TRABAJO PRACTICO - SQL INJECTION
Páginas: 12 (2938 palabras)
Publicado: 20 de junio de 2013
FACULTAD DE INGENIERÍA
DEPARTAMENTO DE ELECTRÓNICA
CRIPTOGRAFIA Y SEGURIDAD INFORMATICA
SQL Injection
Docente:
Alumnos:
Cuatrimestre:
INDICE
66.69 Criptografía y Seguridad Informática
SQL Injection
1.- Introducción
2.- Aspectos básicos de SQL
3.- SQL Injection
4.- Detección de vulnerabilidad y ejemplos de ataque
5.- Prevención
6.- Casos de aplicación práctica
7.-Conclusión
2
66.69 Criptografía y Seguridad Informática
1.-
SQL Injection
INTRODUCCIÓN
El Lenguaje de Consulta Estructurado (Structured Query Language) SQL, es un lenguaje
declarativo de acceso a bases de datos relacionales que permite especificar diversos tipos
de operaciones sobre las mismas. Concentra características del álgebra y el cálculo
relacional permitiendo lanzarconsultas con el fin de recuperar información de interés de
un “banco de registros”, de una forma sencilla y poderosa. Forma parte de los lenguajes
de Cuarta Generación (4GL).
-
Reseña Histórica
Sus orígenes dan a conocer que en 1970, Codd, propone el modelo relacional y asociado
a este un sublenguaje de acceso a los datos basado en el cálculo de predicados.
Apoyándose en estas ideas, loslaboratorios de IBM definen el lenguaje SEQUEL
(Structured English QUEry Language) que más tarde sería ampliamente implementado
por el SGBD (Sistema de Gestión de Base de Datos) experimental System R, desarrollado
en 1977 también por IBM. Sin embargo, fue Oracle quien lo introdujo por primera vez en
1979 en un programa comercial.
El SEQUEL terminaría siendo el predecesor de SQL, siendo ésteuna versión evolucionada
del primero.
El SQL pasa a ser el lenguaje por excelencia de los diversos SGBD relacionales surgidos
en los años siguientes y es, por fin, estandarizado en 1986 por el ANSI, dando lugar a la
primera versión estándar de este lenguaje, el SQL-86 o SQL1. Al año siguiente este
estándar es también adoptado por la ISO.
Empero, este primer estándar no cubre todas lasnecesidades de los desarrolladores e
incluye funcionalidades de definición de almacenamiento que se consideraron suprimir.
Así que en 1992 se lanza un nuevo estándar ampliado y revisado del SQL llamado SQL92 o SQL2.
En la actualidad el SQL es el estándar de facto de la inmensa mayoría de los SGBD
comerciales. Y, aunque la diversidad de añadidos particulares que incluyen las distintasimplementaciones comerciales del lenguaje es amplia, el soporte al estándar SQL-92 es
general y muy extenso.
Asimismo, el ANSI (Instituto Nacional Estadounidense de Estándares) SQL sufrió varias
revisiones y agregados a lo largo del tiempo, por ejemplo, en una de sus últimas
observaciones estudiadas, se permitió incluir: características del XML (Lenguaje de
Marcas Extendidos), columnas autonuméricas,cambios y avances en ciertas funciones,
etcétera.
El “Pure SQL” ha demostrado que lejos de sus inicios como lenguaje “embebido”, se ha
convertido en una poderosa herramienta, capaz de manejar estructuras lógicas
complejas, así como cualquier tipo de dato imaginado. La versión denominada SQL3 se
puede considerar como una versión de un verdadero Lenguaje de Programación
Standalone1.
1
Términoengañoso que se usa para interpretar la interoperabilidad de un sistema como aplicación capaz de realizar todos los
procesos requeridos con respecto a las demandas expuestas. También, suele considerárselo como un programa “sin interfaz”.
Aunque, tal indicio está cambiando a través del tiempo.
3
66.69 Criptografía y Seguridad Informática
-
SQL Injection
DB2
DB2 es una marcacomercial, propiedad de IBM, bajo la cual se comercializa el sistema
de gestión de base de datos. DB2 versión 9 es un motor de base de datos relacional que
integra XML de manera nativa, lo que IBM ha llamado pureXML, que permite almacenar
documentos completos dentro del tipo de datos xml para realizar operaciones y
búsquedas de manera jerárquica dentro de éste, e integrarlo con búsquedas...
DEPARTAMENTO DE ELECTRÓNICA
CRIPTOGRAFIA Y SEGURIDAD INFORMATICA
SQL Injection
Docente:
Alumnos:
Cuatrimestre:
INDICE
66.69 Criptografía y Seguridad Informática
SQL Injection
1.- Introducción
2.- Aspectos básicos de SQL
3.- SQL Injection
4.- Detección de vulnerabilidad y ejemplos de ataque
5.- Prevención
6.- Casos de aplicación práctica
7.-Conclusión
2
66.69 Criptografía y Seguridad Informática
1.-
SQL Injection
INTRODUCCIÓN
El Lenguaje de Consulta Estructurado (Structured Query Language) SQL, es un lenguaje
declarativo de acceso a bases de datos relacionales que permite especificar diversos tipos
de operaciones sobre las mismas. Concentra características del álgebra y el cálculo
relacional permitiendo lanzarconsultas con el fin de recuperar información de interés de
un “banco de registros”, de una forma sencilla y poderosa. Forma parte de los lenguajes
de Cuarta Generación (4GL).
-
Reseña Histórica
Sus orígenes dan a conocer que en 1970, Codd, propone el modelo relacional y asociado
a este un sublenguaje de acceso a los datos basado en el cálculo de predicados.
Apoyándose en estas ideas, loslaboratorios de IBM definen el lenguaje SEQUEL
(Structured English QUEry Language) que más tarde sería ampliamente implementado
por el SGBD (Sistema de Gestión de Base de Datos) experimental System R, desarrollado
en 1977 también por IBM. Sin embargo, fue Oracle quien lo introdujo por primera vez en
1979 en un programa comercial.
El SEQUEL terminaría siendo el predecesor de SQL, siendo ésteuna versión evolucionada
del primero.
El SQL pasa a ser el lenguaje por excelencia de los diversos SGBD relacionales surgidos
en los años siguientes y es, por fin, estandarizado en 1986 por el ANSI, dando lugar a la
primera versión estándar de este lenguaje, el SQL-86 o SQL1. Al año siguiente este
estándar es también adoptado por la ISO.
Empero, este primer estándar no cubre todas lasnecesidades de los desarrolladores e
incluye funcionalidades de definición de almacenamiento que se consideraron suprimir.
Así que en 1992 se lanza un nuevo estándar ampliado y revisado del SQL llamado SQL92 o SQL2.
En la actualidad el SQL es el estándar de facto de la inmensa mayoría de los SGBD
comerciales. Y, aunque la diversidad de añadidos particulares que incluyen las distintasimplementaciones comerciales del lenguaje es amplia, el soporte al estándar SQL-92 es
general y muy extenso.
Asimismo, el ANSI (Instituto Nacional Estadounidense de Estándares) SQL sufrió varias
revisiones y agregados a lo largo del tiempo, por ejemplo, en una de sus últimas
observaciones estudiadas, se permitió incluir: características del XML (Lenguaje de
Marcas Extendidos), columnas autonuméricas,cambios y avances en ciertas funciones,
etcétera.
El “Pure SQL” ha demostrado que lejos de sus inicios como lenguaje “embebido”, se ha
convertido en una poderosa herramienta, capaz de manejar estructuras lógicas
complejas, así como cualquier tipo de dato imaginado. La versión denominada SQL3 se
puede considerar como una versión de un verdadero Lenguaje de Programación
Standalone1.
1
Términoengañoso que se usa para interpretar la interoperabilidad de un sistema como aplicación capaz de realizar todos los
procesos requeridos con respecto a las demandas expuestas. También, suele considerárselo como un programa “sin interfaz”.
Aunque, tal indicio está cambiando a través del tiempo.
3
66.69 Criptografía y Seguridad Informática
-
SQL Injection
DB2
DB2 es una marcacomercial, propiedad de IBM, bajo la cual se comercializa el sistema
de gestión de base de datos. DB2 versión 9 es un motor de base de datos relacional que
integra XML de manera nativa, lo que IBM ha llamado pureXML, que permite almacenar
documentos completos dentro del tipo de datos xml para realizar operaciones y
búsquedas de manera jerárquica dentro de éste, e integrarlo con búsquedas...
Leer documento completo
Regístrate para leer el documento completo.