O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

Webinar –Ataques por Inyección SQLs

En qué consisten los ataques tipo inyección SQL, cuáles son los pasos que realiza un hacker hasta conseguir su objetivo. Te mostramos algunas herramientas empleadas en este tipo de ataques.

  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Webinar –Ataques por Inyección SQLs

  1. 1. ATAQUES SQLI ALBERTO GARRIDO
  2. 2. ¿ EN QUÉ CONSISTEN LOS ATAQUES SQLI ? • INSERCIÓN DE CÓDIGO O SENTENCIAS SQL QUE PROVOQUEN ACCESO A LA BBDD • INSERCIÓN DE CÓDIGO A TRAVÉS DEL NAVEGADOR • INSERCIÓN DE CÓDIGO A TRAVÉS DE FORMULARIOS • INSERCIÓN DE CÓDIGO USANDO CAMPOS DE BÚSQUEDA DE LA WEB • EMPLEANDO HERRAMIENTAS ESPECÍFICAS DE ACCESO A BBDD
  3. 3. ¿ POR QUÉ SON POSIBLES LOS ATAQUES SQLI ? • VERSIONES ANTIGUAS DE SQL SERVER • AUSENCIA DE CONTRASEÑA O CONTRASEÑAS POCO SEGURAS • MALA CONFIGURACIÓN EN LOS NIVELES DE ACCESO Y PERMISOS • AUSENCIA DE FIREWALLS O PROTECCIONES A LA BASE DE DATOS • VOLCADO DE INFORMACIÓN EN LOS BANNERS DE ACCESO
  4. 4. VEAMOS ALGÚN EJEMPLO
  5. 5. EJEMPLOS • Inyección por navegador searchquery=1%27%3D%270%27+UNION+SELECT+1%2C+1%2C+1%2C+1+from+ userdb+%23+&action=search&x=0&y=0 • Inyección en campos de búsqueda ' or '1'= '1' -- ; • Inyección por herramienta searchquery=hi&action=search&x=0&y=0" sqlmap -u "http://192.168.1.3/cgi- bin/badstore.cgi?searchquery=hi&action=search&x=0&y=0" -D badstoredb -T userdb -C email --dum
  6. 6. ¿ CÓMO EVITAMOS UN ATAQUE TIPO SQLI ? • EQUIPOS Y SOFTWARE ACTUALIZADO • TENER CLARA LA INSTALACION DE MYSQL • ESTABLECER USUARIOS Y PERMISOS CON CRITERIO Y SABIENDO LO QUE HACEMOS • DELEGAR RESPONSABILIDADES EN SOLUCIONES DE TERCEROS • ESTABLECER CONTRASEÑAS SEGURAS • ACTUALIZAR A LA ÚLTIMA VERSIÓN SQL • INSTALAR LOS PARCHES DE SEGURIDAD
  7. 7. ¿PREGUNTAS? GRACIAS

×