Gary Briceño, profile picture
Subido porGary Briceño
1,150 vistas

Seguridad sql injection

El SQL injection es una de las principales vulnerabilidades en sistemas informáticos que permite el ingreso de comandos SQL manipulados a bases de datos, exponiendo información sensible. Afecta a cualquier sistema que acepte entrada de datos y se clasifica como una de las vulnerabilidades más graves, según las listas de seguridad. El documento también menciona métodos y herramientas para prevenir y detectar estas vulnerabilidades, como el uso de proxies.

Incrustar presentación

Descargado 27 veces
SQL Injection Elaborado por: Gary Briceño
Introducción •Una de las mayores vulnerabilidades de los sistemas •Se puede exponer información sensible
¿Qué es SQL Injection? •Es una vulnerabilidad al sistema •Resultado de permitir el ingreso de SQL desde una aplicación a la base de datos •No es exclusivo de aplicaciones web •Afecta a cualquier sistema que permita ingreso de información •Si se tiene la posibilidad de modificar la sentencia SQL, puede ser victima de SQL Injection
Ejemplo 1
Ejemplo 1
Ejemplo 2
Ejemplo 2
No lo intente en casa!! •http://www.legislation.gov.uk/ukpga/1990/18/contents •http://www.legislation.gov.uk/ukpga/2006/48/contents
Top 25 de Vulnerabilidad •SQL Injectionse encuentra en el top de la lista de vulnerabilidad •http://cwe.mitre.org/top25/index.html
Buscando SQL Injection
Método GET Envío de información con el método GET
Método POST Envío de información con el método POST
Plugin: SQL InjectMe https://addons.mozilla.org/en-US/firefox/addon/sql-inject-me/
Uso de Proxy •Se puede utilizar un proxy para prevenir la inserción de SQL •Ejemplo de proxy: •Paros Proxy •WebScarab •BurpSuite
Otros objetos vulnerables •Los Cookies, enviados al browser y luego devueltos al servidor en cada request. •Usualmente utilizados para autenticación, control de sesiones y mantener información del usuario, como las preferencias en el website. •Host Referer, que específica el host y el puerto del servidor. •Referer, específica el recurso de donde el recurso fue obtenido. •User-Agent, específica el navegador utilizado
Manipulación de parametros Se tiene: http://www.victim.com/showproducts.php?category=attacker Respuesta: Warning: mysql_fetch_assoc(): suppliedargumentisnota valid MySQLresultresourcein var/www/victim.com/showproducts.phponline 34 Indica: La aplicación remota no esta administrando en forma correcta los errores de SQL Injection
Anexo
Seguridad sql injection

Más contenido relacionado

PPTX
SQL Injections (Part 1)
porn|u - The Open Security Community
 
PPTX
cyber security
porNiharikaVoleti
 
PDF
Chapter 4 vulnerability threat and attack
pornewbie2019
 
PDF
Resilience testing with Wiremock and Spock
porDavid Schmitz
 
DOCX
Vulnerability Assessment and Penetration Testing Framework by Falgun Rathod
porFalgun Rathod
 
PPT
Inyeccion sql
porobispo28
 
PPT
Asegúr@IT III - Ataques SQL Injection masivos
porChema Alonso
 
PPT
Sql Injection
porLeonardo Raygoza
 
SQL Injections (Part 1)
porn|u - The Open Security Community
 
cyber security
porNiharikaVoleti
 
Chapter 4 vulnerability threat and attack
pornewbie2019
 
Resilience testing with Wiremock and Spock
porDavid Schmitz
 
Vulnerability Assessment and Penetration Testing Framework by Falgun Rathod
porFalgun Rathod
 
Inyeccion sql
porobispo28
 
Asegúr@IT III - Ataques SQL Injection masivos
porChema Alonso
 
Sql Injection
porLeonardo Raygoza
 

Similar a Seguridad sql injection

PPTX
SQL-INJECTION ciberseguridad y buenas practicas y otras areas de ti para su d...
porRick Ccj
 
PPTX
Inyección sql1
porpiolincita89
 
PDF
Ataques de inyección SQL: qué son y cómo protegerse
porSupra Networks
 
PPT
INYECCION SQL(SEGURIDAD DE LA INFORMACION)
portoshko86
 
PDF
Ataques a-bases-de-datos
porJuvenal Hernandez
 
DOCX
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
porJesús Daniel Mayo
 
ODP
Seguridad Base de Datos sql injection v1.0
porJosé Moreno
 
PDF
Ataques a-bases-de-datos
poralan moreno
 
PDF
Inyección_sql
porjhom123
 
PDF
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
porChristian Martorella
 
PPTX
Inyecciones SQL
porAndy Gomez Soria
 
PPTX
Mejores prácticas desarrollo de base de datos
porEduardo Castro
 
PDF
ATAQUE POR INYECCIÓN DE CÓDIGO SQL
porMorely Garcia Leon
 
PDF
ATAQUE POR INYECCIÓN DE CÓDIGO SQL
porMorely Garcia Leon
 
PPTX
Parcial No 2 Seguridad y Privacidad II.docx.pptx
porZAIT2
 
PPTX
Inyecciones SQL para Aprendices
porTensor
 
PPTX
Tecn Comnu y Enrutamiento.pptx
porALEXJAVIERCANCHIGNIA
 
PPTX
Inyecciones sql para aprendices
porTensor
 
PPTX
Inyeccionessqlparaaprendices complemento clase 1
porTensor
 
PDF
Webinar Gratuito: "Inyección SQL"
porAlonso Eduardo Caballero Quezada
 
SQL-INJECTION ciberseguridad y buenas practicas y otras areas de ti para su d...
porRick Ccj
 
Inyección sql1
porpiolincita89
 
Ataques de inyección SQL: qué son y cómo protegerse
porSupra Networks
 
INYECCION SQL(SEGURIDAD DE LA INFORMACION)
portoshko86
 
Ataques a-bases-de-datos
porJuvenal Hernandez
 
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
porJesús Daniel Mayo
 
Seguridad Base de Datos sql injection v1.0
porJosé Moreno
 
Ataques a-bases-de-datos
poralan moreno
 
Inyección_sql
porjhom123
 
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
porChristian Martorella
 
Inyecciones SQL
porAndy Gomez Soria
 
Mejores prácticas desarrollo de base de datos
porEduardo Castro
 
ATAQUE POR INYECCIÓN DE CÓDIGO SQL
porMorely Garcia Leon
 
ATAQUE POR INYECCIÓN DE CÓDIGO SQL
porMorely Garcia Leon
 
Parcial No 2 Seguridad y Privacidad II.docx.pptx
porZAIT2
 
Inyecciones SQL para Aprendices
porTensor
 
Tecn Comnu y Enrutamiento.pptx
porALEXJAVIERCANCHIGNIA
 
Inyecciones sql para aprendices
porTensor
 
Inyeccionessqlparaaprendices complemento clase 1
porTensor
 
Webinar Gratuito: "Inyección SQL"
porAlonso Eduardo Caballero Quezada
 

Más de Gary Briceño

PDF
Git - Iniciando la Administración de Contenidos
porGary Briceño
 
PDF
Curso de Scala: Trabajando con variables
porGary Briceño
 
PDF
Kanban principio de visualizacion
porGary Briceño
 
PDF
JavaScript: Mejorando la programación
porGary Briceño
 
PDF
Software para android
porGary Briceño
 
PPT
Gary Briceño
porGary Briceño
 
PDF
CAP 4: SEO - Optimizacion de Contenido
porGary Briceño
 
PDF
CAP 3: SEO - Keywords Research
porGary Briceño
 
PDF
CAP 2: SEO - Técnicas de SEO
porGary Briceño
 
PDF
CAP 1: SEO - Introduccion al marketing de buscadores
porGary Briceño
 
PDF
Instalando Android SDK
porGary Briceño
 
PDF
Tecnicas de SEO
porGary Briceño
 
PDF
Temario curso SEO
porGary Briceño
 
PDF
Trennbare Verben
porGary Briceño
 
Git - Iniciando la Administración de Contenidos
porGary Briceño
 
Curso de Scala: Trabajando con variables
porGary Briceño
 
Kanban principio de visualizacion
porGary Briceño
 
JavaScript: Mejorando la programación
porGary Briceño
 
Software para android
porGary Briceño
 
Gary Briceño
porGary Briceño
 
CAP 4: SEO - Optimizacion de Contenido
porGary Briceño
 
CAP 3: SEO - Keywords Research
porGary Briceño
 
CAP 2: SEO - Técnicas de SEO
porGary Briceño
 
CAP 1: SEO - Introduccion al marketing de buscadores
porGary Briceño
 
Instalando Android SDK
porGary Briceño
 
Tecnicas de SEO
porGary Briceño
 
Temario curso SEO
porGary Briceño
 
Trennbare Verben
porGary Briceño
 

Seguridad sql injection

  • 1.
    SQL Injection Elaboradopor: Gary Briceño
  • 2.
    Introducción •Una delas mayores vulnerabilidades de los sistemas •Se puede exponer información sensible
  • 3.
    ¿Qué es SQLInjection? •Es una vulnerabilidad al sistema •Resultado de permitir el ingreso de SQL desde una aplicación a la base de datos •No es exclusivo de aplicaciones web •Afecta a cualquier sistema que permita ingreso de información •Si se tiene la posibilidad de modificar la sentencia SQL, puede ser victima de SQL Injection
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
    No lo intenteen casa!! •http://www.legislation.gov.uk/ukpga/1990/18/contents •http://www.legislation.gov.uk/ukpga/2006/48/contents
  • 9.
    Top 25 deVulnerabilidad •SQL Injectionse encuentra en el top de la lista de vulnerabilidad •http://cwe.mitre.org/top25/index.html
  • 10.
  • 11.
    Método GET Envíode información con el método GET
  • 12.
    Método POST Envíode información con el método POST
  • 13.
    Plugin: SQL InjectMe https://addons.mozilla.org/en-US/firefox/addon/sql-inject-me/
  • 14.
    Uso de Proxy •Se puede utilizar un proxy para prevenir la inserción de SQL •Ejemplo de proxy: •Paros Proxy •WebScarab •BurpSuite
  • 15.
    Otros objetos vulnerables •Los Cookies, enviados al browser y luego devueltos al servidor en cada request. •Usualmente utilizados para autenticación, control de sesiones y mantener información del usuario, como las preferencias en el website. •Host Referer, que específica el host y el puerto del servidor. •Referer, específica el recurso de donde el recurso fue obtenido. •User-Agent, específica el navegador utilizado
  • 16.
    Manipulación de parametros Se tiene: http://www.victim.com/showproducts.php?category=attacker Respuesta: Warning: mysql_fetch_assoc(): suppliedargumentisnota valid MySQLresultresourcein var/www/victim.com/showproducts.phponline 34 Indica: La aplicación remota no esta administrando en forma correcta los errores de SQL Injection
  • 17.