro sin recetas, para la maestra y el maestro Fase 3.pdf
 
Portafolio de servicios Centro de Educación Continua EPN
Portafolio de servicios Centro de Educación Continua EPNPortafolio de servicios Centro de Educación Continua EPN
Portafolio de servicios Centro de Educación Continua EPN
 
Fase 3; Estudio de la Geometría Analítica
Fase 3; Estudio de la Geometría AnalíticaFase 3; Estudio de la Geometría Analítica
Fase 3; Estudio de la Geometría Analítica
 
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNETPRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
 
Fase 2, Pensamiento variacional y trigonometrico
Fase 2, Pensamiento variacional y trigonometricoFase 2, Pensamiento variacional y trigonometrico
Fase 2, Pensamiento variacional y trigonometrico
 
PRÁCTICAS PEDAGOGÍA.pdf_Educación Y Sociedad_AnaFernández
PRÁCTICAS PEDAGOGÍA.pdf_Educación Y Sociedad_AnaFernándezPRÁCTICAS PEDAGOGÍA.pdf_Educación Y Sociedad_AnaFernández
PRÁCTICAS PEDAGOGÍA.pdf_Educación Y Sociedad_AnaFernández
 
ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...
ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...
ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...
 
Semana 10-TSM-del 27 al 31 de mayo 2024.pptx
Semana 10-TSM-del 27 al 31 de mayo 2024.pptxSemana 10-TSM-del 27 al 31 de mayo 2024.pptx
Semana 10-TSM-del 27 al 31 de mayo 2024.pptx
 
Asistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdf
Asistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdfAsistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdf
Asistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdf
 
True Mother's Speech at THE PENTECOST SERVICE..pdf
True Mother's Speech at THE PENTECOST SERVICE..pdfTrue Mother's Speech at THE PENTECOST SERVICE..pdf
True Mother's Speech at THE PENTECOST SERVICE..pdf
 
Semana #10-PM3 del 27 al 31 de mayo.pptx
Semana #10-PM3 del 27 al 31 de mayo.pptxSemana #10-PM3 del 27 al 31 de mayo.pptx
Semana #10-PM3 del 27 al 31 de mayo.pptx
 

Inyecciones SQL

  • 1. INYECCIONES SQL GRUPO: ANDY PAÚL GÓMEZ SORIA KEVIN JEXAEL QUINTEROS CHIRE
  • 2. ¿Qué es una Inyección SQL? Es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos. Se dice que existe o se produjo una inyección SQL cuando, de alguna manera se inserta o “inyecta” código SQL invasor dentro del código SQL programado, a fin de alterar el funcionamiento normal del programa y lograr así que se ejecute la porción de código “invasor” incrustado en la base de datos.
  • 3. Características  Un programa “arma descuidadamente” una sentencia SQL en tiempo de ejecución.  Durante la fase de desarrollo del programa o página web, al ejecutarse una sentencia T-SQL de una manera abierta, es un bug que se puede aprovechar por el hacker.  Siempre que el programador necesite y haga uso de parámetros a ingresar por parte del usuario, a efectos de consultar una base de datos; ya que, justamente dentro de los parámetros es donde se puede incorporar el código SQL intruso.
  • 4. Consecuencias Algunas de las consecuencias de estas Inyecciones SQL es el tiempo dedicado al programa o página web, es decir; no tratar de Encriptar el código usado para el desarrollo, sin la necesidad de usar la lógica para evitar esos ataques. Esta dado también, que al realizar una aplicación o pagina web en mínimo costo, es definido por el desarrollador tratar de considerar este tipo de seguridad y evitar estos ataques.
  • 5. Recomendaciones Es recomendable analizar el trabajo para realizar la aplicación o la página web, es decir, considerar las posibilidades de ataques al trabajo final. Es recomendable, también, usar código clasificado al momento de considerar posibles ataques, y conocer ampliamente todo tipo de código para que pueda ser de un funcionamiento eficiente para el cliente, y el servidor.
  • 6. Ejemplo de SQL injection en una Web Tenemos una aplicación Web (realizada en ASP) en la que el acceso a ciertas secciones está restringido. Para restringir ese acceso creamos una tabla de usuarios y contraseñas y sólo los usuarios que se validen contra esa tabla podrán acceder a esos contenidos. Una manera de que los usuarios se validen será colocar un par de cuadros de texto en nuestra página Web (por ejemplo txtUsuario y txtPassword) donde puedan introducir su nombre y su contraseña y enviar ese par usuario/contraseña a la base de datos para comprobar si es
  • 7. Usuarios Password ADMIN 1234 USUARIO 9876 Primero creamos la tabla que vamos a usar y la rellenamos con datos: Si el usuario escribe Admin y 1234 la sentencia creada será: Como esta sentencia nos devuelve un registro, dejaremos que el usuario entre en la Web. Si el usuario escribe por ejemplo ‘Admin’ y de contraseña cualquier otra cosa, la sentencia no nos devolverá registros y no permitiremos entrar a esa persona. SELECT Count(*) FROM Usuarios WHERE Usuario=’Admin’ AND Password=’1234’”
  • 8. Pero ¿qué ocurre si el usuario escribe ‘ or ’1′=’1 como usuario y lo mismo de contraseña? En este caso la variable Consulta contendrá la cadena: Y obviamente esta sentencia nos devuelve registros con lo que el usuario entrará en nuestra Web sin tener permiso. Pero esto no es lo peor. Lo peor será que el usuario utilice estos trucos de inyección de SQL para ejecutar código arbitrario en nuestro servidor. Sentencias DDL, cambiar permisos, utilizar procedimientos almacenados, etc. "SELECT Count(*) FROM Usuarios WHERE Usuario = '' or '1'='1' AND password = '' or '1'='1'"
  • 9. Otro factor importante en cuanto a la seguridad es limitar al máximo los permisos del usuario que ejecuta estas sentencias para evitar posibles problemas. Por ejemplo utilizando un usuario distinto para las sentencias SELECT, DELETE, UPDATE y asegurándonos que cada ejecución de una sentencia ejecute una sentencia del tipo permitido. Por supuesto utilizar el usuario ‘SA’ o uno que pertenezca al rol ‘db_owner’ para ejecutar las sentencias de uso habitual de la base de datos debería quedar descartado. Una solución definitiva sería trabajar con procedimientos almacenados. El modo en el que se pasan los parámetros a los procedimientos almacenados evita que la inyección SQL pueda ser usada. Por ejemplo utilizando el siguiente procedimiento almacenado: