Presentación

TRABAJO EN EQUIPO CORRESPONDIENTE A LA UNIDAD 1

SEGURIDAD EN BASES DE DATOS

HERNAN MORILLO SALAZAR

JAIRO HERNANDO QUINTERO

WILSON CAMILO DELGADO

GRUPO: 233009_4

Mg JESUS EMIRO VEGA

TUTOR

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA–UNAD

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA

ESPECIALIZACION EN SEGURIDAD INFORMATICA

CEAD-PITALITO

2014

Introducción

El desarrollo de bases de datos también implica tener el riesgo de un ataque de cualquier índole y dejar al descubierto la información general ya que hoy en día la mayor parte de estas se programa en línea y por lo tanto estamos expuestos siempre a las vulnerabilidades, el desarrollo de esta práctica conlleva a revisar por una parte los comandos básicos mysql para una base de datos; por otra parte el ejercicio implica la inyección de código SQL a una base de datos de BadStore como ejemplo para poder aplicar este tipo de procedimientos, utilizando SQLMAP a través de sus comandos para realizar el ataque; igualmente se hizo el mismo ataque a un sitio web proporcionado en la práctica junto con un Sniffing general.

Todo enmarcado en la política de nuestra especialización sobre seguridad, para este caso orientado a las bases de datos mysql, buscando en el estudiante tomar medidas preventivas para mitigar este tipo de riesgos analizados y practicados en el presente taller.

Justificación

Toda información almacenada en una base de datos siempre está expuesta a cualquier ataque por la red, sin importar que ésta se encuentre en una red local o en la nube, como estudiantes de seguridad informática nos compete evaluar las vulnerabilidades de este tipo para analizarlas y tomar medidas preventivas que conlleven a un menor riesgo de la información con el ánimo de preservarla.

Qué mejor que un ejercicio práctico como este, para aprender sobre algunos ataques como inyección de código y los métodos de Sniffing conocidos actualmente, los cuales nos permiten tener ideas más claras sobre este tipo de procesos para poder sacar conclusiones de forma directa y aplicarlas a nuestro entorno laboral.

Tabla de contenido

Portada 1

Introducción 2

Justificación 3

Primera parte, creación de base de datos 4

Segunda parte, ataque con inyección de código SQL a BadStore 16

Tercera parte, ataque con inyección de código SQL a sitio web 20

Cuarte parte, ataque por Sniffing 23

Bibliografía 25

PRIMERA PARTE: Instale MySql y realizar la practica con la información suministrada.

1. Crear la estructura de la Base de Datos anterior utilizando la consola mysql, usando el motor de Base de Datos InnoDB.

Creación de la base de datos:

create universidad;

use universidad;

Creación tabla persona:

CREATE TABLE `persona` (

`dni` varchar(9) NOT NULL,

`nombre` varchar(25) NOT NULL,

`apellido` varchar(50) NOT NULL,

`ciudad` varchar(25) DEFAULT NULL,

`direccioncalle` varchar(50) DEFAULT NULL,

`direccionnum` varchar(3) DEFAULT NULL,

`telefono` varchar(9) DEFAULT NULL,

`fechanacimiento` datetime DEFAULT NULL,

`varon` enum('0','1') DEFAULT NULL,

PRIMARY KEY (`dni`)

) ENGINE=InnoDB DEFAULT CHARSET=latin1;

Tabla Asignatura:

CREATE

...