Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Inyeccion de codigo

2,445 views

Published on

  • Be the first to comment

Inyeccion de codigo

  1. 1. Inyección de Código
  2. 2. Integrantes de equipo• Federico Hernández González• Guadalupe Esparza López• Carlos Morales de Jesús• Eugenio Reyes Esteban• Marcos Amador Valdivia• Javier Serna Gutiérrez.20/05/2013 Zacualtipán de Ángeles HidalgoGrado y Grupo: 9 AProf. Luis Alberto Ruiz Aguilar.
  3. 3. • Introducción• Tipos de inyección de código• Ejemplos de ataques• Ejemplo 1• Ejemplo 2• Evitar la inyección de código• Conclusión
  4. 4. • La inyección de código es un tipo de ataqueque consiste en que los atacantes extraiganinformación, roben credenciales, tomen controlde la página atacada o algún otro tipo deactividades maliciosas.• La inyección SQL consiste en la modificaciónde las consultas a nuestra base de datos apartir de los parámetros pasados por URL alscript en PHP.
  5. 5. • Las inyecciones pueden ocurrir siempreque un lenguaje de programaciónintermedio como PHP procesa datosrecibidos por el usuario para generarcódigo en otro lenguaje como SQL oHTML
  6. 6. • El problema de las inyecciones no se limita al SQL;existen numerosos tipos de inyecciones de código,entre ellas:– SQL– HTML– Javascript– Embed– Email• Además de cierto tipo de inyecciones que no son decódigo pero pueden afectar, por ejemplo, al sistemade archivos.
  7. 7. • Obtención de la base de datos completausando sentencias SELECT• Modificación o inserción de datos usandoINSERT o UPDATE• Borrado de la base de datos usandoDELETE
  8. 8. • Ejecución de comandos del sistemaoperativo usando EXECmaster.dbo.xp_cmdshell por ejemplo, elvalor de pass sería pass=hack EXECmaster.dbo.xp_cmdshellcmd.exe dir c:--• Apagado remoto delservidor pass=hack EXECmaster.dbo.xp_cmdshellcmd.exeshutdown--
  9. 9. $usuario=$_POST[’usuario’];$password=$_POST[’password’];$sql=”SELECT * FROM usuarios WHEREusuario=’$usuario’ AND password=’$password’”;$result=mysql_query($sql);SELECT * FROM usuarios WHERE usuario=’a’ AND password=’a’ OR ‘1=1′
  10. 10. • Captchas– Es una prueba utilizada para comprobar queel usuario es una persona y no una máquina.Se utilizan para impedir que se pueda teneracceso a la función de un script de formaautomática.• Bloquear todos los caracteres especiales que nosean letras ni números.
  11. 11. • Validación de formularios• Las contraseñas sean numéricas
  12. 12. Las inyecciones de código puedenrepresentar un problema potencialpara los sistemas que realizamos,por eso es muy importanteenfocarse en la seguridad cuandose desarrolla un proyecto.
  13. 13. Referencias.• Astaroth7. (s.f.). Introduccion a la Inyeccion de codigo. Obtenido de2010:http://foro.elhacker.net/programacion_cc/introduccion_a_la_inyeccion_de_codigo-t262600.0.html• Cortes, R. (s.f.). Inyecciones SQL. Recuperado el 2011, dehttp://www.romancortes.com/blog/tag/seguridad/• (2009). Como Realizar Un SQL Injection **Principiante**,http://www.youtube.com/watch?v=-tbNxhvWl7g• (2011). SQL Inyeccion Basica Para Novatos,https://www.youtube.com/watch?v=aAOv2NCvaec

×