Inyeccion sql

Páginas: 15 (3684 palabras) Publicado: 7 de febrero de 2012
ll Presentación http://hackxcrack.es
todos los derechos pertenecen a hackxcrac
este manual es solo de uso educativo,el uso que se le sea dado al mismo no es responsabilidad de quien lo publico ni de la pernosa que lo escribe
Antes de nada, me gustaría agradecer públicamente el labor y trabajo que hanestado llevando a cabo últimamente varias personas por la comunidad. En primer lugar a Kenkeiras por este magnifico tutorial acompañado de la sección práctica en el apartado de talleres de la comunidad, pero también y no menos importante, la labor de Kmykc desde lo lejos en todo lo relacionado con los wargames, de Cam10n, Finaltime, los moderadores de sección y globales que permiten que laatención de otros se centre en nuevos proyectos y todos aquellos que habéis ayudado en algún momento, ya sea con trabajo o con donaciones.

Aprovecho para comunicaros, una vez más, y creedme que no me gusta nada tener que pedir y menos tan repetitivamente, que la comunidad está pasando por un momento MUY DELICADO ECONOMICAMENTE. Agradeceríamos a aquellos que puedan, que hicieran una donación porpequeña que sea. Podéis hacerla por paypal a la cuenta que consta en la web o pedirme los datos bancarios de Hack x Crack para hacer una transferencia o ingreso.

No os entretengo más, demos lugar a este estupendo tutorial, espero que lo disfrutéis y aprendáis mucho con el.

Un saludo a todos los Hack x Crackeros,

Neddih I

1

www.hackxcrack.es

0. Antes de empezar...
0.1 ¿Que es unainyección SQL?
La vulnerabilidad a inyecciones SQL es un bug de seguridad que suele darse en sitios web aunque también puede darse en un programa normal. Se basa en un fallo en la comunicación entre el usuario final y la base de datos. Esta comunicación se hace a través de un lenguaje llamado SQL (Structured Query Language, Lenguaje Estructurado de Consultas), de ahí el nombre. La forma más común deese error es confiar en la entrada y permitir al usuario modificar la consulta a la base de datos para que haga algo diferente a su propósito original.

0.2 ¿Que es SQL?
SQL es un lenguaje diseñado para consultar y modificar bases de datos, es simple inglés, lo que permite aprenderlo rápidamente, por ejemplo, si queremos ver la información de una tabla usuarios, la consulta sería:

select *from bd_tuto;
Después veremos como funciona básicamente este lenguaje para poder usarlo en nuestro favor.

0.3 ¿Se puede evitar una inyección SQL?
Por supuesto, “simplemente” comprobando que los datos de entrada son seguros (normalmente los que provee el usuario), conseguiremos una página web/programa/script que no sea vulnerable a una inyección SQL.

Todo el tutorial puede ponerse en prácticaen la siguiente dirección: http://talleres.hackxcrack.es/sql/practica/

2

www.hackxcrack.es

1.Introducción a SQL
No tiene sentido explicar SQL a fondo, incluyendo como se crean tablas, bases de datos y demás, así procuraré centrarme en lo que puede ser útil en este caso y cada uno puede estudiar a fondo SQL por su cuenta si le engancha este mundillo de las bases de datos.

1.1 Tiposde datos
En este momento solo nos interesan dos tipos de datos, el resto no tienen importancia ya que son poco comunes, no son estándar, no son visibles desde el exterior o se obtienen a través de estos dos, estos son:   Alfanuméricos: son cadenas de letras, números y símbolos, están delimitados por ' y ', por ejemplo: 'esto es un ejemplo' Numéricos: son simples números, así que no necesitanestar delimitados, por ejemplo: 42

1.2 Construcción de consultas
Todas consultas a la base de datos (peticiones y modificaciones de datos) tienen muchos elementos en común, si consideramos todas en conjunto, las partes que puede tener son:    from where

IMPORTANTE:Y toda consulta acaba por punto y coma “;”

1.3 Consulta Select (recuperando datos de la base de datos)
Por ejemplo,...
Leer documento completo

Regístrate para leer el documento completo.

Estos documentos también te pueden resultar útiles

  • Inyección de SQL

    ...Inyección de SQL Al ejecutarse la consulta en la base de datos, el código SQL inyectado también se ejecutará y podría hacer un sinnúmero de cosas, como insertar registros, modificar o eliminar datos, autorizar accesos e, incluso, ejecutar otro tipo de código malicioso en el computador. Por ejemplo, asumiendo que el siguiente código reside en una aplicación web y que existe un parámetro "nombreUsuario" que contiene el nombre de usuario a...

    Leer más
    851 Palabras 4 Páginas
  • INYECCIÓN SQL

    ...INYECCIÓN SQL La inyección SQL es el ataque vía web, que aprovecha errores en la filtración de datos introducidos por el usuario, y que permiten a un atacante, tener control de cierta aplicación. ¿Qué es? La Inyección SQL o SQLi es una vulnerabilidad centrada en consultas de la base de datos de una aplicación, esta vulnerabilidad puede estar en todo tipo de lenguajes de programación como por ejemplo PHP,...

    Leer más
    951 Palabras 4 Páginas
  • Inyeccion sql

    ...16,17,18,19,20-- Bueno aquí nos menciona que la columna vulnerable es la "2" ¿cierto? ya que es el numero que aparece a un lado de la imagen entonces el código que inyectaremos para saber lo que queremos será sustituyendo el 2 por el código en Sql como lo hemos echo hasta ahora por ejemplo si queremos saber la versión de la DB seria con el query "version()"...

    Leer más
    1267 Palabras 6 Páginas
  • Introducción A Las Técnicas De Inyección Sql

    ...Lección 7: INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL Chema Alonso chema@informatica64.com Informática 64 Microsoft MVP en Enterprise Security Madrid, España, mayo 2011 Video intypedia007es © intypedia 2011 Creative Commons Incidentes de Seguridad I: Kaspersky Madrid, España, mayo 2011 Video intypedia007es © intypedia 2011 Creative Commons 2 Incidentes de Seguridad II: NASA Descifrar Madrid, España, mayo 2011 Video intypedia007es ©...

    Leer más
    775 Palabras 4 Páginas
  • Inyección sql

    ... Seleccionamos la página para atacar: Para demostrar que es vulnerable agregamos un apostrofe a la URL después del id Y nos manda un error de SQL, esto significa que esta lista para recibir nuestro ataque Es hora de averiguar el numero de columnas en la base de datos así que agregaremos un order by a la URL comenzando por 1, hasta que mande un error Y después del 7 nos manda nuevamente el error. Una vez identificadas las columnas debemos identificar cual es la columna...

    Leer más
    462 Palabras 2 Páginas
  • Inyeccion Sql

    ...A1 Inyección: Las fallas de inyección, tales como SQL, OS, y LDAP, ocurren cuando datos no confiables son enviados a un intérprete como parte de un comando o consulta. Los datos hostiles del atacante pueden engañar al intérprete en ejecutar comandos no intencionados o acceder datos no autorizados. Agentes de amenaza: Cualquier persona que pueda enviar datos no confiables al sistema, incluyendo usuarios externos, internos y administradores....

    Leer más
    470 Palabras 2 Páginas
  • Inyecciones sql

    ...INVESTIGACIÓN Inyecciones SQL Comisión Nº: 3º01 Integrantes: Rodríguez Vivanco, Mercedes 36188(responsable) Ron, Jorge 34095 Email contacto: mechivivanco@hotmail.com Indice Inyecciones Sql. Definición………………………………………………………………………………….3 Tipos de inyecciones SQL ………..………………………………………………………………………….3 Prueba y ejemplo de la caja negra ……………………………………………………………………..4 Bases de datos...

    Leer más
    5879 Palabras 24 Páginas
  • Inyección sql

    ...Publicación Nº 1 “INYECCION SQL” Practicando con la UNABVIRTUAL ( universidad autónoma de Bucaramanga) ANTES DE HACER CUALQUIER COSA ACTIVA TU PROXY, YO USO Y RECOMIENDO TOR F1D3N715 “UNAS CUANTAS PALABRAS” He iniciado esta “publicación” para compartir mis conocimientos, aunque esta sea la filosofía de todo hacker “comparte tus conocimientos….” pero no estoy diciendo que me crea un hacker ni mucho menos un newbie por que no me gustan estos rangos....

    Leer más
    1893 Palabras 8 Páginas

OTRAS TAREAS POPULARES

Conviértase en miembro formal de Buenas Tareas

INSCRÍBETE - ES GRATIS