SlideShare uma empresa Scribd logo

Inyeccion de codigo

Transferir como PPTX, PDF
Federico Hernández González
Federico Hernández González
1 de 13
Inyección de Código
Integrantes de equipo • Federico Hernández González • Guadalupe Esparza López • Carlos Morales de Jesús • Eugenio Reyes Esteban • Marcos Amador Valdivia • Javier Serna Gutiérrez. 20/05/2013 Zacualtipán de Ángeles Hidalgo Grado y Grupo: 9 A Prof. Luis Alberto Ruiz Aguilar.
• Introducción • Tipos de inyección de código • Ejemplos de ataques • Ejemplo 1 • Ejemplo 2 • Evitar la inyección de código • Conclusión
• La inyección de código es un tipo de ataque que consiste en que los atacantes extraigan información, roben credenciales, tomen control de la página atacada o algún otro tipo de actividades maliciosas. • La inyección SQL consiste en la modificación de las consultas a nuestra base de datos a partir de los parámetros pasados por URL al script en PHP.
• Las inyecciones pueden ocurrir siempre que un lenguaje de programación intermedio como PHP procesa datos recibidos por el usuario para generar código en otro lenguaje como SQL o HTML
• El problema de las inyecciones no se limita al SQL; existen numerosos tipos de inyecciones de código, entre ellas: – SQL – HTML – Javascript – Embed – Email • Además de cierto tipo de inyecciones que no son de código pero pueden afectar, por ejemplo, al sistema de archivos.
• Obtención de la base de datos completa usando sentencias SELECT • Modificación o inserción de datos usando INSERT o UPDATE • Borrado de la base de datos usando DELETE
• Ejecución de comandos del sistema operativo usando EXEC master.dbo.xp_cmdshell por ejemplo, el valor de pass sería pass=hack' EXEC master.dbo.xp_cmdshell'cmd.exe dir c:'-- • Apagado remoto del servidor pass=hack' EXEC master.dbo.xp_cmdshell'cmd.exe shutdown'--
$usuario=$_POST[’usuario’]; $password=$_POST[’password’]; $sql=”SELECT * FROM usuarios WHERE usuario=’$usuario’ AND password=’$password’”; $result=mysql_query($sql); SELECT * FROM usuarios WHERE usuario=’a’ AND password=’a’ OR ‘1=1′
• Captchas – Es una prueba utilizada para comprobar que el usuario es una persona y no una máquina. Se utilizan para impedir que se pueda tener acceso a la función de un script de forma automática. • Bloquear todos los caracteres especiales que no sean letras ni números.
• Validación de formularios • Las contraseñas sean numéricas
Las inyecciones de código pueden representar un problema potencial para los sistemas que realizamos, por eso es muy importante enfocarse en la seguridad cuando se desarrolla un proyecto.
Referencias. • Astaroth7. (s.f.). Introduccion a la Inyeccion de codigo. Obtenido de 2010: http://foro.elhacker.net/programacion_cc/introduccion_a_la_inyeccio n_de_codigo-t262600.0.html • Cortes, R. (s.f.). Inyecciones SQL. Recuperado el 2011, de http://www.romancortes.com/blog/tag/seguridad/ • (2009). Como Realizar Un SQL Injection **Principiante**, http://www.youtube.com/watch?v=-tbNxhvWl7g • (2011). SQL Inyeccion Basica Para Novatos, https://www.youtube.com/watch?v=aAOv2NCvaec

Recomendados

Inyección de código
Inyección de códigoInyección de código
Inyección de códigoCarlos Arturo Fyuler
 
INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)toshko86
 
Sql injection
Sql injectionSql injection
Sql injectionMinoxx
 
Inyeccion sql
Inyeccion sqlInyeccion sql
Inyeccion sqlobispo28
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendicesTensor
 
Seguridad sql injection
Seguridad sql injectionSeguridad sql injection
Seguridad sql injectionGary Briceño
 
Inyección_sql
Inyección_sqlInyección_sql
Inyección_sqljhom123
 
Inyecciones SQL
Inyecciones SQLInyecciones SQL
Inyecciones SQLAndy Gomez Soria
 

Recomendados

Inyección de código
Inyección de códigoInyección de código
Inyección de códigoCarlos Arturo Fyuler
 
INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)INYECCION SQL(SEGURIDAD DE LA INFORMACION)
INYECCION SQL(SEGURIDAD DE LA INFORMACION)toshko86
 
Sql injection
Sql injectionSql injection
Sql injectionMinoxx
 
Inyeccion sql
Inyeccion sqlInyeccion sql
Inyeccion sqlobispo28
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendicesTensor
 
Seguridad sql injection
Seguridad sql injectionSeguridad sql injection
Seguridad sql injectionGary Briceño
 
Inyección_sql
Inyección_sqlInyección_sql
Inyección_sqljhom123
 
Inyecciones SQL
Inyecciones SQLInyecciones SQL
Inyecciones SQLAndy Gomez Soria
 
Inyección sql1
Inyección sql1Inyección sql1
Inyección sql1piolincita89
 
Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0José Moreno
 
Ataques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseAtaques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseSupra Networks
 
Base de datos
Base de datosBase de datos
Base de datosBlind Jose
 
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...Jesús Daniel Mayo
 
Programa 9
Programa 9Programa 9
Programa 9Erick Ramirez
 
04 enunciado de laboratorio 1.3
04 enunciado de laboratorio 1.304 enunciado de laboratorio 1.3
04 enunciado de laboratorio 1.3KikeSanchezAguilar
 
Forzar claves
Forzar clavesForzar claves
Forzar clavesMiguel Sanchez Enriquez
 
04 enunciado de laboratorio 1.1
04 enunciado de laboratorio 1.104 enunciado de laboratorio 1.1
04 enunciado de laboratorio 1.1KikeSanchezAguilar
 
04 enunciado de laboratorio 1.2
04 enunciado de laboratorio 1.204 enunciado de laboratorio 1.2
04 enunciado de laboratorio 1.2KikeSanchezAguilar
 
Switch
SwitchSwitch
SwitchBelenRosales12
 
Android Base de Datos
Android Base de DatosAndroid Base de Datos
Android Base de DatosGeyser Angaspilco Montenegro
 
Seguridad de aplicaciones web 2.0
Seguridad de aplicaciones web 2.0Seguridad de aplicaciones web 2.0
Seguridad de aplicaciones web 2.0Pablo Viquez
 
Inyecciones sql para todos
Inyecciones sql para todosInyecciones sql para todos
Inyecciones sql para todoscsaralg
 
Presentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona SeguridadPresentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona Seguridadguestbfa74a
 
Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"Alonso Caballero
 
Seguridad en Servidores Dedicados
Seguridad en Servidores DedicadosSeguridad en Servidores Dedicados
Seguridad en Servidores DedicadosNominalia
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPMarcos Harasimowicz
 
Vulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones webVulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones webRealTIC
 
SQL Injection Joinea 2010
SQL Injection Joinea 2010SQL Injection Joinea 2010
SQL Injection Joinea 2010magnobalt
 
Mejores prácticas desarrollo de base de datos
Mejores prácticas desarrollo de base de datos Mejores prácticas desarrollo de base de datos
Mejores prácticas desarrollo de base de datos Eduardo Castro
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De DatosWilliam Suárez
 

Mais conteúdo relacionado

Mais procurados

Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0José Moreno
 
Ataques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseAtaques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseSupra Networks
 
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...Jesús Daniel Mayo
 
04 enunciado de laboratorio 1.3
04 enunciado de laboratorio 1.304 enunciado de laboratorio 1.3
04 enunciado de laboratorio 1.3KikeSanchezAguilar
 
04 enunciado de laboratorio 1.1
04 enunciado de laboratorio 1.104 enunciado de laboratorio 1.1
04 enunciado de laboratorio 1.1KikeSanchezAguilar
 
04 enunciado de laboratorio 1.2
04 enunciado de laboratorio 1.204 enunciado de laboratorio 1.2
04 enunciado de laboratorio 1.2KikeSanchezAguilar
 
Seguridad de aplicaciones web 2.0
Seguridad de aplicaciones web 2.0Seguridad de aplicaciones web 2.0
Seguridad de aplicaciones web 2.0Pablo Viquez
 

Mais procurados (13)

Inyección sql1
Inyección sql1Inyección sql1
Inyección sql1
 
Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0
 
Ataques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseAtaques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerse
 
Base de datos
Base de datosBase de datos
Base de datos
 
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
 
Programa 9
Programa 9Programa 9
Programa 9
 
04 enunciado de laboratorio 1.3
04 enunciado de laboratorio 1.304 enunciado de laboratorio 1.3
04 enunciado de laboratorio 1.3
 
Forzar claves
Forzar clavesForzar claves
Forzar claves
 
04 enunciado de laboratorio 1.1
04 enunciado de laboratorio 1.104 enunciado de laboratorio 1.1
04 enunciado de laboratorio 1.1
 
04 enunciado de laboratorio 1.2
04 enunciado de laboratorio 1.204 enunciado de laboratorio 1.2
04 enunciado de laboratorio 1.2
 
Switch
SwitchSwitch
Switch
 
Android Base de Datos
Android Base de DatosAndroid Base de Datos
Android Base de Datos
 
Seguridad de aplicaciones web 2.0
Seguridad de aplicaciones web 2.0Seguridad de aplicaciones web 2.0
Seguridad de aplicaciones web 2.0
 

Semelhante a Inyeccion de codigo

Inyecciones sql para todos
Inyecciones sql para todosInyecciones sql para todos
Inyecciones sql para todoscsaralg
 
Presentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona SeguridadPresentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona Seguridadguestbfa74a
 
Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"Alonso Caballero
 
Seguridad en Servidores Dedicados
Seguridad en Servidores DedicadosSeguridad en Servidores Dedicados
Seguridad en Servidores DedicadosNominalia
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPMarcos Harasimowicz
 
Vulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones webVulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones webRealTIC
 
SQL Injection Joinea 2010
SQL Injection Joinea 2010SQL Injection Joinea 2010
SQL Injection Joinea 2010magnobalt
 
Mejores prácticas desarrollo de base de datos
Mejores prácticas desarrollo de base de datos Mejores prácticas desarrollo de base de datos
Mejores prácticas desarrollo de base de datos Eduardo Castro
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De DatosWilliam Suárez
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datosguestb40a1b0
 
Seguridad en SQL Server
Seguridad en SQL ServerSeguridad en SQL Server
Seguridad en SQL ServerRodrigo Corral
 
Seguridad
SeguridadSeguridad
SeguridadVLASLOV
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones webJDanniel Pacheco
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackMarc Pàmpols
 
Seguridad en Base de Datos
Seguridad en Base de DatosSeguridad en Base de Datos
Seguridad en Base de Datosmyriam sarango
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webJuan Eladio Sánchez Rosas
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 

Semelhante a Inyeccion de codigo (20)

Inyecciones sql para todos
Inyecciones sql para todosInyecciones sql para todos
Inyecciones sql para todos
 
Presentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona SeguridadPresentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona Seguridad
 
Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"
 
Seguridad en Servidores Dedicados
Seguridad en Servidores DedicadosSeguridad en Servidores Dedicados
Seguridad en Servidores Dedicados
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASP
 
Vulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones webVulnerabilidades en aplicaciones web
Vulnerabilidades en aplicaciones web
 
SQL Injection Joinea 2010
SQL Injection Joinea 2010SQL Injection Joinea 2010
SQL Injection Joinea 2010
 
Mejores prácticas desarrollo de base de datos
Mejores prácticas desarrollo de base de datos Mejores prácticas desarrollo de base de datos
Mejores prácticas desarrollo de base de datos
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Seguridad en SQL Server
Seguridad en SQL ServerSeguridad en SQL Server
Seguridad en SQL Server
 
Sql Injection
Sql InjectionSql Injection
Sql Injection
 
Seguridad
SeguridadSeguridad
Seguridad
 
Mario y Carlos 9 1
Mario y Carlos 9 1Mario y Carlos 9 1
Mario y Carlos 9 1
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones web
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstack
 
Sql4
Sql4Sql4
Sql4
 
Seguridad en Base de Datos
Seguridad en Base de DatosSeguridad en Base de Datos
Seguridad en Base de Datos
 
Seguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones webSeguridad en el desarrollo de aplicaciones web
Seguridad en el desarrollo de aplicaciones web
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
 

Inyeccion de codigo

  • 2. Integrantes de equipo • Federico Hernández González • Guadalupe Esparza López • Carlos Morales de Jesús • Eugenio Reyes Esteban • Marcos Amador Valdivia • Javier Serna Gutiérrez. 20/05/2013 Zacualtipán de Ángeles Hidalgo Grado y Grupo: 9 A Prof. Luis Alberto Ruiz Aguilar.
  • 3. • Introducción • Tipos de inyección de código • Ejemplos de ataques • Ejemplo 1 • Ejemplo 2 • Evitar la inyección de código • Conclusión
  • 4. • La inyección de código es un tipo de ataque que consiste en que los atacantes extraigan información, roben credenciales, tomen control de la página atacada o algún otro tipo de actividades maliciosas. • La inyección SQL consiste en la modificación de las consultas a nuestra base de datos a partir de los parámetros pasados por URL al script en PHP.
  • 5. • Las inyecciones pueden ocurrir siempre que un lenguaje de programación intermedio como PHP procesa datos recibidos por el usuario para generar código en otro lenguaje como SQL o HTML
  • 6. • El problema de las inyecciones no se limita al SQL; existen numerosos tipos de inyecciones de código, entre ellas: – SQL – HTML – Javascript – Embed – Email • Además de cierto tipo de inyecciones que no son de código pero pueden afectar, por ejemplo, al sistema de archivos.
  • 7. • Obtención de la base de datos completa usando sentencias SELECT • Modificación o inserción de datos usando INSERT o UPDATE • Borrado de la base de datos usando DELETE
  • 8. • Ejecución de comandos del sistema operativo usando EXEC master.dbo.xp_cmdshell por ejemplo, el valor de pass sería pass=hack' EXEC master.dbo.xp_cmdshell'cmd.exe dir c:'-- • Apagado remoto del servidor pass=hack' EXEC master.dbo.xp_cmdshell'cmd.exe shutdown'--
  • 9. $usuario=$_POST[’usuario’]; $password=$_POST[’password’]; $sql=”SELECT * FROM usuarios WHERE usuario=’$usuario’ AND password=’$password’”; $result=mysql_query($sql); SELECT * FROM usuarios WHERE usuario=’a’ AND password=’a’ OR ‘1=1′
  • 10. • Captchas – Es una prueba utilizada para comprobar que el usuario es una persona y no una máquina. Se utilizan para impedir que se pueda tener acceso a la función de un script de forma automática. • Bloquear todos los caracteres especiales que no sean letras ni números.
  • 11. • Validación de formularios • Las contraseñas sean numéricas
  • 12. Las inyecciones de código pueden representar un problema potencial para los sistemas que realizamos, por eso es muy importante enfocarse en la seguridad cuando se desarrolla un proyecto.
  • 13. Referencias. • Astaroth7. (s.f.). Introduccion a la Inyeccion de codigo. Obtenido de 2010: http://foro.elhacker.net/programacion_cc/introduccion_a_la_inyeccio n_de_codigo-t262600.0.html • Cortes, R. (s.f.). Inyecciones SQL. Recuperado el 2011, de http://www.romancortes.com/blog/tag/seguridad/ • (2009). Como Realizar Un SQL Injection **Principiante**, http://www.youtube.com/watch?v=-tbNxhvWl7g • (2011). SQL Inyeccion Basica Para Novatos, https://www.youtube.com/watch?v=aAOv2NCvaec