Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Webinar –Ataques por Inyección SQLs

64 visualizaciones

Publicado el

En qué consisten los ataques tipo inyección SQL, cuáles son los pasos que realiza un hacker hasta conseguir su objetivo. Te mostramos algunas herramientas empleadas en este tipo de ataques.

Publicado en: Tecnología
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Webinar –Ataques por Inyección SQLs

  1. 1. ATAQUES SQLI ALBERTO GARRIDO
  2. 2. ¿ EN QUÉ CONSISTEN LOS ATAQUES SQLI ? • INSERCIÓN DE CÓDIGO O SENTENCIAS SQL QUE PROVOQUEN ACCESO A LA BBDD • INSERCIÓN DE CÓDIGO A TRAVÉS DEL NAVEGADOR • INSERCIÓN DE CÓDIGO A TRAVÉS DE FORMULARIOS • INSERCIÓN DE CÓDIGO USANDO CAMPOS DE BÚSQUEDA DE LA WEB • EMPLEANDO HERRAMIENTAS ESPECÍFICAS DE ACCESO A BBDD
  3. 3. ¿ POR QUÉ SON POSIBLES LOS ATAQUES SQLI ? • VERSIONES ANTIGUAS DE SQL SERVER • AUSENCIA DE CONTRASEÑA O CONTRASEÑAS POCO SEGURAS • MALA CONFIGURACIÓN EN LOS NIVELES DE ACCESO Y PERMISOS • AUSENCIA DE FIREWALLS O PROTECCIONES A LA BASE DE DATOS • VOLCADO DE INFORMACIÓN EN LOS BANNERS DE ACCESO
  4. 4. VEAMOS ALGÚN EJEMPLO
  5. 5. EJEMPLOS • Inyección por navegador searchquery=1%27%3D%270%27+UNION+SELECT+1%2C+1%2C+1%2C+1+from+ userdb+%23+&action=search&x=0&y=0 • Inyección en campos de búsqueda ' or '1'= '1' -- ; • Inyección por herramienta searchquery=hi&action=search&x=0&y=0" sqlmap -u "http://192.168.1.3/cgi- bin/badstore.cgi?searchquery=hi&action=search&x=0&y=0" -D badstoredb -T userdb -C email --dum
  6. 6. ¿ CÓMO EVITAMOS UN ATAQUE TIPO SQLI ? • EQUIPOS Y SOFTWARE ACTUALIZADO • TENER CLARA LA INSTALACION DE MYSQL • ESTABLECER USUARIOS Y PERMISOS CON CRITERIO Y SABIENDO LO QUE HACEMOS • DELEGAR RESPONSABILIDADES EN SOLUCIONES DE TERCEROS • ESTABLECER CONTRASEÑAS SEGURAS • ACTUALIZAR A LA ÚLTIMA VERSIÓN SQL • INSTALAR LOS PARCHES DE SEGURIDAD
  7. 7. ¿PREGUNTAS? GRACIAS

×