Inyeccion de codigo

1,680 views
1,482 views

Published on

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,680
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
32
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Inyeccion de codigo

  1. 1. Inyección de Código
  2. 2. Integrantes de equipo• Federico Hernández González• Guadalupe Esparza López• Carlos Morales de Jesús• Eugenio Reyes Esteban• Marcos Amador Valdivia• Javier Serna Gutiérrez.20/05/2013 Zacualtipán de Ángeles HidalgoGrado y Grupo: 9 AProf. Luis Alberto Ruiz Aguilar.
  3. 3. • Introducción• Tipos de inyección de código• Ejemplos de ataques• Ejemplo 1• Ejemplo 2• Evitar la inyección de código• Conclusión
  4. 4. • La inyección de código es un tipo de ataqueque consiste en que los atacantes extraiganinformación, roben credenciales, tomen controlde la página atacada o algún otro tipo deactividades maliciosas.• La inyección SQL consiste en la modificaciónde las consultas a nuestra base de datos apartir de los parámetros pasados por URL alscript en PHP.
  5. 5. • Las inyecciones pueden ocurrir siempreque un lenguaje de programaciónintermedio como PHP procesa datosrecibidos por el usuario para generarcódigo en otro lenguaje como SQL oHTML
  6. 6. • El problema de las inyecciones no se limita al SQL;existen numerosos tipos de inyecciones de código,entre ellas:– SQL– HTML– Javascript– Embed– Email• Además de cierto tipo de inyecciones que no son decódigo pero pueden afectar, por ejemplo, al sistemade archivos.
  7. 7. • Obtención de la base de datos completausando sentencias SELECT• Modificación o inserción de datos usandoINSERT o UPDATE• Borrado de la base de datos usandoDELETE
  8. 8. • Ejecución de comandos del sistemaoperativo usando EXECmaster.dbo.xp_cmdshell por ejemplo, elvalor de pass sería pass=hack EXECmaster.dbo.xp_cmdshellcmd.exe dir c:--• Apagado remoto delservidor pass=hack EXECmaster.dbo.xp_cmdshellcmd.exeshutdown--
  9. 9. $usuario=$_POST[’usuario’];$password=$_POST[’password’];$sql=”SELECT * FROM usuarios WHEREusuario=’$usuario’ AND password=’$password’”;$result=mysql_query($sql);SELECT * FROM usuarios WHERE usuario=’a’ AND password=’a’ OR ‘1=1′
  10. 10. • Captchas– Es una prueba utilizada para comprobar queel usuario es una persona y no una máquina.Se utilizan para impedir que se pueda teneracceso a la función de un script de formaautomática.• Bloquear todos los caracteres especiales que nosean letras ni números.
  11. 11. • Validación de formularios• Las contraseñas sean numéricas
  12. 12. Las inyecciones de código puedenrepresentar un problema potencialpara los sistemas que realizamos,por eso es muy importanteenfocarse en la seguridad cuandose desarrolla un proyecto.
  13. 13. Referencias.• Astaroth7. (s.f.). Introduccion a la Inyeccion de codigo. Obtenido de2010:http://foro.elhacker.net/programacion_cc/introduccion_a_la_inyeccion_de_codigo-t262600.0.html• Cortes, R. (s.f.). Inyecciones SQL. Recuperado el 2011, dehttp://www.romancortes.com/blog/tag/seguridad/• (2009). Como Realizar Un SQL Injection **Principiante**,http://www.youtube.com/watch?v=-tbNxhvWl7g• (2011). SQL Inyeccion Basica Para Novatos,https://www.youtube.com/watch?v=aAOv2NCvaec

×