SlideShare a Scribd company logo

Sql injection, an old friend

Download as PPTX, PDF
Amador Aparicio
Amador Aparicio
1 of 10
SQL Injection, an old friend
SQLi, ¿desde cuándo? • 25 de diciembre de 1998. • Rain Forest Puppy.
SQLi, pasa el tiempo y … • Proyecto OWASP.
SQLi, arquitectura del SI … • Arquitectura de 3 niveles.
SQLi, arquitectura del SI … • Arquitectura de 3 niveles.
SQLi, arquitectura del SI … • Arquitectura de 3 niveles.
SQLi, peligros … • Extracción de información sensible de la BD de la organización. • Modificación de la información de la BD. –Ataques Persistentes. –XSS (Cross Site Scripting). • Apertura de una shell remota. –Máquinas de la red interna comprometidas.
SQLi, el proceso… 1. Búsqueda de una aplicación vulnerable. – Técnicas de Dorking. 2. Estudiar caracteríticas de sistema a auditar. – Técnicas de Footprinting, Fingerprinting. 3. Estudiar el comportamiento del sistema: booleanización, tautologías. – ¿Vulnerable? 4. Extracción de la información. – Play the Piano, SQL. 5. ¿Cómo parcheamos el sistema?
SQLi, Play the Piano …
Gracias … SELECT * FROM DUDAS;

Recommended

Exploiting Web applications SQL Injection
Exploiting Web applications SQL InjectionExploiting Web applications SQL Injection
Exploiting Web applications SQL InjectionConferencias FIST
 
Asegúr@IT 7: Serialized SQL Injection
Asegúr@IT 7: Serialized SQL InjectionAsegúr@IT 7: Serialized SQL Injection
Asegúr@IT 7: Serialized SQL InjectionChema Alonso
 
Sql injection
Sql injectionSql injection
Sql injectionMinoxx
 
Seguridad sql injection
Seguridad sql injectionSeguridad sql injection
Seguridad sql injectionGary Briceño
 
Chema Alonso Blind Sql Injection Taller
Chema Alonso Blind Sql Injection TallerChema Alonso Blind Sql Injection Taller
Chema Alonso Blind Sql Injection TallerCristian Borghello
 
Seguridad y Control de Acceso en una instalación Citrix
Seguridad y Control de Acceso en una instalación CitrixSeguridad y Control de Acceso en una instalación Citrix
Seguridad y Control de Acceso en una instalación CitrixJoaquin Herrero
 
ANC same as apartheid
ANC same as apartheidANC same as apartheid
ANC same as apartheidmgonline
 
Sino-Danish Center
Sino-Danish CenterSino-Danish Center
Sino-Danish CenterSteffen Helledie
 

Recommended

Exploiting Web applications SQL Injection
Exploiting Web applications SQL InjectionExploiting Web applications SQL Injection
Exploiting Web applications SQL InjectionConferencias FIST
 
Asegúr@IT 7: Serialized SQL Injection
Asegúr@IT 7: Serialized SQL InjectionAsegúr@IT 7: Serialized SQL Injection
Asegúr@IT 7: Serialized SQL InjectionChema Alonso
 
Sql injection
Sql injectionSql injection
Sql injectionMinoxx
 
Seguridad sql injection
Seguridad sql injectionSeguridad sql injection
Seguridad sql injectionGary Briceño
 
Chema Alonso Blind Sql Injection Taller
Chema Alonso Blind Sql Injection TallerChema Alonso Blind Sql Injection Taller
Chema Alonso Blind Sql Injection TallerCristian Borghello
 
Seguridad y Control de Acceso en una instalación Citrix
Seguridad y Control de Acceso en una instalación CitrixSeguridad y Control de Acceso en una instalación Citrix
Seguridad y Control de Acceso en una instalación CitrixJoaquin Herrero
 
ANC same as apartheid
ANC same as apartheidANC same as apartheid
ANC same as apartheidmgonline
 
Sino-Danish Center
Sino-Danish CenterSino-Danish Center
Sino-Danish CenterSteffen Helledie
 
Warp films presentation
Warp films presentationWarp films presentation
Warp films presentationmariek123
 
Seguridad En Programación
Seguridad En ProgramaciónSeguridad En Programación
Seguridad En Programaciónvladimir calderon
 
Citrix xen server
Citrix xen serverCitrix xen server
Citrix xen serverWilliams Salas
 
Sql injection utilizando método post
Sql injection utilizando método postSql injection utilizando método post
Sql injection utilizando método postTensor
 
Connection String Parameter Pollution Attacks
Connection String Parameter Pollution AttacksConnection String Parameter Pollution Attacks
Connection String Parameter Pollution AttacksChema Alonso
 
Study on garments buying house merchandising
Study on garments buying house merchandisingStudy on garments buying house merchandising
Study on garments buying house merchandisingWINNERbd.it
 
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]RootedCON
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Internet Security Auditors
 
Bajo Ataque 2.pptx
Bajo Ataque 2.pptxBajo Ataque 2.pptx
Bajo Ataque 2.pptxHacking Bolivia
 
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresRooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresAlejandro Ramos
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016Gonzalo Vigo
 
All your data are belong to us - FIST Conference 2007
All your data are belong to us - FIST Conference 2007All your data are belong to us - FIST Conference 2007
All your data are belong to us - FIST Conference 2007Christian Martorella
 
Taxonomia ataquesfinal
Taxonomia ataquesfinalTaxonomia ataquesfinal
Taxonomia ataquesfinalLauraCGP
 
The Dark Art of Container Monitoring - Spanish
The Dark Art of Container Monitoring - SpanishThe Dark Art of Container Monitoring - Spanish
The Dark Art of Container Monitoring - SpanishSysdig
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]RootedCON
 
Temas de exposiciones teoria de sistemas
Temas de exposiciones teoria de sistemasTemas de exposiciones teoria de sistemas
Temas de exposiciones teoria de sistemasOswaldo Hechenleitner
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la GuerraLuis Cortes Zavala
 
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]RootedCON
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackMarc Pàmpols
 
hacking.pptx
hacking.pptxhacking.pptx
hacking.pptxFreddVargas1
 

More Related Content

Viewers also liked

Warp films presentation
Warp films presentationWarp films presentation
Warp films presentationmariek123
 
Sql injection utilizando método post
Sql injection utilizando método postSql injection utilizando método post
Sql injection utilizando método postTensor
 
Connection String Parameter Pollution Attacks
Connection String Parameter Pollution AttacksConnection String Parameter Pollution Attacks
Connection String Parameter Pollution AttacksChema Alonso
 
Study on garments buying house merchandising
Study on garments buying house merchandisingStudy on garments buying house merchandising
Study on garments buying house merchandisingWINNERbd.it
 

Viewers also liked (6)

Warp films presentation
Warp films presentationWarp films presentation
Warp films presentation
 
Seguridad En Programación
Seguridad En ProgramaciónSeguridad En Programación
Seguridad En Programación
 
Citrix xen server
Citrix xen serverCitrix xen server
Citrix xen server
 
Sql injection utilizando método post
Sql injection utilizando método postSql injection utilizando método post
Sql injection utilizando método post
 
Connection String Parameter Pollution Attacks
Connection String Parameter Pollution AttacksConnection String Parameter Pollution Attacks
Connection String Parameter Pollution Attacks
 
Study on garments buying house merchandising
Study on garments buying house merchandisingStudy on garments buying house merchandising
Study on garments buying house merchandising
 

Similar to Sql injection, an old friend

Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]RootedCON
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresRooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresAlejandro Ramos
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016Gonzalo Vigo
 
All your data are belong to us - FIST Conference 2007
All your data are belong to us - FIST Conference 2007All your data are belong to us - FIST Conference 2007
All your data are belong to us - FIST Conference 2007Christian Martorella
 
Taxonomia ataquesfinal
Taxonomia ataquesfinalTaxonomia ataquesfinal
Taxonomia ataquesfinalLauraCGP
 
The Dark Art of Container Monitoring - Spanish
The Dark Art of Container Monitoring - SpanishThe Dark Art of Container Monitoring - Spanish
The Dark Art of Container Monitoring - SpanishSysdig
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]RootedCON
 
Temas de exposiciones teoria de sistemas
Temas de exposiciones teoria de sistemasTemas de exposiciones teoria de sistemas
Temas de exposiciones teoria de sistemasOswaldo Hechenleitner
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la GuerraLuis Cortes Zavala
 
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]RootedCON
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackMarc Pàmpols
 
Amenzas de seguridad en redes modernas - Seguridad informatica
Amenzas de seguridad en redes modernas - Seguridad informaticaAmenzas de seguridad en redes modernas - Seguridad informatica
Amenzas de seguridad en redes modernas - Seguridad informaticafillescas
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-ossSykrayo
 
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 20104v4t4r
 

Similar to Sql injection, an old friend (20)

Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.
 
Bajo Ataque 2.pptx
Bajo Ataque 2.pptxBajo Ataque 2.pptx
Bajo Ataque 2.pptx
 
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresRooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
 
All your data are belong to us - FIST Conference 2007
All your data are belong to us - FIST Conference 2007All your data are belong to us - FIST Conference 2007
All your data are belong to us - FIST Conference 2007
 
Taxonomia ataquesfinal
Taxonomia ataquesfinalTaxonomia ataquesfinal
Taxonomia ataquesfinal
 
The Dark Art of Container Monitoring - Spanish
The Dark Art of Container Monitoring - SpanishThe Dark Art of Container Monitoring - Spanish
The Dark Art of Container Monitoring - Spanish
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
 
Temas de exposiciones teoria de sistemas
Temas de exposiciones teoria de sistemasTemas de exposiciones teoria de sistemas
Temas de exposiciones teoria de sistemas
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la Guerra
 
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstack
 
hacking.pptx
hacking.pptxhacking.pptx
hacking.pptx
 
Desarrollo Full Stack UAM.net
Desarrollo Full Stack UAM.netDesarrollo Full Stack UAM.net
Desarrollo Full Stack UAM.net
 
Amenzas de seguridad en redes modernas - Seguridad informatica
Amenzas de seguridad en redes modernas - Seguridad informaticaAmenzas de seguridad en redes modernas - Seguridad informatica
Amenzas de seguridad en redes modernas - Seguridad informatica
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
 
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
 

More from Amador Aparicio

Presentación Amador Aparicio en Rooted19
Presentación Amador Aparicio en Rooted19Presentación Amador Aparicio en Rooted19
Presentación Amador Aparicio en Rooted19Amador Aparicio
 
Propuestas de proyectos fin de estudios curso 2013
Propuestas de proyectos fin de estudios curso 2013Propuestas de proyectos fin de estudios curso 2013
Propuestas de proyectos fin de estudios curso 2013Amador Aparicio
 
Examen Seguridad: Criptografía.
Examen Seguridad: Criptografía.Examen Seguridad: Criptografía.
Examen Seguridad: Criptografía.Amador Aparicio
 
Ejercicios funciones de hash
Ejercicios funciones de hashEjercicios funciones de hash
Ejercicios funciones de hashAmador Aparicio
 
Ejercicios criptografía
Ejercicios criptografíaEjercicios criptografía
Ejercicios criptografíaAmador Aparicio
 
Redes Recuperación Septiembre 02092013
Redes Recuperación Septiembre 02092013Redes Recuperación Septiembre 02092013
Redes Recuperación Septiembre 02092013Amador Aparicio
 
Reto hacker 7 curso 2012-13
Reto hacker 7 curso 2012-13Reto hacker 7 curso 2012-13
Reto hacker 7 curso 2012-13Amador Aparicio
 
Examen de Redes: subnetting.
Examen de Redes: subnetting.Examen de Redes: subnetting.
Examen de Redes: subnetting.Amador Aparicio
 
Intercambio de claves Diffie-Hellman.
Intercambio de claves Diffie-Hellman.Intercambio de claves Diffie-Hellman.
Intercambio de claves Diffie-Hellman.Amador Aparicio
 
Intercambio de claves Diffie-Hellman.
Intercambio de claves Diffie-Hellman.Intercambio de claves Diffie-Hellman.
Intercambio de claves Diffie-Hellman.Amador Aparicio
 

More from Amador Aparicio (20)

Reto Hacker1 2020-2021
Reto Hacker1 2020-2021Reto Hacker1 2020-2021
Reto Hacker1 2020-2021
 
Reto hacker 2
Reto hacker 2Reto hacker 2
Reto hacker 2
 
Presentación Amador Aparicio en Rooted19
Presentación Amador Aparicio en Rooted19Presentación Amador Aparicio en Rooted19
Presentación Amador Aparicio en Rooted19
 
Pechakucha FeedBack
Pechakucha FeedBackPechakucha FeedBack
Pechakucha FeedBack
 
Servicio DNS.
Servicio DNS. Servicio DNS.
Servicio DNS.
 
Propuestas de proyectos fin de estudios curso 2013
Propuestas de proyectos fin de estudios curso 2013Propuestas de proyectos fin de estudios curso 2013
Propuestas de proyectos fin de estudios curso 2013
 
Examen Seguridad: Criptografía.
Examen Seguridad: Criptografía.Examen Seguridad: Criptografía.
Examen Seguridad: Criptografía.
 
Ejercicios funciones de hash
Ejercicios funciones de hashEjercicios funciones de hash
Ejercicios funciones de hash
 
Ejercicios criptografía
Ejercicios criptografíaEjercicios criptografía
Ejercicios criptografía
 
Redes Recuperación Septiembre 02092013
Redes Recuperación Septiembre 02092013Redes Recuperación Septiembre 02092013
Redes Recuperación Septiembre 02092013
 
Grijota rrss
Grijota rrssGrijota rrss
Grijota rrss
 
Reto hacker 7 curso 2012-13
Reto hacker 7 curso 2012-13Reto hacker 7 curso 2012-13
Reto hacker 7 curso 2012-13
 
Examen de Redes: subnetting.
Examen de Redes: subnetting.Examen de Redes: subnetting.
Examen de Redes: subnetting.
 
Ejercicios RSA
Ejercicios RSAEjercicios RSA
Ejercicios RSA
 
Intercambio de claves Diffie-Hellman.
Intercambio de claves Diffie-Hellman.Intercambio de claves Diffie-Hellman.
Intercambio de claves Diffie-Hellman.
 
Intercambio de claves Diffie-Hellman.
Intercambio de claves Diffie-Hellman.Intercambio de claves Diffie-Hellman.
Intercambio de claves Diffie-Hellman.
 
El Algoritmo RSA
El Algoritmo RSAEl Algoritmo RSA
El Algoritmo RSA
 
Redes WiFi
Redes WiFiRedes WiFi
Redes WiFi
 
Redes WiFi
Redes WiFiRedes WiFi
Redes WiFi
 
Proxy java
Proxy javaProxy java
Proxy java
 

Sql injection, an old friend