• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
INYECCION SQL(SEGURIDAD DE LA INFORMACION)
 

INYECCION SQL(SEGURIDAD DE LA INFORMACION)

on

  • 2,325 views

DESCRIPCION DETALLADA DE LA INYECCION SQL COMO SU DEFINICION, COMO ATACA, COMO EVITARLA Y ALGUNOS EJEMPLOS

DESCRIPCION DETALLADA DE LA INYECCION SQL COMO SU DEFINICION, COMO ATACA, COMO EVITARLA Y ALGUNOS EJEMPLOS

Statistics

Views

Total Views
2,325
Views on SlideShare
2,325
Embed Views
0

Actions

Likes
0
Downloads
56
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • ya bien sea en un sistema de búsqueda, extracción, inserción de información o creación de lugares restringidos mediante la creación de usuarios con contraseñas estableciendo diferentes niveles de permisos.
  • El hecho de que un servidor pueda verse afectado por las inyecciones SQL se debe a la falta de medidas de seguridad por parte de sus diseñadores/programadores, especialmente por una mala filtración de las entradas (por formularios, cookies o parámetros).
  • El hecho de que un servidor pueda verse afectado por las inyecciones SQL se debe a la falta de medidas de seguridad por parte de sus diseñadores/programadores, especialmente por una mala filtración de las entradas (por formularios, cookies o parámetros).
  • El hecho de que un servidor pueda verse afectado por las inyecciones SQL se debe a la falta de medidas de seguridad por parte de sus diseñadores/programadores, especialmente por una mala filtración de las entradas (por formularios, cookies o parámetros).
  • El hecho de que un servidor pueda verse afectado por las inyecciones SQL se debe a la falta de medidas de seguridad por parte de sus diseñadores/programadores, especialmente por una mala filtración de las entradas (por formularios, cookies o parámetros).
  • El hecho de que un servidor pueda verse afectado por las inyecciones SQL se debe a la falta de medidas de seguridad por parte de sus diseñadores/programadores, especialmente por una mala filtración de las entradas (por formularios, cookies o parámetros).
  • El hecho de que un servidor pueda verse afectado por las inyecciones SQL se debe a la falta de medidas de seguridad por parte de sus diseñadores/programadores, especialmente por una mala filtración de las entradas (por formularios, cookies o parámetros).

INYECCION SQL(SEGURIDAD DE LA INFORMACION) INYECCION SQL(SEGURIDAD DE LA INFORMACION) Presentation Transcript

  • Profesor: José Fernando Castro Integrantes: Erika Berrun Martínez Nancy Yuridia Reyes Vargas Héctor Rebolledo Hernández Rodrigo García Valle Neyva Yazmín Barrera Trujillo Grupo: 1001 ING. EN TIC ´S
  • TEMA INYECCCION SQL
  • ¿QUE ES LA INYECCION SQL? Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación para realizar consultas a una base de datos. Es la técnica utilizada por personas maliciosas con el fin de alterar o atacar una aplicación a través de comandos SQL. La aplicación puede ser cualquier tipo de software que precise del uso de base de datos, o una aplicación web que interactúa con base de datos para funcionar.
  • ¿CÓMO ATACA LA INYECCIÓN SQL? Las inyecciones "inyecta" un código SQL malicioso para alterar el funcionamiento normal de las consultas SQL programadas. Al no haber seguridad, el código se ejecuta con consecuencias alarmantes. Con estas inyecciones se pueden obtener datos escondidos, eliminar o sobrescribir datos en la base de datos y hasta lograr ejecutar comandos peligrosos en la máquina donde está la base de datos.
  • EJEMPLO: Este código es de una aplicación Web Vulnerable y tiene como parámetro “nombreUsuario”, que contiene el nombre del usuario a consultar. El c ó digo SQL original y vulnerable es: consulta := " SELECT * FROM usuarios WHERE nombre = ' " + nombreUsuario + " '; " Si el operador escribe un nombre, por ejemplo “Erika", nada anormal suceder á , la aplicaci ó n generar í a una sentencia SQL similar a la siguiente, que es perfectamente correcta, en donde se seleccionar í an todos los registros con el nombre “Erika" en la base de datos: SELECT * FROM usuarios WHERE nombre = ‘ Erika ';
  • Pero si un operador malintencionado escribe como nombre de usuario a consultar: Erika '; DROP TABLE usuarios; SELECT * FROM datos WHERE nombre Erika ' Se generar í a la siguiente consulta SQL, (el color verde es lo que pretende el programador, el azul es el dato, y el rojo, el c ó digo SQL inyectado): SELECT * FROM usuarios WHERE nombre = ‘ Erika ';DROP TABLE usuarios;SELECT * FROM datos WHERE nombre Erika’ '; En la base de datos se ejecutar í a la consulta en el orden dado, se seleccionar í an todos los registros con el nombre ‘Erika', se borrar í a la tabla 'usuarios' y finalmente se seleccionar í a toda la tabla "datos", que no deber í a estar disponible para los usuarios web comunes. En resumen, podemos decir que con la Eyección SQL cualquier dato de la base de datos puede quedar disponible para ser le í do o modificado por un usuario malintencionado.
  • CARACTERÍSTICAS DE INYECCIÓN SQL
    • Disponible para las plataformas: Windows, Unix y Linux.
    • Soporta SSL
    • Realiza la técnica de inyección ciega de SQL. Comparando las respuestas verdaderas y falsas de las páginas o de los resultados de las cookies y los retrardos de tiempo.
    • Soporta los motores de bases de datos: Microsoft SQL Server, Oracle, MySQL, Sybase/Adaptive y DB2.
  • ¿COMO EVITAR INYECCIÓN SQL?
    • Filtrando las entradas de los usuarios reemplazando la aparición de ‘ por ‘’ (dos comillas simples).
    • Evitando que los usuarios puedan pasar caracteres como / “ ‘ o cualquier otro que se nos ocurra que puede causar problemas.
    • Limitar al máximo los permisos del usuario que ejecuta estas sentencias para evitar posibles problemas. Por ejemplo utilizando un usuario distinto para las sentencias SELECT, DELETE, UPDATE .
    • Trabajar con procedimientos almacenados. El modo en el que se pasan los parámetros a los procedimientos almacenados evita que la inyección SQL pueda ser usada.
  • BIBLIOGRAFIA http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL http://www.alegsa.com.ar/Dic/inyeccion%20sql.php http://informatica-practica.net/solocodigo/index.php/2007/09/05/inyeccion-sql-en-aplicaciones-web-i/ http://www.linux-party.com/modules.php?name=News&file=article&sid=3771 http://bad-robot.blogspot.com/2009/02/herramientas-para-automatizacion-de.html http://www.desarrolloweb.com/articulos/1373.php
  • CONCLUSIONES
    • Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación para realizar consultas a una base de datos.
    • Cuando el usuario se conecte sus privilegios deberán ser delimitados.
    • se recomienda no conectar a ningún usuario anónimo como root.
    • utilizar técnicas de cifrado de información para que en caso de ser extraída no sea manipulada con facilidad.