Inyeccion De Codigo

Enviado por SandraHay • 16 de Diciembre de 2012 • 1.013 Palabras (5 Páginas) • 852 Visitas

Página 1 de 5

Inyección de Código Almacenados

La inyección de código es un ataque en el cual se inserta código malicioso en las cadenas que posteriormente se pasan a una instancia para su análisis y ejecución. Todos los procedimientos que generan instrucciones deben revisarse en busca de vulnerabilidades de inyección de código.

Consiste en la modificación del comportamiento de nuestras consultas mediante la introducción de parámetros no deseados en los campos a los que tiene acceso el usuario.

Por inyección SQL entendemos el acto de insertar una serie de sentencias SQL en una 'consulta' mediante la manipulación de la entrada de datos de una aplicación.

En la inyección de código se introduce un usuario falso y una contraseña falsa y puedes entrar a un sistema como por ejemplo:

Insertando el usuario: Sandra y contraseña 1234;

En caso de ser in correcto no entra al sistema.

En la inyección igual nos dejara entrar al sistema por ejemplo:

Estos usuarios no están registrados en la base de datos.

Insertando el usuario: hack y contraseña: hack'or'1'='1;

Y si nos dejara entrar

Identificar el mecanismo para evitar la inyección de código

Uno de los peligros de implementar formularios en nuestros proyectos, formularios que pueda rellenar el público, como comentarios o mensajes de correo, es que se presta fácilmente a la inyección de código en función de su labor. Por ejemplo, si tenemos un formulario para añadir un comentario y cuando lo mostramos lo ejecutamos directamente puede incluir código de javascript o php que robe información o estropee nuestro server.

Java

En lenguaje java, se puede usar la clase PreparedStatement

En lugar de:

Connection con = (acquire Connection)

Statement stmt = con.createStatement ();

ResultSet rset = stmt.executeQuery("SELECT * FROM usuarios WHERE nombre = '" + nombreUsuario + "';");

Se puede usar parametrización o escape de variables, como se indica en los siguientes apartados.

Bueno hay 2 maneras de las cuales poder evitar un ataque de este tipo

La primera consiste en que los queries que se ejecutan desde el programa deben ser hechos por un usuario de la base de datos con privilegios como select, insert, delete, update y nada mas, si se ejecutan como usuario administrador de la base de datos se corre gran riesgo.

La segunda, cuando se reciben los datos por parte del usuario hay que hacer una validación secundaria donde se verifique que no hay ninguna palabra reservada de SQL como lo es DROP, CREATE, ALTER, etc.

Roles y Usuarios de la aplicación

Un Rol es una clasificación mediante la cual se definen distintos privilegios de operación para los usuarios del sistema.

Los Roles se encuentran predefinidos en el sistema y se detallan a continuación:

Tipos de Roles

Administrador:

Un Administrador (Administrador) puede trabajar en tareas de configuración de la aplicación, puede crear usuarios y asignarles roles.

Supervisor:

Un Supervisor puede tomar casos no atendidos, trabajar en ellos y transferirlos a otros usuarios. Puede ver todos los

...

Descargar como (para miembros actualizados) txt (6.7 Kb)

Leer 4 páginas más »

Leer documento completo Guardar

Disponible sólo en Clubensayos.com

Información sobre ensayo

Denunciar este ensayo

Ensayos relacionados

Código Urbano Del Estado De Jalisco
Al margen un sello que dice: Gobierno de Jalisco. Poder Ejecutivo. Secretaría General de Gobierno. Estados Unidos Mexicanos. Emilio González Márquez, Gobernador Constitucional del Estado

37 Páginas • 3065 Visualizaciones
CODIGO DE CONSUMO PERUANO
CÓDIGO DE CONSUMO LEY Nº 29571 CÓDIGO DE PROTECCIÓN Y DEFENSA DEL CONSUMIDOR Contenido: El presente Código establece las normas de protección y defensa de

3 Páginas • 1154 Visualizaciones
Ejemplo De Actuación Sobre El Código De Trabajo
INFORME DEL COMISARIO REVISOR A los Señores Accionistas de: EMPRESA ELECTRICA QUITO S.A. En nuestra calidad de Comisario de EMPRESA ELECTRI CA QUI TO S.A.,

5 Páginas • 1882 Visualizaciones
Código De ética Profesional Del Contador
CODIGO DE ÉTICA Introducción Para el ejercicio de una profesión no basta el dominio de la ciencia y de la técnica, es indispensable observar en

32 Páginas • 2941 Visualizaciones
El Código Da Vinci
RESUMEN. El libro inicia con un asesinato ocurrido en uno de los lugares mas interesantes y significativos del mundo: El Museo de Louvre. La víctima,

9 Páginas • 1712 Visualizaciones
La Confesión Sincera código Procesal Penal
LA CONFESION SINCERA EN EL NUEVO CODIGO PROCESAL PENAL D.LEG.957 “EL INSTITUTO DE LA CONFESION SINCERA EN EL NUEVO CODIGO PROCESAL PENAL D.LEG.957” Por: Daniel

19 Páginas • 1409 Visualizaciones
Código De ética De Los Profesionales De Enfermería
Para el establecimiento de un Código de Ética que sirva como marco de conducta en el ejercicio profesional, debe necesariamente partirse de un conjunto conceptual

16 Páginas • 2432 Visualizaciones
Código Civil Federal
DERECHOS HUMANOS Y GARANTÍAS INDIVIDUALES SEMEJANZAS Y DIFERENCIAS GARANTÍAS INDIVIDUALES DERECHOS HUMANOS 1.- Generales. Art. 1º Constitucional. 1.- No tienen fronteras políticas. Universales. 2.- Sujetas

18 Páginas • 2030 Visualizaciones
CÓDIGO DE COMERCIO VENEZOLANO
Código de Comercio. (Gaceta Nº 4 Extraordinaria del 21 de diciembre de 1955) EL CONGRESO DE LA REPÚBLICA DE VENEZUELA DECRETA el siguiente, CÓDIGO DE

42 Páginas • 3252 Visualizaciones
Código Civil Venezolano
Código Civil de Venezuela: El Contrato Código Civil de Venezuela: El Contrato Clasificado en Apuntes de Derecho de Universidad. Escrito el 23 de Noviembre de

40 Páginas • 1801 Visualizaciones