Introducción A Las Técnicas De Inyección Sql

Páginas: 4 (775 palabras) Publicado: 17 de enero de 2013
Lección 7: INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL

Chema Alonso chema@informatica64.com Informática 64 Microsoft MVP en Enterprise Security
Madrid, España, mayo 2011 Video intypedia007es ©intypedia 2011 Creative Commons

Incidentes de Seguridad I: Kaspersky

Madrid, España, mayo 2011

Video intypedia007es © intypedia 2011 Creative Commons

2

Incidentes de Seguridad II: NASADescifrar

Madrid, España, mayo 2011

Video intypedia007es © intypedia 2011 Creative Commons

3

Arquitectura de una aplicación Web
DCOM LDAP
WebServer

Browser
WebServerWebService

Descifrar

BBDD

RPC Interfaz de Usuario (GUI)
Madrid, España, mayo 2011

Lógica de la Aplicación

Almacén De Datos

Video intypedia007es © intypedia 2011 Creative Commons

4 OWASP Top 10

Descifrar

Madrid, España, mayo 2011

Video intypedia007es © intypedia 2011 Creative Commons

5

Inyecciones de Código
• Aplicaciones con mala comprobación de datos de entrada.– Datos de usuario.
• Formularios • Cookies • …. • • • •

– Datos de llamadas a procedimientos.
Links Funciones Scripts Actions …

• Datos de usuario utilizados en consultas a base de datos. •Mala construcción de consultas a bases de datos.

Descifrar

• Ataques
– SQL Injection, LDAP Injection, Xpath Injection – ….
Madrid, España, mayo 2011 Video intypedia007es © intypedia 2011Creative Commons 6

Inyecciones de Código: Ejemplo
– Autenticación de usuario contra base de datos.
Usuario Clave

****************
Descifrar

Select idusuario from tabla_usuarios Wherenombre_usuario=‘$usuario’ And clave=‘$clave’;

Madrid, España, mayo 2011

Video intypedia007es © intypedia 2011 Creative Commons

7

Inyecciones de Código: Ejemplo

Usuario Clave

Administrador‘ or ‘1’=‘1

Select idusuario from tabla_usuarios Where nombre_usuario=‘Administrador’ And clave=‘’ or ‘1’=‘1’;

Madrid, España, mayo 2011

Video intypedia007es © intypedia 2011 Creative...
Leer documento completo

Regístrate para leer el documento completo.

Estos documentos también te pueden resultar útiles

  • Inyección Sql

    ...Inyección SQL Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos. El origen de la vulnerabilidad radica en el incorrecto chequeo y/o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL. Es, de hecho, un error de una...

    Leer más
    1209 Palabras 5 Páginas
  • Inyección de SQL

    ...Inyección de SQL Al ejecutarse la consulta en la base de datos, el código SQL inyectado también se ejecutará y podría hacer un sinnúmero de cosas, como insertar registros, modificar o eliminar datos, autorizar accesos e, incluso, ejecutar otro tipo de código malicioso en el computador. Por ejemplo, asumiendo que el siguiente código reside en una aplicación web y que existe un parámetro "nombreUsuario" que contiene el nombre de usuario a...

    Leer más
    851 Palabras 4 Páginas
  • INYECCIÓN SQL

    ...INYECCIÓN SQL La inyección SQL es el ataque vía web, que aprovecha errores en la filtración de datos introducidos por el usuario, y que permiten a un atacante, tener control de cierta aplicación. ¿Qué es? La Inyección SQL o SQLi es una vulnerabilidad centrada en consultas de la base de datos de una aplicación, esta vulnerabilidad puede estar en todo tipo de lenguajes de programación como por ejemplo PHP,...

    Leer más
    951 Palabras 4 Páginas
  • Inyeccion sql

    ...16,17,18,19,20-- Bueno aquí nos menciona que la columna vulnerable es la "2" ¿cierto? ya que es el numero que aparece a un lado de la imagen entonces el código que inyectaremos para saber lo que queremos será sustituyendo el 2 por el código en Sql como lo hemos echo hasta ahora por ejemplo si queremos saber la versión de la DB seria con el query "version()"...

    Leer más
    1267 Palabras 6 Páginas
  • Introduccion Al Sql

    ...Introducción al SQL Es un lenguaje de base de datos normalizado, utilizado por el motor de base de datos de Microsoft Jet.  SQL se utiliza para crear objetos QueryDef, como el argumento de origen del método OpenRecordSet y como la propiedad RecordSource del control de datos. También se puede utilizar con el método Execute para crear y manipular directamente las bases de datos Jet y crear consultas  SQL de paso a través para...

    Leer más
    1353 Palabras 6 Páginas
  • introduccion a sql

    ...Introducción Bases de datos-SQL-Sentencias SQL-Introducción El lenguaje de consulta estructurado (SQL) es un lenguaje de base de datos normalizado, utilizado por los diferentes motores de bases de datos para realizar determinadas operaciones sobre los datos o sobre la estructura de los mismos. Pero como sucede con cualquier sistema de normalización hay excepciones para casi todo; de hecho, cada motor de bases de datos...

    Leer más
    1045 Palabras 5 Páginas
  • Tecnicas de inyeccion

    ...Comisión Honoraria para la Lucha Antituberculosa y Enfermedades Prevalentes – CHLA-EP Primer Curso Intensivo de Formación de Vacunadores Técnicas de Inyección Dr. Jorge Rodriguez-De Marco Inmunizaciones • • • • • Inhalatoria Oral Intra-dérmica Sub-cutánea (hipodérmica) Intra-muscular Inyecciones Las Inyecciones Procedimiento traumático que consiste en: punción en la piel realizado con una jeringa y su aguja para...

    Leer más
    662 Palabras 3 Páginas
  • Introducción sql

    ...SQL MySQL por línea de comandos Acceso a un servidor MySQL y administración de la base de datos por línea de comandos. Es muy normal que utilicemos MySQL a través de páginas PHP y para administrar la base de datos utilicemos un programa como PhpMyAdmin, pero a veces no nos queda otro remedio que acceder a la base de datos a través de la línea de comandos. MySQL tiene un programa, que se llama con el mismo nombre de la base de datos (mysql) que sirve para gestionar la...

    Leer más
    602 Palabras 3 Páginas

OTRAS TAREAS POPULARES

Conviértase en miembro formal de Buenas Tareas

INSCRÍBETE - ES GRATIS