BLIND SQL INJECTION

Enviado por ajcv11 • 16 de Julio de 2013 • 685 Palabras (3 Páginas) • 575 Visitas

Página 1 de 3

BLIND SQL INJECTION

Blind SQL Injection es una técnica de uso frecuente en los sitios web y el objetivo principal es obtener información de los datos en la base de datos del sitio mediante la adición o hacer una inyección de código SQL en el URL o cualquier campo de entrada. Los ataques de Blind SQL inyección son hechos por diversas inserciones de sentencias de SQL en un solo lugar. Según el análisis de la información obtenida, el atacante modificar las cláusulas en el SQL para seguir recibiendo información adicional.

Uno de los principales objetivos de los ataques de inyección SQL ciega es obtener los nombres y contraseñas que figuran en la base de datos. Con el fin de obtener los nombres de los usuarios y contraseñas, el primer paso es obtener el nombre de la tabla donde se almacena la información. Una vez que tenga el nombre de la tabla, el ataque continuará para obtener los nombres de las columnas. Una vez que el atacante tiene el nombre de la tabla y los nombres de las columnas del último paso es obtener los valores reales para el nombre del usuario y contraseña, el atacante usará operaciones booleanas, en concreto el operador AND para realizar dichas tareas. Para realizar lo anterior, el atacante recibirá letra por letra el nombre y la contraseña hasta que la totalidad de cada uno de ellos es obtener.

EJEMPLO

La inclusión de código SQL se realiza por lo general en las páginas en que se identifican los parámetros de entrada para la búsqueda y visualización de la información en la página.

Como ejemplo el siguiente encabezado de la página.

http://Name_site/?namePage=1

Después de identificar el tipo de página donde se puede insertar el código SQL, el siguiente paso es utilizar un operador para insertar código SQL, como se muestra en el siguiente ejemplo:

http://Name_site/?namePage=1 y (select count (*) DE administrador )

A través del ensayo y error mediante la colocación de diferentes datos en la instrucción SQL. La frase anterior tiene la intención de encontrar una mesa en la base de datos del sitio, si la tabla de administración no existe el resultado de toda la consulta será FALSO gracias al cero obtenido por la expresión SQL inyectado utilizado en atack Blind SQL Injection. Como operador y realiza una operación booleana, el cero obtenido de la consulta se tomará como FALSO lo que provocará que no se muestra la consulta original, ese resultado se interpreta como un indicador para indicar que la tabla de administración no existe.

Como siguiente paso, el atacante mediante la técnica de inyección SQL a ciegas va a cambiar el nombre de la tabla y luego ejecutar la consulta hasta que se ve la información de la página, lo que será

...

Descargar como (para miembros actualizados) txt (4.2 Kb)

Leer 2 páginas más »

Leer documento completo Guardar

Disponible sólo en Clubensayos.com

Información sobre ensayo

Denunciar este ensayo

Ensayos relacionados

SQL Ejemplos
LABORATORIO PARA LA CASA- 02 • Consultas multitabla. • Consultas resumen. • Funciones de grupo SUM, AVG, MIN, MAX y COUNT. • Consultas agrupadas. Cláusula

12 Páginas • 2066 Visualizaciones
SQL Laboratorios
LABORATORIO PARA LA CASA- 02 • Consultas multitabla. • Consultas resumen. • Funciones de grupo SUM, AVG, MIN, MAX y COUNT. • Consultas agrupadas. Cláusula

12 Páginas • 1421 Visualizaciones
Sql Server
Todo empieza en el año de 1989 con SQL Server 1.0 que salió para el viejo sistemas operativo OS/2 de IBM que vio la luz

3 Páginas • 1006 Visualizaciones
SQL Server 2008 Features For The Database Administrator (DBA)
Author: Mike Weiner Contributor: Burzin Patel,Sanjay Mishra Reviewers: Lubor Kollar, Kevin Cox, Bill Emmert, Greg Husemeier, Paul Burpo, Joseph Sack, Denny Lee, Lindsey Allen, Mark

18 Páginas • 1072 Visualizaciones
Base De Datos Mediante Consulta Sql
Use master/*hacemos una consulta en base de datos*/ go create database cetpro/*se crea la base de datos cetpro*/ go use cetpro/*se utiliza la base de

15 Páginas • 1184 Visualizaciones
Practica De Base De Datos En SQL
PRACTICA de base de datos en sql Realice las consultas correspondientes de la siguiente base de datos: Para direccionar al esquema set search_path to "Practica2";

2 Páginas • 1064 Visualizaciones
SQL Subconsultas
. Las subconsultas (I) 1. Introducción Una subconsulta es una consulta que aparece dentro de otra consulta o subconsultas, en la lista de selección o

11 Páginas • 635 Visualizaciones
Ensayo De Indices Sql
Practica 10 Índices Jonathan Edi Santana Delgado GSI-0732 Practica 10 Jonathan Edi Santana Delgado Asignatura: Base de Datos II Tema: Índices Practica: Investigación Conceptos Fundamentales

5 Páginas • 1213 Visualizaciones
Cree Un Ejemplo De Base De Datos En El Cual Pueda Generar En código, En Sintaxis SQL
DESARROLLO DE ACTIVIDAD 1. Cree un ejemplo de base de datos en el cual pueda generar en código, en sintaxis SQL lo siguiente: a) Adicionar

2 Páginas • 824 Visualizaciones
Aprendienddo Sql
Aprendiendo SQL con PostgreSQL Introducción. Una base de datos es el corazón de toda empresa, en ella se almacena y se gestiona toda la información

13 Páginas • 441 Visualizaciones