inyeccion sql

Páginas: 10 (2330 palabras) Publicado: 24 de septiembre de 2013
Inyeccion sql
Los ataques de inyección SQL atacan los sitios web que dependen de bases
de datos relacionadas.
En este tipo de páginas Web, los parámetros se pasan a la base de datos
como una consulta de SQL. Si un diseñador no verifica los parámetros que se
pasan en la consulta de SQL, un hacker puede modificar la consulta para
acceder a toda la base de datos e incluso modificar sucontenido.
Algunos caracteres posibilitan coordinar varias consultas de SQL o ignorar el
resto de la consulta. Al insertar este tipo de carácter en la consulta, un hacker
puede ejecutar potencialmente la consulta que elija.
Ante la siguiente consulta, que espera un nombre de usuario como parámetro:
SELECT * FROM usuarios WHERE nombre="$nombre";
Un intruso sólo necesita escribir un nombre, porejemplo, "toto" O 1=1 O
nombre="titi" para que la consulta quede de la siguiente manera:
SELECT * FROM usuarios WHERE nombre="toto" OR 1=1 OR nombre="titi";
Con la consulta anterior siempre se realiza la cláusula WHERE, lo que significa
que devolverá registros que corresponden a todos los usuarios.
Procedimientos almacenados
Además, algunos sistemas de administración de bases de datos, como porejemplo Microsoft SQL Server, poseen procedimientos almacenados que
posibilitan ejecutar comandos de administración. Estos procedimientos son
potencialmente peligrosos ya que permiten que un usuario malintencionado
ejecute comandos de sistema que puedan causar una posible intrusión.
Contramedidas
Estas son algunas reglas que pueden ayudarle a protegerse contra ataques de
inyección SQL:Verifique el formato de los datos de entrada y, en particular, si hay
caracteres especiales;
No deje que se vean mensajes de error explícitos que muestren la consulta o
parte de la consulta de SQL;
Elimine las cuentas de usuario que no se usen y especialmente las
predeterminadas;
No acepte cuentas sin contraseñas;

Mantenga al mínimo los privilegios de las cuentas que se usan;
Elimine losprocedimientos almacenados.

Troyanos
Un Troyano es un programa de informática que produce operaciones
malintencionadas sin el conocimiento del usuario. El nombre "Troyano"
proviene de una leyenda contada por los griegos en la Ilíada (escrita por
Homero) sobre el bloqueo de la ciudad de Troya.
Según la leyenda, a los griegos, que no lograban traspasar las defensas de la
ciudad de Troya, seles ocurrió la idea de abandonar el bloqueo y, en cambio,
entregar una ofrenda a la ciudad: el regalo consistía en un caballo de madera
gigante.
Los habitantes de Troya (Troyanos) aceptaron el regalo aparentemente
inofensivo sin sospechar nada, y lo introdujeron dentro de los muros de la
ciudad. Pero el caballo estaba lleno de soldados que esperaron a que la
población se durmiera para salirdel interior del caballo, abrir las puertas de la
ciudad para facilitar la entrada del resto del ejército.
Volviendo al campo de la informática, se denomina Troyano a un programa
oculto dentro de otro que ejecuta comandos furtivamente y que, por lo general,
abre el acceso al ordenador y lo opera abriendo una puerta trasera. Por esta
razón, a veces se lo conoce como Troyano por la analogía conlos ciudadanos
de Troya.
Similar a un virus, un Troyano es un código malicioso que se encuentra en un
programa sano (por ejemplo, un comando falso para crear una lista de archivos
que los destruye en lugar de mostrar la lista).
Un Troyano puede, por ejemplo:




robar contraseñas
copiar fechas confidenciales
realizar cualquier otra operación maliciosa

Y aún peor, este programapuede crear una infracción intencional de seguridad
dentro de la red para que los usuarios externos puedan acceder a áreas
protegidas de esa red.
Los Troyanos más comunes abren puertos en la máquina que permiten al
diseñador tener acceso al ordenador a través de la red abriendo una puerta
trasera. Por esta razón se usa frecuentemente el término puerta trasera u
orificio trasero.

Un...
Leer documento completo

Regístrate para leer el documento completo.

Estos documentos también te pueden resultar útiles

  • Inyección de SQL

    ...Inyección de SQL Al ejecutarse la consulta en la base de datos, el código SQL inyectado también se ejecutará y podría hacer un sinnúmero de cosas, como insertar registros, modificar o eliminar datos, autorizar accesos e, incluso, ejecutar otro tipo de código malicioso en el computador. Por ejemplo, asumiendo que el siguiente código reside en una aplicación web y que existe un parámetro "nombreUsuario" que contiene el nombre de usuario a...

    Leer más
    851 Palabras 4 Páginas
  • INYECCIÓN SQL

    ...INYECCIÓN SQL La inyección SQL es el ataque vía web, que aprovecha errores en la filtración de datos introducidos por el usuario, y que permiten a un atacante, tener control de cierta aplicación. ¿Qué es? La Inyección SQL o SQLi es una vulnerabilidad centrada en consultas de la base de datos de una aplicación, esta vulnerabilidad puede estar en todo tipo de lenguajes de programación como por ejemplo PHP,...

    Leer más
    951 Palabras 4 Páginas
  • Inyeccion sql

    ...16,17,18,19,20-- Bueno aquí nos menciona que la columna vulnerable es la "2" ¿cierto? ya que es el numero que aparece a un lado de la imagen entonces el código que inyectaremos para saber lo que queremos será sustituyendo el 2 por el código en Sql como lo hemos echo hasta ahora por ejemplo si queremos saber la versión de la DB seria con el query "version()"...

    Leer más
    1267 Palabras 6 Páginas
  • Introducción A Las Técnicas De Inyección Sql

    ...Lección 7: INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL Chema Alonso chema@informatica64.com Informática 64 Microsoft MVP en Enterprise Security Madrid, España, mayo 2011 Video intypedia007es © intypedia 2011 Creative Commons Incidentes de Seguridad I: Kaspersky Madrid, España, mayo 2011 Video intypedia007es © intypedia 2011 Creative Commons 2 Incidentes de Seguridad II: NASA Descifrar Madrid, España, mayo 2011 Video intypedia007es ©...

    Leer más
    775 Palabras 4 Páginas
  • Inyección sql

    ... Seleccionamos la página para atacar: Para demostrar que es vulnerable agregamos un apostrofe a la URL después del id Y nos manda un error de SQL, esto significa que esta lista para recibir nuestro ataque Es hora de averiguar el numero de columnas en la base de datos así que agregaremos un order by a la URL comenzando por 1, hasta que mande un error Y después del 7 nos manda nuevamente el error. Una vez identificadas las columnas debemos identificar cual es la columna...

    Leer más
    462 Palabras 2 Páginas
  • Inyeccion Sql

    ...A1 Inyección: Las fallas de inyección, tales como SQL, OS, y LDAP, ocurren cuando datos no confiables son enviados a un intérprete como parte de un comando o consulta. Los datos hostiles del atacante pueden engañar al intérprete en ejecutar comandos no intencionados o acceder datos no autorizados. Agentes de amenaza: Cualquier persona que pueda enviar datos no confiables al sistema, incluyendo usuarios externos, internos y administradores....

    Leer más
    470 Palabras 2 Páginas
  • Inyecciones sql

    ...INVESTIGACIÓN Inyecciones SQL Comisión Nº: 3º01 Integrantes: Rodríguez Vivanco, Mercedes 36188(responsable) Ron, Jorge 34095 Email contacto: mechivivanco@hotmail.com Indice Inyecciones Sql. Definición………………………………………………………………………………….3 Tipos de inyecciones SQL ………..………………………………………………………………………….3 Prueba y ejemplo de la caja negra ……………………………………………………………………..4 Bases de datos...

    Leer más
    5879 Palabras 24 Páginas
  • Inyección sql

    ...Publicación Nº 1 “INYECCION SQL” Practicando con la UNABVIRTUAL ( universidad autónoma de Bucaramanga) ANTES DE HACER CUALQUIER COSA ACTIVA TU PROXY, YO USO Y RECOMIENDO TOR F1D3N715 “UNAS CUANTAS PALABRAS” He iniciado esta “publicación” para compartir mis conocimientos, aunque esta sea la filosofía de todo hacker “comparte tus conocimientos….” pero no estoy diciendo que me crea un hacker ni mucho menos un newbie por que no me gustan estos rangos....

    Leer más
    1893 Palabras 8 Páginas

OTRAS TAREAS POPULARES

Conviértase en miembro formal de Buenas Tareas

INSCRÍBETE - ES GRATIS