Upload File

o t i u inyección sql t a r g alonso eduardo caballero ......en network security administrator,...

  • Home
  • Documents
  • o t i u Inyección SQL t a r G Alonso Eduardo Caballero ......en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling,
13
Inyección SQL Webinar Gratuito Alonso Eduardo Caballero Quezada Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux Sitio Web: https://www.ReYDeS.com -:- e-mail: [email protected] Jueves 4 de Febrero del 2021

Upload: others

Post on 18-Mar-2021

0 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: o t i u Inyección SQL t a r G Alonso Eduardo Caballero ......en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling,

Inyección SQL

Web

inar

Gra

tuit

o

Alonso Eduardo Caballero QuezadaInstructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux

Sitio Web: https://www.ReYDeS.com -:- e-mail: [email protected]

Jueves 4 de Febrero del 2021

https://www.ReYDeS.com/
https://www.reydes.com/d/?q=contact
Page 2: o t i u Inyección SQL t a r G Alonso Eduardo Caballero ......en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling,

Alonso Eduardo Caballero Quezada

EXIN Ethical Hacking Foundation Certificate, LPIC-1 Linux Administrator Certified, LPI Linux Essentials Certificate, IT Masters Certificate of Achievement en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling, Digital Forensics, Cybersecurity Management Cyber Warfare and Terrorism, Enterprise Cyber Security Fundamentals, Phishing Countermeasures Pen Testing, Certificate Autopsy Basics and Hands On, ICSI Certified Network Security Specialist y OSEH.

Más de 18 años de experiencia como consultor e instructor independiente en las áreas de Hacking Ético y Forense Digital. Ha dictado cursos presenciales y virtuales en Ecuador, España, Bolivia y Perú, presentándose también constantemente en exposiciones enfocadas a Hacking Ético, Forense Digital, GNU/Linux.

Alonso Eduardo Caballero Quezada -:- Sitio web: https://www.reydes.com -:- e-mail: [email protected]

https://www.reydes.com/
https://www.reydes.com/d/?q=contact
Page 3: o t i u Inyección SQL t a r G Alonso Eduardo Caballero ......en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling,

Redes Sociales

Alonso Eduardo Caballero Quezada -:- Sitio web: https://www.reydes.com -:- e-mail: [email protected]

https://www.linkedin.com/in/alonsocaballeroquezada/

https://twitter.com/Alonso_ReYDeS

https://www.youtube.com/c/AlonsoCaballero

https://www.facebook.com/alonsoreydes/

https://www.reydes.com

[email protected]

+51 949 304 030

https://www.reydes.com/
https://www.reydes.com/d/?q=contact
https://www.linkedin.com/in/alonsocaballeroquezada/
https://twitter.com/Alonso_ReYDeS
https://www.youtube.com/c/AlonsoCaballero
https://www.facebook.com/alonsoreydes/
https://www.reydes.com/
mailto:[email protected]
Page 4: o t i u Inyección SQL t a r G Alonso Eduardo Caballero ......en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling,

SQL

Alonso Eduardo Caballero Quezada -:- Sitio web: https://www.reydes.com -:- e-mail: [email protected]

SQL (Structured Query Language) es un lenguaje estándar para acceder y manipular bases de datos.

SQL puede ejecutar consultas contra una base de datos, obtener datos, insertar registros, actualizar registros, borrar registros, crear nuevas bases de datos, crear nuevas tablas, crear procedimientos almacenados en una base de datos, crear vistas, y ajustar permisos en tablas, procedimientos y vistas.

Para construir un sitio web el cual muestre datos desde una base de datos se necesita; un programa de base de datos, un lenguaje para scripting en el lado del servidor, utilizar SQL para obtener datos, y utilizar HTML / CSS en la página.

* https://www.w3schools.com/sql/sql_intro.asp

https://www.reydes.com/
https://www.reydes.com/d/?q=contact
https://www.w3schools.com/sql/sql_intro.asp
Page 5: o t i u Inyección SQL t a r G Alonso Eduardo Caballero ......en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling,

Inyección SQL

Alonso Eduardo Caballero Quezada -:- Sitio web: https://www.reydes.com -:- e-mail: [email protected]

Implica la inserción o “inyección” de una consulta SQL mediante la entrada de datos desde un cliente hacia la aplicación.

La explotación exitosa de una inyección SQL puede leer datos sensibles desde una base de datos, modificar los datos de la base de datos, ejecutar operaciones de administración sobre la base de datos, recuperar contenido de un archivo presente en el sistema de archivos, y en algunos casos ejecutar comandos a nivel del sistema operativo.

Los ataques de inyección SQL son un tipo de ataque para inyección, en el cual comandos SQL son inyectados dentro de una entrada plana de datos, para poder efectuar la ejecución de comandos SQL predefinidos.

* https://owasp.org/www-community/attacks/SQL_Injection

https://www.reydes.com/
https://www.reydes.com/d/?q=contact
https://owasp.org/www-community/attacks/SQL_Injection
Page 6: o t i u Inyección SQL t a r G Alonso Eduardo Caballero ......en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling,

Inyección SQL (Cont.)

Alonso Eduardo Caballero Quezada -:- Sitio web: https://www.reydes.com -:- e-mail: [email protected]

Los ataques de inyección SQL pueden ser divididos en las siguientes tres clases:

● Inband: Los datos se extraen utilizando el mismo canal utilizado para inyectar el código SQL. Es el tipo de ataque más sencillo, en el cual los datos obtenidos son presentados directamente en la página de la aplicación web.

● Out-of-band: Los datos son obtenidos utilizando un canal diferente (se genera un correo electrónico con los resultados de la consulta y se envían al profesional)

● Inferential o Blind: No existe una transferencia de datos, pero se está en la capacidad de reconstruir la información enviando peticiones particulares y observando el comportamiento resultante del servidor de base de datos.

https://www.reydes.com/
https://www.reydes.com/d/?q=contact
Page 7: o t i u Inyección SQL t a r G Alonso Eduardo Caballero ......en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling,

Técnicas para Detectar Inyecciones SQL

Alonso Eduardo Caballero Quezada -:- Sitio web: https://www.reydes.com -:- e-mail: [email protected]

Entender como la aplicación interactúa con el servidor de bases de datos para acceder hacia los datos. Ejemplos típicos donde una aplicación necesita hablar con una base de datos son:

● Formularios para autenticación

● Motores de búsqueda

● Sitios de comercio electrónico

La primera prueba usualmente consiste en añadir una ‘ (comillas simple) o ; (punto y coma). Otra manera es insertar una cadena donde se espera un número. https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/07-Input_Validation_Testing/05-Testing_for_SQL_Injection

https://www.reydes.com/
https://www.reydes.com/d/?q=contact
https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/07-Input_Validation_Testing/05-Testing_for_SQL_Injection
https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/07-Input_Validation_Testing/05-Testing_for_SQL_Injection
https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/07-Input_Validation_Testing/05-Testing_for_SQL_Injection
Page 8: o t i u Inyección SQL t a r G Alonso Eduardo Caballero ......en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling,

SQLMap

Alonso Eduardo Caballero Quezada -:- Sitio web: https://www.reydes.com -:- e-mail: [email protected]

SQLMap es una herramienta para pruebas de penetración, la cual automatiza el proceso de detectar y explotar fallas de inyección SQL, para consecuentemente tomar control de los servidores de bases de datos.

Incorpora un poderoso motor para la detección, ademas de muchas características importantes para los profesionales en pruebas de penetración, como también una amplio espectro de opciones, las cuales permiten desde obtener una huella de la base de datos, obtener datos desde la base de datos, acceder al sistema de archivos subyacente y ejecutar comandos sobre el sistema operativo, mediante conexiones fuera de banda.

* http://sqlmap.org/* https://github.com/sqlmapproject/sqlmap/wiki

https://www.reydes.com/
https://www.reydes.com/d/?q=contact
http://sqlmap.org/
https://github.com/sqlmapproject/sqlmap/wiki
Page 9: o t i u Inyección SQL t a r G Alonso Eduardo Caballero ......en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling,

Curso

Alonso Eduardo Caballero Quezada -:- Sitio web: https://www.reydes.com -:- e-mail: [email protected]

.

Más Información: https://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web e-mail: [email protected] Sitio Web: https://www.reydes.com

https://www.reydes.com/
https://www.reydes.com/d/?q=contact
https://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web
https://www.reydes.com/d/?q=contact
https://www.reydes.com/
Page 10: o t i u Inyección SQL t a r G Alonso Eduardo Caballero ......en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling,

Demostraciones

Alonso Eduardo Caballero Quezada -:- Sitio web: https://www.reydes.com -:- e-mail: [email protected]

https://www.reydes.com/
https://www.reydes.com/d/?q=contact
Page 11: o t i u Inyección SQL t a r G Alonso Eduardo Caballero ......en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling,

Cursos Virtuales Disponibles en Video

Alonso Eduardo Caballero Quezada -:- Sitio web: https://www.reydes.com -:- e-mail: [email protected]

Curso Virtual de Hacking Éticohttps://www.reydes.com/d/?q=Curso_de_Hacking_Etico

Curso Virtual de Hacking Aplicaciones Webhttps://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web

Curso Virtual de Informática Forensehttps://www.reydes.com/d/?q=Curso_de_Informatica_Forense

Curso Virtual Hacking con Kali Linuxhttps://www.reydes.com/d/?q=Curso_de_Hacking_con_Kali_Linux

Curso Virtual OSINT - Open Source Intelligencehttps://www.reydes.com/d/?q=Curso_de_OSINT

Curso Virtual Forense de Redeshttps://www.reydes.com/d/?q=Curso_Forense_de_Redes

Y todos los cursos virtuales:

https://www.reydes.com/d/?q=cursos

https://www.reydes.com/
https://www.reydes.com/d/?q=contact
https://www.reydes.com/d/?q=Curso_de_Hacking_Etico
https://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web
https://www.reydes.com/d/?q=Curso_de_Informatica_Forense
https://www.reydes.com/d/?q=Curso_de_Hacking_con_Kali_Linux
https://www.reydes.com/d/?q=Curso_de_OSINT
https://www.reydes.com/d/?q=Curso_Forense_de_Redes
https://www.reydes.com/d/?q=cursos
Page 12: o t i u Inyección SQL t a r G Alonso Eduardo Caballero ......en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling,

Más Contenidos

Alonso Eduardo Caballero Quezada -:- Sitio web: https://www.reydes.com -:- e-mail: [email protected]

Videos de 63 webinars gratuitos

https://www.reydes.com/d/?q=videos

Diapositivas de los webinars gratuitos

https://www.reydes.com/d/?q=eventos

Artículos y documentos publicados

https://www.reydes.com/d/?q=documentos

Blog sobre temas de mi interés

https://www.reydes.com/d/?q=blog/1

https://www.reydes.com/
https://www.reydes.com/d/?q=contact
https://www.reydes.com/d/?q=videos
https://www.reydes.com/d/?q=eventos
https://www.reydes.com/d/?q=documentos
https://www.reydes.com/d/?q=blog/1
Page 13: o t i u Inyección SQL t a r G Alonso Eduardo Caballero ......en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling,

Inyección SQL

Web

inar

Gra

tuit

o

Alonso Eduardo Caballero QuezadaInstructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux

Sitio Web: https://www.ReYDeS.com -:- e-mail: [email protected]

Jueves 4 de Febrero del 2021

https://www.ReYDeS.com/
https://www.reydes.com/d/?q=contact

London Metropolitan University Faculty of Life Sciences … Typical security and network threat countermeasures .....18 6-2-1 Security threat countermeasures.....18 ... 6-2-2 Network

Web Application Security Vulnerabilities, attacks, and countermeasures

Table of Contents · protection (including scour countermeasures, seismic retrofits, impact protection measures, security countermeasures, and protection against extreme events) of

IIS Security And Programming Countermeasures

Security threats and countermeasures in daily life - Symantec

Challenges and countermeasures of China’s energy security866434/... · 2015-11-02 · Challenges and countermeasures of China’s energy security ... "China's energy" and "China's

Security Part One: Attacks and Countermeasures

Security Threats,Vulnerabilities and Countermeasures

Virtual Lan Security Weaknesses Countermeasures

Risk assessment and security countermeasures for vehicular ... · Risk assessment and security countermeasures for vehicular instrument clusters Horatiu Gurban Bogdan Groza Pal-Stefan

IT Security Threats Vulnerabilities and Countermeasures

Virtual Lan Security Weaknesses Countermeasures 1090

Industrial IoT Security Attacks & Countermeasures · Industrial IoT Security Attacks & Countermeasures Conference 2016 Chris Shire – Infineon Technologies 06.12.16

Security attacks and countermeasures in DOCSIS networks

Buffer Overflow Countermeasures, DEP, Security Assessment

Security shortcomings and countermeasures for the …bgroza/Papers/j1939.pdf · Security shortcomings and countermeasures for the SAE J1939 commercial vehicle bus protocol ... (UDS)

Attack, Detection and Countermeasures: A demo on Satellite Networks Security

Ethical Hacking and Countermeasures - Simplilearn · Information Security Controls o Why Ethical Hacking is Necessary ... Ethical Hacking and Countermeasures ... SolarWind’s IP

Security of User Interfaces: Attacks and Countermeasures

Security Vulnerabilities and Countermeasures for Time

CCNA Security S1 1 [Modo de compatibilidad]€¢ Selecting and implementing countermeasures • Network security design What is Network Security? National Security Telecommunications

Security Attacks and its Countermeasures in Wireless Sensor

Unit 2 Discussion 1_Selecting Security Countermeasures

30. IT Security: Threats, Vulnerabilities and Countermeasures (PPT)

RFID Technology, Security Vulnerabilities, and Countermeasures

Threats and Countermeasures for Network Security … · Threats and Countermeasures for Network Security ... Threats and Countermeasures for Network Security ... Computer Recreations

Common Security Attacks and Their Countermeasures

Perimeter Security Conner Finlay & Alex Getty. Overview Definitions Household o Concerns o Countermeasures Office Buildings o Concerns o Countermeasures

A Survey on Security Threats and Countermeasures in IEEE

DIS10:Ethical Hacking and countermeasures - Cyber Security€¦ · career in Information Security and Ethical Hacking ... social network hacking, ... DIS10.1 Ethical Hacking and Countermeasures

Security Evaluation of DPA Countermeasures Using … · Security Evaluation of DPA Countermeasures Using ... Combinational circuit ... LSI designers need to adjust the delay of signals

Hardware Security Threats and Potential Countermeasures in ...emre/papers/p69-dofe.pdf · Hardware Security Threats and Potential Countermeasures in Emerging 3D ICs Jaya Dofe Qiaoyan

Iis Security Programming Countermeasures

KEIJO HAATAJA Security Threats and Countermeasures in ... · Security Threats and Countermeasures in Bluetooth-Enabled Systems ... FHSS Frequency Hopping Spread Spectrum ... PDA Personal

Masking countermeasures against HO-DPA: security