Professional Documents
Culture Documents
Pif Seguridad de La Informacion 2021
Pif Seguridad de La Informacion 2021
Pif Seguridad de La Informacion 2021
(SQLMAP)
jrendon@poligran.edu.co
yhcuartas@poligran.edu.co
geariasm@poligran.edu.co
jurriola@poligran.edu.co
mamorales47@poligran.edu.co
PIF
Contenido
ABSTRACT...........................................................................................................................................................
1. INTRODUCCIÓN...........................................................................................................................................
3. BASES DE DATOS.........................................................................................................................................
4. SQL INYECCION............................................................................................................................................
4.1 ¿COMO ATACAN CON SQL INYECCIÓN?..................................................................................................................
4.2 SQLMAP.................................................................................................................................................
5 ALCANCE.....................................................................................................................................................
6 OBJETIVOS..................................................................................................................................................
7 CARACTERISTICAS........................................................................................................................................
10 CONCLUSIONES......................................................................................................................................
11 REFERENCIAS....................................................................................................................................................
Abstract:
PIF
Studies show that 75% of attacks occur at the application level and that
100% of the tested applications contained 96% security holes and that
vulnerabilities of 2013 and 2010 how SQL Injection ranks first in the
many vulnerabilities, attackers can easily access data that increases the risk
of compromise.
a clear and concise way, important together with their possible solutions
The work is divided into several sections that explain and analyze how it
tests carried out by virtual machines that have already been developed to
informáticos cada vez son más recurrentes, información relacionada con los clientes,
y usualmente a los sistemas web, alterando proveedores, usuarios etc. esto hace que el
Estas arquitecturas web manejan diferentes información formateada a los clientes que
tipos de información como pueden ser las solicitan. Los requerimientos son hechos
general. Las empresas han adoptado este se usa el protocolo HTTP. Una vez que se
tipo de diseño por el acceso inmediato a sus solicita esta petición mediante el protocolo
4. SQL INYECCION
La inyección SQL es un método de
contiene o genera código SQL. De hecho, aplicación y exponer la base de datos. Los
es un error de una clase más general de ataques de inyección de SQL pueden ocurrir
vulnerabilidades que puede aparecer en cuando una aplicación web utiliza datos
la base de datos.
datos como parte de una consulta SQL. columnas específicas del DBMS.
vulnerabilidad el atacante pueden crear, estatutaria No. 1266 de diciembre del 2008,
Para la implementación del modelo base de modelo con métodos definidos. Métodos
servicios web de una entidad en base a con una base de informe de prueba
y así poder controlar ante posibles Soporte para enumerar usuarios, hashes
para identificar tablas que contienen datos. Este canal puede ser un símbolo
almacenados cuando sea posible. Pero no realizar una investigación acabada de todo
olvides que, si bien los procedimientos el entorno que rodea al sitio web para
muchos otros, por lo que no confíes seguridad que podrían dar paso a un data
SQL se descubren regularmente, por lo que (WAF), ya sea software (SaaS) o basado en
es vital aplicar parches y actualizaciones tan appliance, para ayudar a filtrar los datos
pronto como sea posible. Una solución de maliciosos. Las mejores WAF tendrán un
las aplicaciones web e infraestructura que gratuito de código abierto ModSecurity, que
soporta dichos servicios, con el objetivo de está disponible para servidores web Apache,
PIF
datos que no necesites para evitar que un para comprometer toda la base de datos.
una cadena para su ejecución, lo que podría debes asegurar tus contraseñas mediante el
ser muy útil para un hacker. El proceso de cifrado o hash de estas y otros datos
datos a partir de los mensajes de error, así Asegúrate que los desarrolladores de
local mientras se asegura de que un entregada por SANS sugiere que incorpores
reciba nada más que el hecho de que sus su acuerdo con cualquier proveedor de
la aplicación web.
virus para así no propagar el contagio hacia En caso de que el portal web de la
otros que estén limpios. Nos referimos a compañía haya sido el afectado, es
servicios de la empresa para así mantener su recomendable poner un mensaje del tipo
importante el correcto tratamiento y análisis servidor se encuentre fuera del edificio del
de esa evidencia digital. Los forenses trabajo. En ese caso es importante chequear
informáticos son profesionales que pueden dicha máquina para poder intervenir y
que se cuenta con un sistema con esas información permiten reducir los riesgos a
incidente, para luego revisar con preventivas que deben implementarse para
detenimiento las fechas y horas de cada evitar estas ocurrencias, entre ellas:
resguarden la disponibilidad,
interrogatorios y dar instrucciones para que Procurar contar con respaldos frecuentes de
todos los subordinados participen en la los sistemas y datos, contar con una
componentes son verosímiles durante las actividades, con registro detallado de ellas,
Toda empresa es vulnerable y los servicios poder responder ante distintas situaciones,
herramienta-automatica-de-inyeccion-
10 CONCLUSIONES
sql.xhtml
En el presente trabajo pudimos reconocer la
https://www.avast.com/es-es/c-sql-
importancia de tener la seguridad de la
injection#topic-5
información en cualquier empresa sea
https://www.inntesec.com/post/cómo-
pequeña, mediana o grande, y es por eso
prevenir-ataques-de-inyección-sql
que la técnica de inyección SQL es uno de
prevenirlo.
11 REFERENCIAS