SlideShare una empresa de Scribd logo

M2 com practico_arodri

Descargar como PPTX, PDF
A
arodri7703

El documento presenta una guía de 14 pasos para realizar ataques a bases de datos utilizando herramientas como SQLMap y Wireshark. Los pasos incluyen descargar e instalar una máquina virtual, instalar el sitio web BadStore para practicar inyección SQL, y utilizar SQLMap y Wireshark para obtener información de bases de datos como nombres, tablas y datos.

1 de 27
GUÍA No. 1 - COMPONENTE PRACTICO ANDRES ORLANDO RODRIGUEZ SANTACRUZ Cód. 98.396.027 TUTOR UNAD MSc. JESUS EMIRO VEGA Ingeniero de Sistemas UNAD ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA SEGURIDAD EN BASES DE DATOS – Cód. No. 233009 SEPTIEMBRE DE 2014
2 OBJETIVOS • Realizar ataque por inyección de código SQL, Sniffing, DNS Spoofing y troyano. • Identificar los posibles ataques a los cuales se puede exponer un sistema de información. • Conocer técnicas para detectar los posibles ataques a los sistemas de información. • Realizar adecuadamente métricas de seguridad que solidifiquen los buenos procesos y prácticas en las bases de datos de cualquier organización. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico
UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 3
Paso No. 1. Descargue e instale la máquina virtual Virtualbox. Para descargar la máquina virtual lo puede hacer desde la página https://www.virtualbox.org/wiki/Downloads. Paso No. 2: Descargue BadStore, para descargar Badstore lo puede hacer desde la página web http://www.badstore.net y presionamos donde dice DOWNLOADTHE DEMO (necesitaremos registrarnos para poder descargar). Paso No. 3: Una vez instalada la máquina virtual se procede a la configuración para instalar BadStore. Paso No. 4: Descargue el programa SQLMAP para realizar ataque por inyección de código SQL (URL: http://sqlmap.org/). Paso No. 5: Realizar un ataque a la base de datos de Badstore, con lo cual se debe obtener toda la información sobre la base de datos por ejemplo servidor de BD y versión, nombre de la base de datos, nombre de las tablas, información de las tablas, información de las columnas, etc. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 4
5 Paso No. 6: Con el fin de ejecutar a el ataque tipo inyección de código SQL a la base de datos BadStore, se instalará en el navegador web Mozilla Firefox versión 32.0.2. el complemento denominado TAMPER DATA. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico
Paso No. 7. Teniendo la base de datos BadStore configurada dentro de la máquina virtual, procedemos a verificar la dirección IP del adaptador de red, mediante el comando IFCONFIG. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 6
Paso No. 8. Accedemos a la base de datos BadStore desde el navegador web Mozilla Firefox empleando dirección IP 192.168.56.101 UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 7
Paso No. 9: Se realiza el ingreso de información al formulario de registro usuario. Luego se ejecuta el complemento Tamper Data y hacemos clic en el botón “Comenzar modificación”. 8 UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico
Paso No. 10: Se realiza el registro del usuario. Mediante el complemento Tamper Data, se cambia el rol de usuario al de administrador. 9 UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico
Paso No. 11: Ahora, ingresamos al sitio web con el rol de administrador usando la cambiando la URL de esta manera: http://192.168.56.101/cgi-bin/badstore.cgi?action=register http://192.168.56.101/cgi-bin/badstore.cgi?action=admin 10 UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico
Paso No. 12: En este caso, se tiene acceso a los reportes de ventas, adicionar y borrar usuarios de la base de datos, listar los usuarios, hacer una copia de seguridad y verificar las variables de entorno. 11 UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico
Paso No. 13: Como ejemplo de penetración a la base de datos Badstore, visualizamos la información del reporte de ventas para el día 29 de septiembre de 2014 a las 12:36 p.m. 12 UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico
Paso No. 14: Por último, accediendo a la tabla de las variables de entorno podemos precisar toda la información acerca del servidor de la base de datos. 13 UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico
UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 14
Realizar un ataque a la base de datos del sitio http://testphp.vulnweb.com, con lo cual se debe obtener toda la información sobre la base de datos por ejemplo servidor de BD y versión, nombre de la base de datos, nombre de las tablas, información de las tablas, información de las columnas, etc. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 15
Paso No. 1: Instalamos la versión 2.7 de Phyton en la misma unidad de disco que el s.w. sql map. Luego, iniciamos con el comando para identificar el nombre de la base de datos: sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 --dbs Como resultado observamos que existen 2 base de datos denominadas acuart e information_schema. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 16
Paso No. 2: Luego, iniciamos con el comando para identificar las tablas de la base de datos acuart: sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 -D acuart --tables Como resultado observamos que existen 8 tablas en la bases de datos denominada acuart. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 17
Paso No. 3: Luego, iniciamos con comando para identificar las columnas de una tabla de la base de datos acuart, es esta caso seleccionamos la tabla artists. sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 -D acuart -T artists –-columns Como resultado observamos que existen 3 columnas en la tabla artists de la bases de datos acuart. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 18
Paso No. 4: Luego, iniciamos con el comando para extraer los datos de la columna aname de la tabla artists de la base de datos acuart. sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 -D acuart -T artists –C aname –-dump Como resultado, observamos que existen los siguientes datos en la columna anime de la tabla artists de la bases de datos acuart. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 19
UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 20
Paso No. 1: Para esta práctica se debe descargar el software Wireshark desde el sitio web http://www.wireshark.org/download.html, este está catalogada como una de las mejor herramientas para el análisis de datos de transmisión de redes. Toda la práctica sirve para descubrir que las aplicaciones por lo general envían cierta información en texto plano, como usuario y contraseña de la Base de datos y consultas SQL. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 21
Paso No. 2: La práctica consiste en la instalación del software Wireshark, luego con el software en ejecución tomar una observación prolongada, generando tráfico ftp, telnet, http, icmp, entre otro, observar que se muestran los passwords en claro y observarlas capacidades para obtener datos estadísticos por parte de Wireshark. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 22
Paso No. 3: Arranque el navegador de Internet Mozilla Firefox y realice el acceso al campus virtual de la UNAD (URL: https://campus.unadvirtual.org/campus/) ingresando la información de usuario y contraseña. También se realiza un envío y recepción de información para ver el comportamiento del software. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 23
Paso No. 4: Una vez terminado el proceso de captura, iniciamos el análisis de los paquetes identificando qué tipo de información se puede obtener a través de este tipo de ataque. Como resultado del ataque, en esta ventana podemos observar de que IP a que IP se mueven los paquetes, mediante cual protocolo y ver el contenido del paquete. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 24
Paso No. 5 - Filtros por IP: Ingresamos en el filtro: ip.addr == 190.66.14.221. En este caso, Wireshark nos muestra los paquetes correspondientes a esta dirección IP. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 25
Paso No. 6 - Filtros por Protocolo: Con un sniffer, podemos obtener datos muy importantes, desde cookies hasta usuarios y contraseñas. Algunos de los filtros son: tcp, http, pop, dns, arp, ssl, etc. Como ejemplo, se filtrarán los paquetes del protocolo TCP y veremos los resultados en la ventana del S.W. Wireshark: UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 26
Paso No. 7 - Filtros por dominio o host: Al ingresar el filtro http.host == “campus.unadvirtual.org”, Wireshark nos presenta el resultado en la siguiente pantalla. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 27

Recomendados

Proyecto 7
Proyecto 7Proyecto 7
Proyecto 7
LauraSLeon
 
Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]
Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]
Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]
RootedCON
 
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
RootedCON
 
Manual para romper contraseñas WEP y WPA
Manual para romper contraseñas WEP y WPAManual para romper contraseñas WEP y WPA
Manual para romper contraseñas WEP y WPA
Paulo Colomés
 
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
RootedCON
 
David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]
RootedCON
 
Workshop Seguridad Wireless
Workshop Seguridad WirelessWorkshop Seguridad Wireless
Workshop Seguridad Wireless
Jaime Restrepo
 
Reporte cluster
Reporte clusterReporte cluster
Reporte cluster
Román GLez
 

Recomendados

Proyecto 7
Proyecto 7Proyecto 7
Proyecto 7
LauraSLeon
 
Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]
Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]
Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]
RootedCON
 
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
RootedCON
 
Manual para romper contraseñas WEP y WPA
Manual para romper contraseñas WEP y WPAManual para romper contraseñas WEP y WPA
Manual para romper contraseñas WEP y WPA
Paulo Colomés
 
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
RootedCON
 
David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]
RootedCON
 
Workshop Seguridad Wireless
Workshop Seguridad WirelessWorkshop Seguridad Wireless
Workshop Seguridad Wireless
Jaime Restrepo
 
Reporte cluster
Reporte clusterReporte cluster
Reporte cluster
Román GLez
 
Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...
Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...
Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...
RootedCON
 
Laboratorio "monitoreo con Pandora fms 2.0"
Laboratorio "monitoreo con Pandora fms 2.0"Laboratorio "monitoreo con Pandora fms 2.0"
Laboratorio "monitoreo con Pandora fms 2.0"
sestebans
 
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
RootedCON
 
Tecnicas avanzadas de penetracion a sistemas
Tecnicas avanzadas de penetracion a sistemasTecnicas avanzadas de penetracion a sistemas
Tecnicas avanzadas de penetracion a sistemas
Rafael Seg
 
El libro negro del hacker
El libro negro del hackerEl libro negro del hacker
El libro negro del hacker
master192
 
Webinar Gratuito "Wireshark"
Webinar Gratuito "Wireshark"Webinar Gratuito "Wireshark"
Webinar Gratuito "Wireshark"
Alonso Caballero
 
Gumiparty 007
Gumiparty 007Gumiparty 007
Gumiparty 007
David Cristóbal
 
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
RootedCON
 
Extendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSExtendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPS
PaloSanto Solutions
 
2.1 DIRECCIONAMIENTO IP
2.1 DIRECCIONAMIENTO IP2.1 DIRECCIONAMIENTO IP
2.1 DIRECCIONAMIENTO IP
David Narváez
 
Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]
Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]
Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]
RootedCON
 
Proyecto 6
Proyecto 6Proyecto 6
Proyecto 6
LauraSLeon
 
Auditoría wireless
Auditoría wirelessAuditoría wireless
Auditoría wireless
ruben0909
 
Monitorización En OpenSolaris
Monitorización En OpenSolarisMonitorización En OpenSolaris
Monitorización En OpenSolaris
Victor M. Fernández
 
Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]
RootedCON
 
Como usar Aircrack
Como usar AircrackComo usar Aircrack
Como usar Aircrack
Alfredo Fiebig
 
9018560 manual-de-zenoss-
9018560 manual-de-zenoss-9018560 manual-de-zenoss-
9018560 manual-de-zenoss-
darkradamanthys
 
Honeypotsprácticas2006
Honeypotsprácticas2006Honeypotsprácticas2006
Honeypotsprácticas2006
Juan Antonio Gil Martínez-Abarca
 
3.3.3.4 lab using wireshark to view network traffic
3.3.3.4 lab using wireshark to view network traffic3.3.3.4 lab using wireshark to view network traffic
3.3.3.4 lab using wireshark to view network traffic
timmaujim
 
Presentacion caín y abel
Presentacion caín y abelPresentacion caín y abel
Presentacion caín y abel
miguelgl86
 
Crack redes wifi
Crack redes wifiCrack redes wifi
Crack redes wifi
jjhonathan25
 
Ataques a bases de datos
Ataques a bases de datosAtaques a bases de datos
Ataques a bases de datos
Fernando Hernandez
 

Más contenido relacionado

La actualidad más candente

Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...
Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...
Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...
RootedCON
 
Laboratorio "monitoreo con Pandora fms 2.0"
Laboratorio "monitoreo con Pandora fms 2.0"Laboratorio "monitoreo con Pandora fms 2.0"
Laboratorio "monitoreo con Pandora fms 2.0"
sestebans
 
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
RootedCON
 
Tecnicas avanzadas de penetracion a sistemas
Tecnicas avanzadas de penetracion a sistemasTecnicas avanzadas de penetracion a sistemas
Tecnicas avanzadas de penetracion a sistemas
Rafael Seg
 
El libro negro del hacker
El libro negro del hackerEl libro negro del hacker
El libro negro del hacker
master192
 
Webinar Gratuito "Wireshark"
Webinar Gratuito "Wireshark"Webinar Gratuito "Wireshark"
Webinar Gratuito "Wireshark"
Alonso Caballero
 
Gumiparty 007
Gumiparty 007Gumiparty 007
Gumiparty 007
David Cristóbal
 
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
RootedCON
 
Extendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSExtendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPS
PaloSanto Solutions
 
2.1 DIRECCIONAMIENTO IP
2.1 DIRECCIONAMIENTO IP2.1 DIRECCIONAMIENTO IP
2.1 DIRECCIONAMIENTO IP
David Narváez
 
Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]
Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]
Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]
RootedCON
 
Proyecto 6
Proyecto 6Proyecto 6
Proyecto 6
LauraSLeon
 
Auditoría wireless
Auditoría wirelessAuditoría wireless
Auditoría wireless
ruben0909
 
Monitorización En OpenSolaris
Monitorización En OpenSolarisMonitorización En OpenSolaris
Monitorización En OpenSolaris
Victor M. Fernández
 
Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]
RootedCON
 
Como usar Aircrack
Como usar AircrackComo usar Aircrack
Como usar Aircrack
Alfredo Fiebig
 
9018560 manual-de-zenoss-
9018560 manual-de-zenoss-9018560 manual-de-zenoss-
9018560 manual-de-zenoss-
darkradamanthys
 
Honeypotsprácticas2006
Honeypotsprácticas2006Honeypotsprácticas2006
Honeypotsprácticas2006
Juan Antonio Gil Martínez-Abarca
 
3.3.3.4 lab using wireshark to view network traffic
3.3.3.4 lab using wireshark to view network traffic3.3.3.4 lab using wireshark to view network traffic
3.3.3.4 lab using wireshark to view network traffic
timmaujim
 
Presentacion caín y abel
Presentacion caín y abelPresentacion caín y abel
Presentacion caín y abel
miguelgl86
 

La actualidad más candente (20)

Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...
Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...
Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...
 
Laboratorio "monitoreo con Pandora fms 2.0"
Laboratorio "monitoreo con Pandora fms 2.0"Laboratorio "monitoreo con Pandora fms 2.0"
Laboratorio "monitoreo con Pandora fms 2.0"
 
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
 
Tecnicas avanzadas de penetracion a sistemas
Tecnicas avanzadas de penetracion a sistemasTecnicas avanzadas de penetracion a sistemas
Tecnicas avanzadas de penetracion a sistemas
 
El libro negro del hacker
El libro negro del hackerEl libro negro del hacker
El libro negro del hacker
 
Webinar Gratuito "Wireshark"
Webinar Gratuito "Wireshark"Webinar Gratuito "Wireshark"
Webinar Gratuito "Wireshark"
 
Gumiparty 007
Gumiparty 007Gumiparty 007
Gumiparty 007
 
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
 
Extendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSExtendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPS
 
2.1 DIRECCIONAMIENTO IP
2.1 DIRECCIONAMIENTO IP2.1 DIRECCIONAMIENTO IP
2.1 DIRECCIONAMIENTO IP
 
Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]
Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]
Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]
 
Proyecto 6
Proyecto 6Proyecto 6
Proyecto 6
 
Auditoría wireless
Auditoría wirelessAuditoría wireless
Auditoría wireless
 
Monitorización En OpenSolaris
Monitorización En OpenSolarisMonitorización En OpenSolaris
Monitorización En OpenSolaris
 
Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]
 
Como usar Aircrack
Como usar AircrackComo usar Aircrack
Como usar Aircrack
 
9018560 manual-de-zenoss-
9018560 manual-de-zenoss-9018560 manual-de-zenoss-
9018560 manual-de-zenoss-
 
Honeypotsprácticas2006
Honeypotsprácticas2006Honeypotsprácticas2006
Honeypotsprácticas2006
 
3.3.3.4 lab using wireshark to view network traffic
3.3.3.4 lab using wireshark to view network traffic3.3.3.4 lab using wireshark to view network traffic
3.3.3.4 lab using wireshark to view network traffic
 
Presentacion caín y abel
Presentacion caín y abelPresentacion caín y abel
Presentacion caín y abel
 

Similar a M2 com practico_arodri

Crack redes wifi
Crack redes wifiCrack redes wifi
Crack redes wifi
jjhonathan25
 
Ataques a bases de datos
Ataques a bases de datosAtaques a bases de datos
Ataques a bases de datos
Fernando Hernandez
 
Actividadno1seguridadperimetral -conversion-gate01
Actividadno1seguridadperimetral -conversion-gate01Actividadno1seguridadperimetral -conversion-gate01
Actividadno1seguridadperimetral -conversion-gate01
pattala01
 
Seguridad perimetral - Mikrotik Firewall
Seguridad perimetral - Mikrotik FirewallSeguridad perimetral - Mikrotik Firewall
Seguridad perimetral - Mikrotik Firewall
Vanesa Rodríguez Percy
 
Articulo ieee ataque_i
Articulo ieee ataque_iArticulo ieee ataque_i
Articulo ieee ataque_i
alexander valencia valderrama
 
Backtrack 5
Backtrack 5Backtrack 5
Backtrack 5
Jeison Candamil
 
Backtrack 5
Backtrack 5Backtrack 5
Backtrack 5
Jeison Candamil
 
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Francisco Medina
 
Sg t2 practicas_snort
Sg t2 practicas_snortSg t2 practicas_snort
Sg t2 practicas_snort
garciadebora
 
ATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFING
ATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFINGATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFING
ATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFING
alexander valencia valderrama
 
Manual final nagios
Manual final nagiosManual final nagios
Manual final nagios
rpm-alerts
 
Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015
Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015
Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015
Luis Sanchez
 
SISTEMAS DE MONITOREO LINUX
SISTEMAS DE MONITOREO LINUXSISTEMAS DE MONITOREO LINUX
SISTEMAS DE MONITOREO LINUX
Diego Caceres
 
Ataque por inyección de código sql y sniffing
Ataque por inyección de código sql y sniffingAtaque por inyección de código sql y sniffing
Ataque por inyección de código sql y sniffing
Magda Mayery Baquero Cardona
 
Ataque sql web
Ataque sql webAtaque sql web
Ataque sql web
kateqr
 
Actividad No. 1.8: Análisis del protocolo MySQL
Actividad No. 1.8: Análisis del protocolo MySQLActividad No. 1.8: Análisis del protocolo MySQL
Actividad No. 1.8: Análisis del protocolo MySQL
Francisco Medina
 
WEP
WEPWEP
WEP
aliloinomedle
 
Instalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuInstalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntu
David Vevelas
 
Manual De Monitoreo Pandora Linux
Manual De Monitoreo Pandora LinuxManual De Monitoreo Pandora Linux
Manual De Monitoreo Pandora Linux
K-milo Rivera
 
Proxy
ProxyProxy
Proxy
valeriochimalbak
 

Similar a M2 com practico_arodri (20)

Crack redes wifi
Crack redes wifiCrack redes wifi
Crack redes wifi
 
Ataques a bases de datos
Ataques a bases de datosAtaques a bases de datos
Ataques a bases de datos
 
Actividadno1seguridadperimetral -conversion-gate01
Actividadno1seguridadperimetral -conversion-gate01Actividadno1seguridadperimetral -conversion-gate01
Actividadno1seguridadperimetral -conversion-gate01
 
Seguridad perimetral - Mikrotik Firewall
Seguridad perimetral - Mikrotik FirewallSeguridad perimetral - Mikrotik Firewall
Seguridad perimetral - Mikrotik Firewall
 
Articulo ieee ataque_i
Articulo ieee ataque_iArticulo ieee ataque_i
Articulo ieee ataque_i
 
Backtrack 5
Backtrack 5Backtrack 5
Backtrack 5
 
Backtrack 5
Backtrack 5Backtrack 5
Backtrack 5
 
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
 
Sg t2 practicas_snort
Sg t2 practicas_snortSg t2 practicas_snort
Sg t2 practicas_snort
 
ATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFING
ATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFINGATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFING
ATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFING
 
Manual final nagios
Manual final nagiosManual final nagios
Manual final nagios
 
Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015
Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015
Gestion de Información de rendimiento en VoIP - Elastixworld Bogota 2015
 
SISTEMAS DE MONITOREO LINUX
SISTEMAS DE MONITOREO LINUXSISTEMAS DE MONITOREO LINUX
SISTEMAS DE MONITOREO LINUX
 
Ataque por inyección de código sql y sniffing
Ataque por inyección de código sql y sniffingAtaque por inyección de código sql y sniffing
Ataque por inyección de código sql y sniffing
 
Ataque sql web
Ataque sql webAtaque sql web
Ataque sql web
 
Actividad No. 1.8: Análisis del protocolo MySQL
Actividad No. 1.8: Análisis del protocolo MySQLActividad No. 1.8: Análisis del protocolo MySQL
Actividad No. 1.8: Análisis del protocolo MySQL
 
WEP
WEPWEP
WEP
 
Instalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuInstalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntu
 
Manual De Monitoreo Pandora Linux
Manual De Monitoreo Pandora LinuxManual De Monitoreo Pandora Linux
Manual De Monitoreo Pandora Linux
 
Proxy
ProxyProxy
Proxy
 

Más de arodri7703

S6 infografia
S6 infografiaS6 infografia
S6 infografia
arodri7703
 
Final andres rodriguez_ieee
Final andres rodriguez_ieeeFinal andres rodriguez_ieee
Final andres rodriguez_ieee
arodri7703
 
Grupo14 tfinal parte3
Grupo14 tfinal parte3Grupo14 tfinal parte3
Grupo14 tfinal parte3
arodri7703
 
Grupo14 tfinal parte2
Grupo14 tfinal parte2Grupo14 tfinal parte2
Grupo14 tfinal parte2
arodri7703
 
Grupo14 tfinal parte1
Grupo14 tfinal parte1Grupo14 tfinal parte1
Grupo14 tfinal parte1
arodri7703
 
Mto3 gr14 compilacion_v4
Mto3 gr14 compilacion_v4Mto3 gr14 compilacion_v4
Mto3 gr14 compilacion_v4
arodri7703
 
Pres final diseñoproy_unad2012_1
Pres final diseñoproy_unad2012_1Pres final diseñoproy_unad2012_1
Pres final diseñoproy_unad2012_1
arodri7703
 

Más de arodri7703 (7)

S6 infografia
S6 infografiaS6 infografia
S6 infografia
 
Final andres rodriguez_ieee
Final andres rodriguez_ieeeFinal andres rodriguez_ieee
Final andres rodriguez_ieee
 
Grupo14 tfinal parte3
Grupo14 tfinal parte3Grupo14 tfinal parte3
Grupo14 tfinal parte3
 
Grupo14 tfinal parte2
Grupo14 tfinal parte2Grupo14 tfinal parte2
Grupo14 tfinal parte2
 
Grupo14 tfinal parte1
Grupo14 tfinal parte1Grupo14 tfinal parte1
Grupo14 tfinal parte1
 
Mto3 gr14 compilacion_v4
Mto3 gr14 compilacion_v4Mto3 gr14 compilacion_v4
Mto3 gr14 compilacion_v4
 
Pres final diseñoproy_unad2012_1
Pres final diseñoproy_unad2012_1Pres final diseñoproy_unad2012_1
Pres final diseñoproy_unad2012_1
 

Último

Sistemas eléctricos de potencia y transmisión
Sistemas eléctricos de potencia y transmisiónSistemas eléctricos de potencia y transmisión
Sistemas eléctricos de potencia y transmisión
MichaelLpezOrtiz
 
Las operaciones básicas en la construcción.
Las operaciones básicas en la construcción.Las operaciones básicas en la construcción.
Las operaciones básicas en la construcción.
MaraManuelaUrribarri
 
PPT suelos ensayo Proctor - laboratorio 4.pdf
PPT suelos ensayo Proctor - laboratorio 4.pdfPPT suelos ensayo Proctor - laboratorio 4.pdf
PPT suelos ensayo Proctor - laboratorio 4.pdf
EgorRamos1
 
Infografia de operaciones basicas de la construccion.pdf
Infografia de operaciones basicas de la construccion.pdfInfografia de operaciones basicas de la construccion.pdf
Infografia de operaciones basicas de la construccion.pdf
DanielMelndez19
 
INFORME DE LABORATORIO MECANICA DE FLUIDOS (1).docx
INFORME DE LABORATORIO MECANICA DE FLUIDOS (1).docxINFORME DE LABORATORIO MECANICA DE FLUIDOS (1).docx
INFORME DE LABORATORIO MECANICA DE FLUIDOS (1).docx
LuzdeFatimaCarranzaG
 
PRIMERA Y SEGUNDA LEY DE LA TERMODINÁMICA
PRIMERA Y SEGUNDA LEY DE LA TERMODINÁMICAPRIMERA Y SEGUNDA LEY DE LA TERMODINÁMICA
PRIMERA Y SEGUNDA LEY DE LA TERMODINÁMICA
carmenquintana18
 
Infografia - Hugo Hidalgo - Construcción
Infografia - Hugo Hidalgo - ConstrucciónInfografia - Hugo Hidalgo - Construcción
Infografia - Hugo Hidalgo - Construcción
MaraManuelaUrribarri
 
Calculo-de-Camaras-Frigorificas.pdf para trabajos
Calculo-de-Camaras-Frigorificas.pdf para trabajosCalculo-de-Camaras-Frigorificas.pdf para trabajos
Calculo-de-Camaras-Frigorificas.pdf para trabajos
JuanCarlos695207
 
exposicion sobre los tipos de cortes de rolas para la produccion de chapas
exposicion sobre los tipos de cortes de rolas para la produccion de chapasexposicion sobre los tipos de cortes de rolas para la produccion de chapas
exposicion sobre los tipos de cortes de rolas para la produccion de chapas
raul958375
 
Cargas de Cálculos Estructurales de un Puente
Cargas de Cálculos Estructurales de un PuenteCargas de Cálculos Estructurales de un Puente
Cargas de Cálculos Estructurales de un Puente
jemifermelgarejoaran1
 
Rinitis alérgica-1.pdfuhycrbibxgvyvyjimomom
Rinitis alérgica-1.pdfuhycrbibxgvyvyjimomomRinitis alérgica-1.pdfuhycrbibxgvyvyjimomom
Rinitis alérgica-1.pdfuhycrbibxgvyvyjimomom
DanielaLoaeza5
 
9 Lección perro.pptxcvBWRFWBCCCCCCCCCCCCCCTEN
9 Lección perro.pptxcvBWRFWBCCCCCCCCCCCCCCTEN9 Lección perro.pptxcvBWRFWBCCCCCCCCCCCCCCTEN
9 Lección perro.pptxcvBWRFWBCCCCCCCCCCCCCCTEN
KarinToledo2
 
380378757-velocidades-maximas-y-minimas-en-los-canales.pdf
380378757-velocidades-maximas-y-minimas-en-los-canales.pdf380378757-velocidades-maximas-y-minimas-en-los-canales.pdf
380378757-velocidades-maximas-y-minimas-en-los-canales.pdf
DiegoAlexanderChecaG
 
Proceso de obtenciòn de nitrogeno por el metodo Haber-Bosh
Proceso de obtenciòn de nitrogeno por el metodo Haber-BoshProceso de obtenciòn de nitrogeno por el metodo Haber-Bosh
Proceso de obtenciòn de nitrogeno por el metodo Haber-Bosh
shirllyleytonm
 
chancadoras.............................
chancadoras.............................chancadoras.............................
chancadoras.............................
ssuser8827cb1
 
1. Introduccion a las excavaciones subterraneas (1).pdf
1. Introduccion a las excavaciones subterraneas (1).pdf1. Introduccion a las excavaciones subterraneas (1).pdf
1. Introduccion a las excavaciones subterraneas (1).pdf
raulnilton2018
 
SLIDEHARE.docx..........................
SLIDEHARE.docx..........................SLIDEHARE.docx..........................
SLIDEHARE.docx..........................
azulsarase
 
PRES 3. METROLOGÍA DE GASES Y RADIACIONES IONIZANTES.pptx
PRES 3. METROLOGÍA DE GASES Y RADIACIONES IONIZANTES.pptxPRES 3. METROLOGÍA DE GASES Y RADIACIONES IONIZANTES.pptx
PRES 3. METROLOGÍA DE GASES Y RADIACIONES IONIZANTES.pptx
brandonsinael
 
DIAGRAMA DE FLUJO DE ALGORITMO......
DIAGRAMA DE FLUJO DE ALGORITMO......DIAGRAMA DE FLUJO DE ALGORITMO......
DIAGRAMA DE FLUJO DE ALGORITMO......
taniarivera1015tvr
 
Informe Municipal provincial de la ciudad de Tacna
Informe Municipal provincial de la ciudad de TacnaInforme Municipal provincial de la ciudad de Tacna
Informe Municipal provincial de la ciudad de Tacna
BrusCiriloPintoApaza
 

Último (20)

Sistemas eléctricos de potencia y transmisión
Sistemas eléctricos de potencia y transmisiónSistemas eléctricos de potencia y transmisión
Sistemas eléctricos de potencia y transmisión
 
Las operaciones básicas en la construcción.
Las operaciones básicas en la construcción.Las operaciones básicas en la construcción.
Las operaciones básicas en la construcción.
 
PPT suelos ensayo Proctor - laboratorio 4.pdf
PPT suelos ensayo Proctor - laboratorio 4.pdfPPT suelos ensayo Proctor - laboratorio 4.pdf
PPT suelos ensayo Proctor - laboratorio 4.pdf
 
Infografia de operaciones basicas de la construccion.pdf
Infografia de operaciones basicas de la construccion.pdfInfografia de operaciones basicas de la construccion.pdf
Infografia de operaciones basicas de la construccion.pdf
 
INFORME DE LABORATORIO MECANICA DE FLUIDOS (1).docx
INFORME DE LABORATORIO MECANICA DE FLUIDOS (1).docxINFORME DE LABORATORIO MECANICA DE FLUIDOS (1).docx
INFORME DE LABORATORIO MECANICA DE FLUIDOS (1).docx
 
PRIMERA Y SEGUNDA LEY DE LA TERMODINÁMICA
PRIMERA Y SEGUNDA LEY DE LA TERMODINÁMICAPRIMERA Y SEGUNDA LEY DE LA TERMODINÁMICA
PRIMERA Y SEGUNDA LEY DE LA TERMODINÁMICA
 
Infografia - Hugo Hidalgo - Construcción
Infografia - Hugo Hidalgo - ConstrucciónInfografia - Hugo Hidalgo - Construcción
Infografia - Hugo Hidalgo - Construcción
 
Calculo-de-Camaras-Frigorificas.pdf para trabajos
Calculo-de-Camaras-Frigorificas.pdf para trabajosCalculo-de-Camaras-Frigorificas.pdf para trabajos
Calculo-de-Camaras-Frigorificas.pdf para trabajos
 
exposicion sobre los tipos de cortes de rolas para la produccion de chapas
exposicion sobre los tipos de cortes de rolas para la produccion de chapasexposicion sobre los tipos de cortes de rolas para la produccion de chapas
exposicion sobre los tipos de cortes de rolas para la produccion de chapas
 
Cargas de Cálculos Estructurales de un Puente
Cargas de Cálculos Estructurales de un PuenteCargas de Cálculos Estructurales de un Puente
Cargas de Cálculos Estructurales de un Puente
 
Rinitis alérgica-1.pdfuhycrbibxgvyvyjimomom
Rinitis alérgica-1.pdfuhycrbibxgvyvyjimomomRinitis alérgica-1.pdfuhycrbibxgvyvyjimomom
Rinitis alérgica-1.pdfuhycrbibxgvyvyjimomom
 
9 Lección perro.pptxcvBWRFWBCCCCCCCCCCCCCCTEN
9 Lección perro.pptxcvBWRFWBCCCCCCCCCCCCCCTEN9 Lección perro.pptxcvBWRFWBCCCCCCCCCCCCCCTEN
9 Lección perro.pptxcvBWRFWBCCCCCCCCCCCCCCTEN
 
380378757-velocidades-maximas-y-minimas-en-los-canales.pdf
380378757-velocidades-maximas-y-minimas-en-los-canales.pdf380378757-velocidades-maximas-y-minimas-en-los-canales.pdf
380378757-velocidades-maximas-y-minimas-en-los-canales.pdf
 
Proceso de obtenciòn de nitrogeno por el metodo Haber-Bosh
Proceso de obtenciòn de nitrogeno por el metodo Haber-BoshProceso de obtenciòn de nitrogeno por el metodo Haber-Bosh
Proceso de obtenciòn de nitrogeno por el metodo Haber-Bosh
 
chancadoras.............................
chancadoras.............................chancadoras.............................
chancadoras.............................
 
1. Introduccion a las excavaciones subterraneas (1).pdf
1. Introduccion a las excavaciones subterraneas (1).pdf1. Introduccion a las excavaciones subterraneas (1).pdf
1. Introduccion a las excavaciones subterraneas (1).pdf
 
SLIDEHARE.docx..........................
SLIDEHARE.docx..........................SLIDEHARE.docx..........................
SLIDEHARE.docx..........................
 
PRES 3. METROLOGÍA DE GASES Y RADIACIONES IONIZANTES.pptx
PRES 3. METROLOGÍA DE GASES Y RADIACIONES IONIZANTES.pptxPRES 3. METROLOGÍA DE GASES Y RADIACIONES IONIZANTES.pptx
PRES 3. METROLOGÍA DE GASES Y RADIACIONES IONIZANTES.pptx
 
DIAGRAMA DE FLUJO DE ALGORITMO......
DIAGRAMA DE FLUJO DE ALGORITMO......DIAGRAMA DE FLUJO DE ALGORITMO......
DIAGRAMA DE FLUJO DE ALGORITMO......
 
Informe Municipal provincial de la ciudad de Tacna
Informe Municipal provincial de la ciudad de TacnaInforme Municipal provincial de la ciudad de Tacna
Informe Municipal provincial de la ciudad de Tacna
 

M2 com practico_arodri

  • 1. GUÍA No. 1 - COMPONENTE PRACTICO ANDRES ORLANDO RODRIGUEZ SANTACRUZ Cód. 98.396.027 TUTOR UNAD MSc. JESUS EMIRO VEGA Ingeniero de Sistemas UNAD ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA SEGURIDAD EN BASES DE DATOS – Cód. No. 233009 SEPTIEMBRE DE 2014
  • 2. 2 OBJETIVOS • Realizar ataque por inyección de código SQL, Sniffing, DNS Spoofing y troyano. • Identificar los posibles ataques a los cuales se puede exponer un sistema de información. • Conocer técnicas para detectar los posibles ataques a los sistemas de información. • Realizar adecuadamente métricas de seguridad que solidifiquen los buenos procesos y prácticas en las bases de datos de cualquier organización. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico
  • 3. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 3
  • 4. Paso No. 1. Descargue e instale la máquina virtual Virtualbox. Para descargar la máquina virtual lo puede hacer desde la página https://www.virtualbox.org/wiki/Downloads. Paso No. 2: Descargue BadStore, para descargar Badstore lo puede hacer desde la página web http://www.badstore.net y presionamos donde dice DOWNLOADTHE DEMO (necesitaremos registrarnos para poder descargar). Paso No. 3: Una vez instalada la máquina virtual se procede a la configuración para instalar BadStore. Paso No. 4: Descargue el programa SQLMAP para realizar ataque por inyección de código SQL (URL: http://sqlmap.org/). Paso No. 5: Realizar un ataque a la base de datos de Badstore, con lo cual se debe obtener toda la información sobre la base de datos por ejemplo servidor de BD y versión, nombre de la base de datos, nombre de las tablas, información de las tablas, información de las columnas, etc. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 4
  • 5. 5 Paso No. 6: Con el fin de ejecutar a el ataque tipo inyección de código SQL a la base de datos BadStore, se instalará en el navegador web Mozilla Firefox versión 32.0.2. el complemento denominado TAMPER DATA. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico
  • 6. Paso No. 7. Teniendo la base de datos BadStore configurada dentro de la máquina virtual, procedemos a verificar la dirección IP del adaptador de red, mediante el comando IFCONFIG. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 6
  • 7. Paso No. 8. Accedemos a la base de datos BadStore desde el navegador web Mozilla Firefox empleando dirección IP 192.168.56.101 UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 7
  • 8. Paso No. 9: Se realiza el ingreso de información al formulario de registro usuario. Luego se ejecuta el complemento Tamper Data y hacemos clic en el botón “Comenzar modificación”. 8 UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico
  • 9. Paso No. 10: Se realiza el registro del usuario. Mediante el complemento Tamper Data, se cambia el rol de usuario al de administrador. 9 UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico
  • 10. Paso No. 11: Ahora, ingresamos al sitio web con el rol de administrador usando la cambiando la URL de esta manera: http://192.168.56.101/cgi-bin/badstore.cgi?action=register http://192.168.56.101/cgi-bin/badstore.cgi?action=admin 10 UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico
  • 11. Paso No. 12: En este caso, se tiene acceso a los reportes de ventas, adicionar y borrar usuarios de la base de datos, listar los usuarios, hacer una copia de seguridad y verificar las variables de entorno. 11 UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico
  • 12. Paso No. 13: Como ejemplo de penetración a la base de datos Badstore, visualizamos la información del reporte de ventas para el día 29 de septiembre de 2014 a las 12:36 p.m. 12 UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico
  • 13. Paso No. 14: Por último, accediendo a la tabla de las variables de entorno podemos precisar toda la información acerca del servidor de la base de datos. 13 UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico
  • 14. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 14
  • 15. Realizar un ataque a la base de datos del sitio http://testphp.vulnweb.com, con lo cual se debe obtener toda la información sobre la base de datos por ejemplo servidor de BD y versión, nombre de la base de datos, nombre de las tablas, información de las tablas, información de las columnas, etc. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 15
  • 16. Paso No. 1: Instalamos la versión 2.7 de Phyton en la misma unidad de disco que el s.w. sql map. Luego, iniciamos con el comando para identificar el nombre de la base de datos: sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 --dbs Como resultado observamos que existen 2 base de datos denominadas acuart e information_schema. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 16
  • 17. Paso No. 2: Luego, iniciamos con el comando para identificar las tablas de la base de datos acuart: sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 -D acuart --tables Como resultado observamos que existen 8 tablas en la bases de datos denominada acuart. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 17
  • 18. Paso No. 3: Luego, iniciamos con comando para identificar las columnas de una tabla de la base de datos acuart, es esta caso seleccionamos la tabla artists. sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 -D acuart -T artists –-columns Como resultado observamos que existen 3 columnas en la tabla artists de la bases de datos acuart. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 18
  • 19. Paso No. 4: Luego, iniciamos con el comando para extraer los datos de la columna aname de la tabla artists de la base de datos acuart. sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 -D acuart -T artists –C aname –-dump Como resultado, observamos que existen los siguientes datos en la columna anime de la tabla artists de la bases de datos acuart. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 19
  • 20. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 20
  • 21. Paso No. 1: Para esta práctica se debe descargar el software Wireshark desde el sitio web http://www.wireshark.org/download.html, este está catalogada como una de las mejor herramientas para el análisis de datos de transmisión de redes. Toda la práctica sirve para descubrir que las aplicaciones por lo general envían cierta información en texto plano, como usuario y contraseña de la Base de datos y consultas SQL. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 21
  • 22. Paso No. 2: La práctica consiste en la instalación del software Wireshark, luego con el software en ejecución tomar una observación prolongada, generando tráfico ftp, telnet, http, icmp, entre otro, observar que se muestran los passwords en claro y observarlas capacidades para obtener datos estadísticos por parte de Wireshark. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 22
  • 23. Paso No. 3: Arranque el navegador de Internet Mozilla Firefox y realice el acceso al campus virtual de la UNAD (URL: https://campus.unadvirtual.org/campus/) ingresando la información de usuario y contraseña. También se realiza un envío y recepción de información para ver el comportamiento del software. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 23
  • 24. Paso No. 4: Una vez terminado el proceso de captura, iniciamos el análisis de los paquetes identificando qué tipo de información se puede obtener a través de este tipo de ataque. Como resultado del ataque, en esta ventana podemos observar de que IP a que IP se mueven los paquetes, mediante cual protocolo y ver el contenido del paquete. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 24
  • 25. Paso No. 5 - Filtros por IP: Ingresamos en el filtro: ip.addr == 190.66.14.221. En este caso, Wireshark nos muestra los paquetes correspondientes a esta dirección IP. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 25
  • 26. Paso No. 6 - Filtros por Protocolo: Con un sniffer, podemos obtener datos muy importantes, desde cookies hasta usuarios y contraseñas. Algunos de los filtros son: tcp, http, pop, dns, arp, ssl, etc. Como ejemplo, se filtrarán los paquetes del protocolo TCP y veremos los resultados en la ventana del S.W. Wireshark: UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 26
  • 27. Paso No. 7 - Filtros por dominio o host: Al ingresar el filtro http.host == “campus.unadvirtual.org”, Wireshark nos presenta el resultado en la siguiente pantalla. UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico 27