sql injection, an old friend
TRANSCRIPT
![Page 1: Sql injection, an old friend](https://reader036.vdocuments.mx/reader036/viewer/2022082606/558bbbfad8b42ab12e8b45e9/html5/thumbnails/1.jpg)
SQL Injection,
an old friend
![Page 2: Sql injection, an old friend](https://reader036.vdocuments.mx/reader036/viewer/2022082606/558bbbfad8b42ab12e8b45e9/html5/thumbnails/2.jpg)
SQLi, ¿desde cuándo?• 25 de diciembre de 1998.• Rain Forest Puppy.
![Page 3: Sql injection, an old friend](https://reader036.vdocuments.mx/reader036/viewer/2022082606/558bbbfad8b42ab12e8b45e9/html5/thumbnails/3.jpg)
SQLi, pasa el tiempo y …
• Proyecto OWASP.
![Page 4: Sql injection, an old friend](https://reader036.vdocuments.mx/reader036/viewer/2022082606/558bbbfad8b42ab12e8b45e9/html5/thumbnails/4.jpg)
SQLi, arquitectura del SI …
• Arquitectura de 3 niveles.
![Page 5: Sql injection, an old friend](https://reader036.vdocuments.mx/reader036/viewer/2022082606/558bbbfad8b42ab12e8b45e9/html5/thumbnails/5.jpg)
SQLi, arquitectura del SI …
• Arquitectura de 3 niveles.
![Page 6: Sql injection, an old friend](https://reader036.vdocuments.mx/reader036/viewer/2022082606/558bbbfad8b42ab12e8b45e9/html5/thumbnails/6.jpg)
SQLi, arquitectura del SI …
• Arquitectura de 3 niveles.
![Page 7: Sql injection, an old friend](https://reader036.vdocuments.mx/reader036/viewer/2022082606/558bbbfad8b42ab12e8b45e9/html5/thumbnails/7.jpg)
SQLi, peligros …
• Extracción de información sensible de la BD de la organización.
• Modificación de la información de la BD.–Ataques Persistentes.–XSS (Cross Site Scripting).
• Apertura de una shell remota.–Máquinas de la red interna comprometidas.
![Page 8: Sql injection, an old friend](https://reader036.vdocuments.mx/reader036/viewer/2022082606/558bbbfad8b42ab12e8b45e9/html5/thumbnails/8.jpg)
SQLi, el proceso…1. Búsqueda de una aplicación vulnerable.– Técnicas de Dorking.
2. Estudiar caracteríticas de sistema a auditar.– Técnicas de Footprinting, Fingerprinting.
3. Estudiar el comportamiento del sistema: booleanización, tautologías.– ¿Vulnerable?
4. Extracción de la información.– Play the Piano, SQL.
5. ¿Cómo parcheamos el sistema?
![Page 9: Sql injection, an old friend](https://reader036.vdocuments.mx/reader036/viewer/2022082606/558bbbfad8b42ab12e8b45e9/html5/thumbnails/9.jpg)
SQLi, Play the Piano …
![Page 10: Sql injection, an old friend](https://reader036.vdocuments.mx/reader036/viewer/2022082606/558bbbfad8b42ab12e8b45e9/html5/thumbnails/10.jpg)
Gracias …
SELECT *FROM DUDAS;