Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Sql injection, an old friend

  • Be the first to comment

  • Be the first to like this

Sql injection, an old friend

  1. 1. SQL Injection,an old friend
  2. 2. SQLi, ¿desde cuándo?• 25 de diciembre de 1998.• Rain Forest Puppy.
  3. 3. SQLi, pasa el tiempo y …• Proyecto OWASP.
  4. 4. SQLi, arquitectura del SI …• Arquitectura de 3 niveles.
  5. 5. SQLi, arquitectura del SI …• Arquitectura de 3 niveles.
  6. 6. SQLi, arquitectura del SI …• Arquitectura de 3 niveles.
  7. 7. SQLi, peligros …• Extracción de información sensible de la BD dela organización.• Modificación de la información de la BD.–Ataques Persistentes.–XSS (Cross Site Scripting).• Apertura de una shell remota.–Máquinas de la red interna comprometidas.
  8. 8. SQLi, el proceso…1. Búsqueda de una aplicación vulnerable.– Técnicas de Dorking.2. Estudiar caracteríticas de sistema a auditar.– Técnicas de Footprinting, Fingerprinting.3. Estudiar el comportamiento del sistema:booleanización, tautologías.– ¿Vulnerable?4. Extracción de la información.– Play the Piano, SQL.5. ¿Cómo parcheamos el sistema?
  9. 9. SQLi, Play the Piano …
  10. 10. Gracias …SELECT *FROM DUDAS;

×