SQL INJECTION. Benitez, Marcelo Chinikailo, Cristian De la Cruz, Leonardo Klas, Julián Criptografía y Seguridad Informática.

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamaño: px
Comenzar la demostración a partir de la página:

Download "SQL INJECTION. Benitez, Marcelo Chinikailo, Cristian De la Cruz, Leonardo Klas, Julián. 66.69 Criptografía y Seguridad Informática."

Transcripción

1 SQL INJECTION Benitez, Marcelo Chinikailo, Cristian De la Cruz, Leonardo Klas, Julián Grupo Criptografía y Seguridad Informática

2 Introducción 2 Ataque basado en inyección de código Explota omisiones en la verificación de parámetros Ataques relacionados Cross-Site Scripting Buffer Overflow File Includes

3 Requerimientos para el ataque 3 Conocimientos técnicos Obligatorios Lenguaje SQL Opcionales Conocimiento del DBMS PHP HTTP y lenguaje C (ataques sin browser) Conocimientos acerca de la víctima Consulta a ser explotada Tablas de la base de datos DBMS en uso

4 Análisis del Problema 4 En las aplicaciones basadas en web el usuario ingresa datos mediante formularios Los datos se envían a un script que construye una consulta SQL usando los datos ingresados Cuando los parámetros no se validan, se pueden utilizar consultas legales para ejecutar acciones arbitrarias sobre una Base de Datos

5 Ejemplo: Login (codigo HTML) 5 <html> <body> <form name="frmsistema" method="post" action="login.php"> <input type="text" name="username" value="usuario"/> <input type="text" name="password" value="password"/> <input value="ingresar" type="submit"/> </form> </body> </html>

6 Ejemplo: Login (codigo HTML) 6 Internet Explorer SQL Injection Usuario Password Ingresar

7 Ejemplo: Login (código PHP) 7 $username = isset($_request['username'])?$_request['username']:""; $password = isset($_request['password'])?$_request['password']:""; $_dbhandler = mysql_connect("localhost", "root", "clavecita",true); $_connected = mysql_select_db("fiuba", $_dbhandler); $sql_query = "SELECT * FROM user WHERE username='".$username."' AND password='".$password."'"; $query_result = mysql_query($sql_query,$_dbhandler); $row = mysql_fetch_array($query_result); if(count($row)>1) { print "El nombre de usuario $username es Valido. Bienvenido al Sistema"; }

8 Ejemplo: Ataque SQL Injection 8 El atacante ingresa una cadena maliciosa en el cuadro password Esta cadena se expande en el código PHP generando una consulta maliciosa

9 Otros ataques posibles 9 Otras sentencias SQL (borra la tabla de usuarios) SELECT * FROM user_table WHERE username= user01 AND password= pass01 ; DROP TABLE user_table; ; Uso del catálogo del DBMS (Ejemplo: MySQL) SHOW DATABASES; SHOW TABLES; SHOW TABLES LIKE 'geo%'; SHOW TABLES FROM db_bame;

10 Protección contra el ataque 10 (cont.) Validación: uso de expresiones regulares Para el ejemplo que vimos en PHP: preg_match("/^[a-za-z0-9-_.]{3,16}$/", $username); preg_match("/^[a-za-z0-9-_.]{3,16}$/", $password);

11 Protección contra el ataque 11 Los lenguajes incluyen filtros específicos para validar cadenas PHP: mysql_real_escape_string() Java: Clase PreparedStatement Hay ejemplos en.net, etc.

12 Protección contra el ataque 12 (cont.) Se puede configurar el Apache para que limpie las cadenas que pasa al módulo PHP: Directiva magic_quotes_gpc en php.ini Los caracteres ' (comilla-simple), " (comilla doble), \ (barra invertida) y NULs son escapados con una barra invertida automáticamente.

13 Protección contra el ataque 13 (cont.) Otras Best Practices 8 Evitar SQL Dinámico (usar Stored Procedures) 8 Ejecutar consultas sin privilegios 8 Guardar datos cifrados (caso de los passwords)

14 : ción Login ostra Dem 1 14 Descripción Inyección de código en formulario de registro Se ve la prevención utilizando: mysql_real_escape_string() Expresiones Regulares magic_quotes_gpc

15 Demostración 2: Drop table 15 Descripción Inyección de código en formulario de registro El ataque permite borrar tablas de la base de datos

16 Ejemplo de ataque desde 16 C/C++ Basado en exploit publicado en SecurityReason.org char str_exploit="post /phpnuke/html/ HTTP/1.0\n" "Connection: Keep-Alive\n" "Pragma: no-cache\n" "Cache-control: no-cache\n" "Accept: text/html, image/jpeg, image/png, text/*, image/*, */*\n" "Accept-Encoding: x-gzip, x-deflate, gzip, deflate, identity\n" "Accept-Charset: iso , utf-8;q=0.5, *;q=0.5\n" "Accept-Language: en\n" "Host: "Referer: user\n" "User-Agent: SecurityReason - [SR]\n... ; void exploit() { int sock=tcp_open_activo(url_server,80); // conecta al servidor FILE * conexion=fdopen(sock, a ); fprintf(conexion,str_exploit); grabar_respuesta(conexión,stdout); }

17 Demostración 2: POST desde 17 PERL Descripción Ataque automatizado que no puede ser realizado desde el navegador Utiliza sentencias SQL adicionales (UNION) Muestra ventajas de conocer la estructura de las tablas

18 Demostración 3: Ataque a 18 phpnuke Descripción Ataque a portal phpnuke mediante el formulario de registro

19 19 Ejemplo: Ataque a phpnuke

20 Ejemplo: Ataque a phpnuke

21 Víctimas conocidas y 21 potenciales Content Management Systems (CMS) phpnuke (portal) Mambo (portal) phpbb (foros) Sistemas basados en web: JSP, ASP.NET, PHP, etc. consultas.fi.uba.ar (listas.fi.uba.ar/pipermail/iinfo/2006-march/ html) Sistemas generales Microsoft BizTalk Server 2002 (

UNIVERSIDAD TECNICA DE MANABI Facultad de Ciencias Informáticas Ingeniería en sistemas. SEGURIDAD INFORMATICA Tema: Mysql Injection

UNIVERSIDAD TECNICA DE MANABI Facultad de Ciencias Informáticas Ingeniería en sistemas. SEGURIDAD INFORMATICA Tema: Mysql Injection UNIVERSIDAD TECNICA DE MANABI Facultad de Ciencias Informáticas Ingeniería en sistemas SEGURIDAD INFORMATICA Tema: Mysql Injection Autora: Doris María Mera Mero Curso: 7mo A Fecha: Martes 30 de Julio del

Más detalles

SECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP

SECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP SOLUTIONS FOR KEEPING YOUR BUSINESS UP Email: info@ximark.com Tel. +(507) 271 5951 Tel. +(1) 928 752 1325 Aptdo. 55-0444, Paitilla. Panama City, Panama SECURITY DAY PERU Ataques a las Aplicaciones Web

Más detalles

Desarrollo de Código Seguro. Seguridad en PHP. Introducción. Register Globals

Desarrollo de Código Seguro. Seguridad en PHP. Introducción. Register Globals Desarrollo de Código Seguro 22 y 27 de Septiembre de 2004 Facultad Regional Concepción del Uruguay Universidad Tecnológica Nacional Gabriel Arellano arellanog@frcu.utn.edu.ar Seguridad en PHP Lineamientos

Más detalles

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL

Más detalles

AGENDA. Mejorando la Seguridad en Aplicaciones Web. Introducción. La Web Promesas y Amenazas. Asegurando la Red y el Servidor de Web

AGENDA. Mejorando la Seguridad en Aplicaciones Web. Introducción. La Web Promesas y Amenazas. Asegurando la Red y el Servidor de Web Universidad ORT Uruguay Mejorando la Seguridad en Aplicaciones Web Ing. Cecilia Belletti Ing. Angel Caffa, MSc Ing. Isaac Rodríguez IntegraTICs 7 de diciembre, 2006 AGENDA Introducción La Web Promesas

Más detalles

Seguridad WEB Inyección de código

Seguridad WEB Inyección de código Seguridad WEB Inyección de código Maestría en TICs 2015 Énfasis Auditoría y Seguridad Informática Seguridad en aplicaciones y base de datos Cristian Cappo (ccappo@pol.una.py) NIDTEC - Núcleo de Investigación

Más detalles

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Temario 1. Introducción 2. Cross Site Scripting (XSS) 3. Inyección SQL 4. Nuestro código en el servidor 5.

Más detalles

Capítulo 2.- Vulnerabilidades en aplicaciones web.

Capítulo 2.- Vulnerabilidades en aplicaciones web. Capítulo 2.- Vulnerabilidades en aplicaciones web. En este capítulo se explican algunas vulnerabilidades en aplicaciones web que pueden ser explotadas por software o por personas malintencionadas y como

Más detalles

Ataques más comunes. Virginia Armas Alejandro Do Nascimiento

Ataques más comunes. Virginia Armas Alejandro Do Nascimiento Ataques más comunes Virginia Armas Alejandro Do Nascimiento 1 Introducción Los ataques a desarrollar en la exposición son: HTTP Tunneling Suplantación de contenido Local File Inclusion Remote File Inclusion

Más detalles

S E G U R I D A D E N A P L I C A C I O N E S W E B

S E G U R I D A D E N A P L I C A C I O N E S W E B H E R R A M I E N T A S A V A N Z A DA S D E DE S A R R O L L O D E S O F T W A R E 2 0 0 7-2 0 0 8 S E G U R I D A D E N A P L I C A C I O N E S W E B X S S Y S Q L I N J E C T I O N G R U P O 2 4 S A

Más detalles

INTERCAMBIO DE OBJETOS

INTERCAMBIO DE OBJETOS Departament d Arquitectura de Computadors INTERCAMBIO DE OBJETOS HTTP: Hypertext Transfer Protocol Protocolo de comunicaciones estandarizado que comunica servidores, proxies-cachés y clientes. Permite

Más detalles

Sesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez 2015-1

Sesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez 2015-1 Sesión 13. Seguridad en la web Luisa Fernanda Rincón Pérez 2015-1 Qué vimos la clase pasada? 1. Características de MongoDB 2. Colecciones - documentos 3. Consulta, inserción, modificación, eliminación

Más detalles

HyperText Transfer Protocol

HyperText Transfer Protocol HyperText Transfer Protocol Ing. Carlos A. Barcenilla c.a.barcenilla@ieee.org Basado en HTTP Made Really Easy http://www.jmarshall.com/easy/http/ 1 Qué es HTTP? HTTP significa Hypertext Transfer Protocol.

Más detalles

Su Seguridad es Nuestro Éxito

Su Seguridad es Nuestro Éxito Su Seguridad es Nuestro Éxito c. Santander, 101. Edif. A. 2º I 08030 Barcelona I Tel.: 93 305 13 18 I Fax: 93 278 22 48 I info@isecauditors.com I www.isecauditors.com OWASP Conference 2007 Barcelona, Julio

Más detalles

A1-Inyección (SQL,OS Y LDPA)

A1-Inyección (SQL,OS Y LDPA) Los Diez Riesgos Más Importantes en Aplicaciones WEB Top 10-2010 A1-Inyección (SQL,OS Y LDPA) Oscar William Monsalve Luis Alberto Suarez Jorge Eliecer Betancur Diana Marcela Usuga G. Contenido Presentación

Más detalles

Ejemplo de aplicación PHP: Tienda

Ejemplo de aplicación PHP: Tienda Ejemplo de aplicación PHP: Tienda Aplicaciones Web/Sistemas Web Juan Pavón Mestras Dep. Ingeniería del Software e Inteligencia Artificial Facultad de Informática Universidad Complutense Madrid Material

Más detalles

A continuación se presenta la forma en que se puede conectar PHP con el gestor de bases de datos MySQL.

A continuación se presenta la forma en que se puede conectar PHP con el gestor de bases de datos MySQL. Conexión de PHP y MySQL: A continuación se presenta la forma en que se puede conectar PHP con el gestor de bases de datos MySQL. Una vez el servidor ha solicitado al intérprete de PHP la ejecución de un

Más detalles

Índice: Tema 4.2 4.2 Conexión con Bases de Datos

Índice: Tema 4.2 4.2 Conexión con Bases de Datos Índice: Tema 4.2 4.2 Conexión con Bases de Datos 4.2.1 Envío y recepción de datos mediante formularios 4.2.2 Administración de MySQL con phpmyadmin 4.2.3 Conexión con Bases de Datos desde PHP Índice: Tema

Más detalles

VI Sextas Jornadas Regionales de Software Libre

VI Sextas Jornadas Regionales de Software Libre VI Sextas Jornadas Regionales de Software Libre Seguridad en MySQL Farid Alfredo Bielma Lopez fbielma@fbielma.org http://www.fbielma.org/talks/ Mendoza, República de Argentina. 14 de Octubre del 2006 Agenda

Más detalles

ARE YOUR WEB VULNERABLE?

ARE YOUR WEB VULNERABLE? CROSS-SITE SITE SCRIPTING: ARE YOUR WEB APPLICATIONS VULNERABLE? Alberto Calle Alonso Sebastián Marcos Miguel Mateo de la Puente Madrid, Febrero 2009 1 ÍNDICE Introducción Cross-site scripting HTTP y HTML

Más detalles

Capa de Aplicación (Parte 2 de 2)

Capa de Aplicación (Parte 2 de 2) Capa de Aplicación (Parte 2 de 2) Redes de Computadoras HTTP (Hypertext Transfer Protocol) 1 Qué es Internet? Internet conecta a un conjunto de redes usando protocolos estándar Protocolos de enrutamiento,

Más detalles

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security

Más detalles

Presentación del Curso Virtual PROGRAMACIÓN WEB PHP CON MYSQL BÁSICO

Presentación del Curso Virtual PROGRAMACIÓN WEB PHP CON MYSQL BÁSICO Presentación del Curso Virtual PROGRAMACIÓN WEB PHP CON MYSQL BÁSICO INNOVATIVA CENTRO DE TRANSFERENCIA Y DESARROLLO TECNOLÓGICO ESPE CECAI Capacitación Virtual La mejor opción para su crecimiento profesional

Más detalles

Seguridad en Sistemas Informáticos Seguridad y WWW. Mikel Izal Azcárate (mikel.izal@unavarra.es)

Seguridad en Sistemas Informáticos Seguridad y WWW. Mikel Izal Azcárate (mikel.izal@unavarra.es) Seguridad en Sistemas Informáticos Seguridad y WWW Mikel Izal Azcárate (mikel.izal@unavarra.es) Indice Seguridad en WWW > Seguridad en la autentificación > Seguridad en la autorización > Ataques de validación

Más detalles

Testing de Seguridad de Aplicaciones Web

Testing de Seguridad de Aplicaciones Web Testing de Seguridad de Aplicaciones Web Julio C. Ardita, CISM. jardita@cybsec.com 16 de Noviembre de 2013 Coatzacoalcos - MEXICO Temario - Protocolo HTTP - Herramientas de Testing Web. - Vulnerabilidades

Más detalles

Curso de PHP con MySQL Gratis

Curso de PHP con MySQL Gratis Curso de PHP con MySQL Gratis Introducción Este mini curso o mini tutorial de PHP le ayudará a realizar cualquier sistema para que pueda insertar uno o varios registros a una base de datos con MySQL, este

Más detalles

Capítulo 5: PRUEBAS.

Capítulo 5: PRUEBAS. Capítulo 5: PRUEBAS. 5.1 Objetivos de las pruebas. Objetivos de las pruebas. Hoy en día el tema de la seguridad en software ya no resulta nada nuevo, en los inicios los desarrolladores de software no procuraban

Más detalles

CRSP - OWASP! Motivación! Arquitectura de despliegue Mod_Security! Conclusiones!!

CRSP - OWASP! Motivación! Arquitectura de despliegue Mod_Security! Conclusiones!! Motivación Arquitectura de despliegue Mod_Security Conclusiones Introducción Definiciones IT = TI Actores Entes reguladores Clientes Proveedores Población General GRAFO DE INTERRELACIONES DE ACTORES Publicación

Más detalles

Centro de Capacitación en Tecnologías de la Información

Centro de Capacitación en Tecnologías de la Información Centro de Capacitación en Tecnologías de la Información + Objetivo Con este curso presencial y práctico de programación Web en PHP aprenderá a utilizar este lenguaje de programación en conjunto con otros

Más detalles

Ataques específicos a servidores y clientes web y medidas preventivas. Problemas de seguridad Web

Ataques específicos a servidores y clientes web y medidas preventivas. Problemas de seguridad Web Problemas de seguridad Web Ataques específicos a servidores y clientes web y medidas preventivas. junio de 2014 Problemas de seguridad Web 1 ATAQUES Consiste en aprovechar alguna debilidad o vulnerabilidad

Más detalles

Introducción a ataques de tipo inyección: Inyección SQL

Introducción a ataques de tipo inyección: Inyección SQL Introducción a ataques de tipo inyección: Inyección SQL Jorge Peris Cortés - jorpecor@alumni.uv.es Asignatura: Redes Ingeniería Informática - Curso 2011/2012 Universidad de Valencia 1 Índice INTRODUCCIÓN...

Más detalles

PROGRAMACIÓN PÁGINAS WEB JAVASCRIPT Y PHP

PROGRAMACIÓN PÁGINAS WEB JAVASCRIPT Y PHP PROGRAMACIÓN PÁGINAS WEB JAVASCRIPT Y PHP OBJETIVOS Estudiar la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología PHP y el servidor de bases de datos

Más detalles

1. Servidor Web. (apache). 2. PHP. 3. Manejador de base de datos (mysql, postgress).

1. Servidor Web. (apache). 2. PHP. 3. Manejador de base de datos (mysql, postgress). COMO DESARROLLAR UN SISTEMA EN PHP PASO A PASO. (Guía practica). La presente guía esta diseñada para orientar a los programadores que se están iniciando en el mundo del php, a desarrollar una aplicación

Más detalles

AUTENTIFICACIÓN HTTP

AUTENTIFICACIÓN HTTP AUTENTIFICACIÓN HTTP Emilio Casbas. 18/1/2006 INTRODUCCIÓN. 1. Autentificación digest 2. Autentificación básica 2.1Ejemplo práctico. 3. Autentificación proxy 3.1Ejemplo práctico 4. Conclusiones INTRODUCCIÓN.

Más detalles

NIVEL 16: ESTRUCTURAS N-ARIAS RECURSIVAS Aplicaciones Web, Html y Servlets. ISIS1206 Estructuras de Datos http://cupi2.uniandes.edu.

NIVEL 16: ESTRUCTURAS N-ARIAS RECURSIVAS Aplicaciones Web, Html y Servlets. ISIS1206 Estructuras de Datos http://cupi2.uniandes.edu. 1 NIVEL 16: ESTRUCTURAS N-ARIAS RECURSIVAS Aplicaciones Web, Html y Servlets 2 Agenda Protocolo HTTP Formas HTML Servlets 3 Protocolo HTTP Hypertext Transfer Protocol (HTTP) - 1990 Versión 1.1 Mecanismo

Más detalles

Arquitectura J2EE para aplicaciones web. Aplicaciones web con JSP. Arquitectura J2EE: Capa de Acceso Web. Arquitectura J2EE: Capa Cliente

Arquitectura J2EE para aplicaciones web. Aplicaciones web con JSP. Arquitectura J2EE: Capa de Acceso Web. Arquitectura J2EE: Capa Cliente Aplicaciones web con JSP Arquitectura J2EE para aplicaciones web Aplicación Applet HTML Cliente Servidor web JSP Servlet Web EJB Java Beans Lógica Negocio Otras BDs, ERPs etc BD Oracle Datos Cliente Servidor(es)

Más detalles

Bases de Datos. Marta Elena Zorrilla Pantaleón. Rafael Duque Medina DPTO. DE MATEMÁTICAS, ESTADÍSTICA Y COMPUTACIÓN

Bases de Datos. Marta Elena Zorrilla Pantaleón. Rafael Duque Medina DPTO. DE MATEMÁTICAS, ESTADÍSTICA Y COMPUTACIÓN Bases de Datos Tema 05. Prototipo de una aplicación de base de datos Marta Elena Zorrilla Pantaleón Rafael Duque Medina DPTO. DE MATEMÁTICAS, ESTADÍSTICA Y COMPUTACIÓN Este tema se publica bajo Licencia:

Más detalles

abacformacio@abacformacio.com

abacformacio@abacformacio.com Programación de páginas web con PHP Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte cliente con JavaScript y la programación de la parte servidor con la tecnología

Más detalles

Capítulo IV. Implementación del sistema. En este capítulo abordaremos la implementación del sistema de administración de

Capítulo IV. Implementación del sistema. En este capítulo abordaremos la implementación del sistema de administración de Capítulo IV Implementación del sistema En este capítulo abordaremos la implementación del sistema de administración de asuntos departamentales y abarcaremos temas como el acceso a la base de datos, el

Más detalles

Blind SQL Injectión. Práctico

Blind SQL Injectión. Práctico Blind SQL Injectión Práctico 1 Hola: Hace unos días prometí que publicaría un documento en el foro que nos ayudaría a entender mejor un Blind SQL Injection. La idea principal no es explicar un Blind SQL

Más detalles

Programación segura. Seguridad en los Sistemas Informáticos. Ismael Ripoll. Universidad Politècnica de València. Abril 2011

Programación segura. Seguridad en los Sistemas Informáticos. Ismael Ripoll. Universidad Politècnica de València. Abril 2011 Programación segura Seguridad en los Sistemas Informáticos Ismael Ripoll Universidad Politècnica de València Abril 2011 Ismael Ripoll (Universidad Politècnica de València) Programación segura Abril 2011

Más detalles

Introducción a PostgreSQL con PHP

Introducción a PostgreSQL con PHP 1 Introducción a PostgreSQL con PHP Recientemente he tenido que utilizar PostgreSQL para realizar algunos proyectos en donde laboro, principalmente por las características que ofrece PostgreSQL sobre MySQL,

Más detalles

Acceso a bases de datos MySQL con PHP

Acceso a bases de datos MySQL con PHP GESTIÓN Y ADMINISTRACIÓN WEB Acceso a bases de datos MySQL con PHP Ing. CIP Fabián Silva Alvarado fsilvasys@hotmail.com DEFINICIÓN DE BASE DE DATOS Base de Datos es un conjunto de datos relacionados entre

Más detalles

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y defensa Introducción. Cross Site Scripting (XSS). SQL Injection. Programador? quien yo?. Ataques NG. Prevención.

Más detalles

Máster Profesional en Tecnologías de Seguridad. Seguridad en la web

Máster Profesional en Tecnologías de Seguridad. Seguridad en la web Máster Profesional en Tecnologías de Seguridad Módulo VI - Programación Segura Seguridad en la web @josereyero http://www.reyero.net consulting@reyero.net Seguridad en la Web Introducción y objetivos Programa

Más detalles

PHP y MySQL. Aplicaciones Web: PHP y base de datos MySQL (décima parte) Autor: Johnny Zulca Mamani

PHP y MySQL. Aplicaciones Web: PHP y base de datos MySQL (décima parte) Autor: Johnny Zulca Mamani PHP y MySQL. Aplicaciones Web: PHP y base de datos MySQL (décima parte) Autor: Johnny Zulca Mamani 1 Presentación del curso Programación de aplicaciones Web con PHP y MySQL. Ahora te enseñaremos a conectar

Más detalles

Tema 1 HTTP y aplicaciones web

Tema 1 HTTP y aplicaciones web Tema 1 HTTP y aplicaciones web Indice 1. HTTP para sitios web estáticos 2. HTTP básico para aplicaciones web 3. Aplicaciones AJAX 4. APIs REST 1.1. HTTP para sitios web estáticos Petición/respuesta HTTP

Más detalles

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica DANIEL FIRVIDA PEREIRA Técnico de seguridad - INTECO-CERT 23 de Noviembre 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

Más detalles

Programación de páginas web dinámicas con CGIs

Programación de páginas web dinámicas con CGIs Programación de páginas web dinámicas con CGIs Esquema Webs estáticas o dinámicas. CGIs: Que son y como funcionan Formularios para enviar información CGIs en perl Webs estáticas o dinámicas Una (página)

Más detalles

Ataques XSS en Aplicaciones Web

Ataques XSS en Aplicaciones Web Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted

Más detalles

La inmensa mayoría de las páginas son vulnerables, a unos u otros fallos.

La inmensa mayoría de las páginas son vulnerables, a unos u otros fallos. Introducción a la seguridad Web: La inmensa mayoría de las páginas son vulnerables, a unos u otros fallos. El gran problema no está en que esas páginas sean vulnerables y con ello podamos pasar un rato

Más detalles

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec Metodología. www.dsteamseguridad.com La Metodología de la charla esta guiada por el concepto de cada una de las fases de ataque, con su respectiva demostración Arquitectura de Red (Laboratorio Virtual)

Más detalles

Seguridad en servidores Web. Módulo mod_security

Seguridad en servidores Web. Módulo mod_security Erica Lloves Calviño Francisco José Ribadas Pena elloves@uvigo.es ribadas@uvigo.es Departamento de Informática Universidade de Vigo Seguridad en servidores Web. Módulo mod_security Ferramentas de seguridade

Más detalles

Challenge/Response en Windows NT

Challenge/Response en Windows NT Trabajo práctico final Challenge/Response en Windows NT Materia: 66.69 Criptografía y seguridad informática Facultad de Ingeniería Universidad de Buenos Aires Alumnos: Lucas P. Diodati (70878) Darío A.

Más detalles

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal

Más detalles

UNIVERSIDAD NACIONAL DE INGENIERÍA CENTRO DE EXTENSIÓN Y PROYECCIÓN SOCIAL

UNIVERSIDAD NACIONAL DE INGENIERÍA CENTRO DE EXTENSIÓN Y PROYECCIÓN SOCIAL UNIVERSIDAD NACIONAL DE INGENIERÍA Convirtiendo Excel en una herramienta de BI CERTIFICA ORGANIZA Mayor Información: informes@uni.edu.pe Visite Nuestra Web http://www.ceps.uni.edu..pe OBJETIVOS GENERALES

Más detalles

MySQL: Guía de Referencia

MySQL: Guía de Referencia Instituto Tecnologico Superior de Coatzacoalcos (ITESCO). MySQL: Guía de Referencia Farid Alfredo Bielma Lopez fbielma@fbielma.org http://fbielma.org/course/fbielma/curso_mysql.pdf Resumen del curso Algunas

Más detalles

TALLER DE SQL INJECTION

TALLER DE SQL INJECTION TALLER DE SQL INJECTION EDYTED BY 4TF3 Definición de Injectiòn SQL Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación

Más detalles

Servlets. Seminario de Programacion Rafael Vázquez Pérez

Servlets. Seminario de Programacion Rafael Vázquez Pérez Servlets Seminario de Programacion Rafael Vázquez Pérez Que son los Servlets de Java? Los Servlets son las respuesta de la tecnología Java a la programación CGI. Son programas que se ejecutan en un servidor

Más detalles

INTRODUCCIÓN A PHP. Javier Enciso

INTRODUCCIÓN A PHP. Javier Enciso INTRODUCCIÓN A PHP Javier Enciso AGENDA Qué es PHP? Cómo funciona PHP? Instalación QUÉ ES PHP? QUÉ ES PHP? (1/7) PHP (acrónimo de "PHP: Hypertext Preprocessor"). Lenguaje interpretado de alto nivel embebido

Más detalles

Curso de Programación PHP

Curso de Programación PHP Curso de Programación PHP Presentación : PHP es el lenguaje de programación más usado en los servidores de Internet debido a su potencia, velocidad de ejecución y simplicidad que lo caracterizan. Este

Más detalles

MASTER EN HACKING ÉTICO

MASTER EN HACKING ÉTICO MASTER EN HACKING ÉTICO Máster Hacking Ético Titulación Universitaria 1. Descripción: IDO Business School (Iberoamericana de Desarrollo Organizacional), en colaboración con la Universidad Internacional

Más detalles

Desarrollo Web con PHP

Desarrollo Web con PHP Seguridad Desarrollo Web con PHP Ignacio Andrés González Seguridad 1. Seguridad en las aplicaciones web 2. Seguridad en PHP 3. Variables globales 4. Nombres de ficheros 5. Subida de ficheros 6. Bibliotecas

Más detalles

Ataques Web Automáticos: Identificación, Engaño y Contraataque

Ataques Web Automáticos: Identificación, Engaño y Contraataque Ataques Web Automáticos: Identificación, Engaño y Contraataque Mariano Nuñez Di Croce mnunez@cybsec cybsec.comcom Noviembre 2005 CIBSI 05 Valparaíso, Chile Agenda - Introducción a las Herramientas Automáticas.

Más detalles

Formas de llevar a cabo un backup de una base de datos MySQL

Formas de llevar a cabo un backup de una base de datos MySQL Formas de llevar a cabo un backup de una base de datos MySQL Calle San Rafael, 14 28108 Alcobendas (Madrid) 902 90 10 20 www..com Introducción Muchas aplicaciones web hacen uso de bases de datos donde

Más detalles

Programación páginas web. Servidor (PHP)

Programación páginas web. Servidor (PHP) Programación páginas web. Servidor (PHP) Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte servidor con la tecnología PHP y el servidor de bases de datos MySQL.

Más detalles

9º Unidad Didáctica ACTIVE SERVER PAGES (ASP) Eduard Lara

9º Unidad Didáctica ACTIVE SERVER PAGES (ASP) Eduard Lara 9º Unidad Didáctica ACTIVE SERVER PAGES (ASP) Eduard Lara 1 Objetos en ASP Existen 6 objetos en ASP. Qué es un objeto? Es una instancia de un componte. Well an object is an instance of a Component which

Más detalles

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle Sobre mi Estudios Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Experto en Seguridad de las TIC - US Experiencia Aficiones 3+ años como desarrollador web, casi 2 en Drupal

Más detalles

Ejercicios para el taller Vulnerabilidades en Aplicaciones Web PHP.

Ejercicios para el taller Vulnerabilidades en Aplicaciones Web PHP. Ejercicios para el taller Vulnerabilidades en Aplicaciones Web PHP. Autor: Moisés Humberto Silva Salmerón Junto con este documento de ejercicios debe haber sido entregado un archivo

Más detalles

GUIA DE LABORATORIO N 9 B. (000Webhost Php- Para desarrollar en casa)

GUIA DE LABORATORIO N 9 B. (000Webhost Php- Para desarrollar en casa) GUIA DE LABORATORIO N 9 B (000Webhost Php- Para desarrollar en casa) Objetivo: Crear servicios web utilizando la arquitectura REST, para obtener información desde un servidor web gratuito que se conecta

Más detalles

CURSO DE PROGRAMACIÓN PHP MySQL

CURSO DE PROGRAMACIÓN PHP MySQL CURSO DE PROGRAMACIÓN PHP MySQL MASTER EN PHP MÓDULO NIVEL BASICO PRIMER MES Aprende a crear Sitios Web Dinámicos con PHP y MySQL 1. Introducción Qué es PHP? Historia Por qué PHP? Temas de instalación

Más detalles

Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable

Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable 1. Introducción. El Sistema de Administración de Información de un Negocio Franquiciable (SAINF)

Más detalles

Aplicaciones Web, Privacidad y Vulnerabilidades

Aplicaciones Web, Privacidad y Vulnerabilidades CORE SECURITY TECHNOLOGIES 2002 Aplicaciones Web, Privacidad y Vulnerabilidades Ariel Waissbein Ariel Futoransky Agenda 1. Introducción 2. Catalogo de Ataques 3. Una propuesta nueva Motivación Con la explosión

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Leandro Meiners lmeiners@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Temario Temario Introducción al Protocolo HTTP: Arquitectura, carácterísticas, autenticación,

Más detalles

8º Unidad Didáctica PHP. Eduard Lara

8º Unidad Didáctica PHP. Eduard Lara 8º Unidad Didáctica PHP Eduard Lara 1 ÍNDICE 8.1 Lenguajes de script del servidor PHP 8.2 Sintaxis básica de PHP 8.3 La instrucción include 8.4 Cookies y sesiones 8.5 Bases de datos. Interacción con MySQL

Más detalles

CONFIDENCIALIDAD Y MANEJO SEGURO DE LA INFORMACION. Mario Caycedo

CONFIDENCIALIDAD Y MANEJO SEGURO DE LA INFORMACION. Mario Caycedo CONFIDENCIALIDAD Y MANEJO SEGURO DE LA INFORMACION Mario Caycedo HACKERS HACKERS Programadores de código libre Aficionados y entusiastas de computación casera Personas que rompen la seguridad de las empresas

Más detalles

ADMINISTRACIÓN DE SERVIDORES DE WWW. CURSO 2001/2002 J. RAMÓN GARCÍA ESCRIVÁ (DSIC - UPV) 14. APÉNDICE 8: CONECTIVIDAD CON BASES DE DATOS

ADMINISTRACIÓN DE SERVIDORES DE WWW. CURSO 2001/2002 J. RAMÓN GARCÍA ESCRIVÁ (DSIC - UPV) 14. APÉNDICE 8: CONECTIVIDAD CON BASES DE DATOS 14. APÉNDICE 8: CONECTIVIDAD CON BASES DE DATOS A DDMMI INNI ISSTTRRAACCI IÓÓNN DDEE SSEERRVVI IDDOORREESS DDEE WWW... CCUURRSSOO 220000 11/ /22000022 La conectividad de un servidor de WWW con un SGBD

Más detalles

TFC J2EE. Aplicación Web para la gestión de facturación de una empresa de cerrajería. Sara Gutiérrez Melero ITIG Junio de 2012

TFC J2EE. Aplicación Web para la gestión de facturación de una empresa de cerrajería. Sara Gutiérrez Melero ITIG Junio de 2012 TFC J2EE Aplicación Web para la gestión de facturación de una empresa de cerrajería Sara Gutiérrez Melero ITIG Junio de 2012 Consultor: Jose Juan Rodriguez Índice 1. Introducción Objetivos Planificación

Más detalles

Unidad de Competencia Aprendizajes Esperados Semana Actividades Presenciales

Unidad de Competencia Aprendizajes Esperados Semana Actividades Presenciales HOJA DE RUTA Unidad de Aprendizaje Unidad de Competencia Aprendizajes Esperados Semana Actividades Presenciales Describe el funcionamiento de un servidor Web sirve páginas Web dinámicas. Elige el servidor

Más detalles

Introducción. PHP, es un lenguaje orientado a conexiones entre páginas Web y servidores donde se almacenan toda clase de Bases de Datos.

Introducción. PHP, es un lenguaje orientado a conexiones entre páginas Web y servidores donde se almacenan toda clase de Bases de Datos. Introducción PHP es lenguaje de scripting que permite generar paginas HTML. A diferencia de las paginas estáticas de HTML que son útiles para presentar documentos estáticos,es decir que no son modificables,

Más detalles

Diplomado en Desarrollo de Aplicaciones WEB Avanzado (HTML, PHP, MySQL, Java Script)

Diplomado en Desarrollo de Aplicaciones WEB Avanzado (HTML, PHP, MySQL, Java Script) Diplomado en Desarrollo de Aplicaciones WEB Avanzado (HTML, PHP, MySQL, Java Script) Objetivo: Tener la capacidad de manejar herramientas para el desarrollo de aplicaciones web a nivel avanzado. Entender

Más detalles

MySQL y Sesiones en PHP. Área de Ingeniería Telemática

MySQL y Sesiones en PHP. Área de Ingeniería Telemática MySQL y Sesiones en PHP Contenido Repaso de SQL PHP y MySQL MySQL en PHP 2 Numéricos Standard: Repaso SQL: tipo de datos INTEGER o INT, SMALLINT, DECIMAL o DEC, NUMERIC FLOAT, REAL, DOUBLE PRECISION BIT

Más detalles

Los formularios irán delimitados por las etiquetas <FORM> y </FORM>, la cual tiene dos parámetros:

Los formularios irán delimitados por las etiquetas <FORM> y </FORM>, la cual tiene dos parámetros: Formularios en HTML Los formularios nos sirven para solicitar información al usuario y procesarla. El formulario se compondrá de diferentes componentes como campos de texto, botones de opción, listas desplegables,...

Más detalles

Modulo I. Introducción a la Programación Web. 1.1 Servidor Web.

Modulo I. Introducción a la Programación Web. 1.1 Servidor Web. Modulo I. Introducción a la Programación Web. 1.1 Servidor Web. Antes de analizar lo que es un servidor Web y llevara a cabo su instalación, es muy importante identificar diferentes elementos involucrados

Más detalles

Spring. Sesión 7: Seguridad con Spring Security. Experto Universitario Java Enterprise

Spring. Sesión 7: Seguridad con Spring Security. Experto Universitario Java Enterprise Spring Sesión 7: Seguridad con Spring Security 1 Indice Configuración básica Autentificación contra una base de datos Personalización de la seguridad web Seguridad de la capa de negocio 2 Spring Security

Más detalles

INSTITUCION UNIVERSITARIA INPAHU BASES DE DATOS EN LA WEB

INSTITUCION UNIVERSITARIA INPAHU BASES DE DATOS EN LA WEB INSTITUCION UNIVERSITARIA INPAHU BASES DE DATOS EN LA WEB MACROMEDIA DREAMWEAVER Unidad 1. El entorno de trabajo La pantalla inicial Las barras Los paneles e inspectores Personalizar el área de trabajo

Más detalles

Práctica 6: Webs dinámicas

Práctica 6: Webs dinámicas Comercio Electrónico Práctica 6: Webs dinámicas José Luis Salazar jsalazar@unizar.es Antonio Sanz ansanz@unizar.es Rafael del Hoyo rdelhoyo@ita.es Objetivo de la Práctica En esta práctica se mostrarán

Más detalles

Índice: Tema 4.3 4.3 Aplicaciones basadas en Sesiones

Índice: Tema 4.3 4.3 Aplicaciones basadas en Sesiones Índice: Tema 4.3 4.3 Aplicaciones basadas en Sesiones 4.3.1 Manejo de Cookies 4.3.2 Manejo de Sesiones 4.3.3 Aplicación basada en sesiones Índice: Tema 4.3 4.3 Aplicaciones basadas en Sesiones 4.3.1 Manejo

Más detalles

USANDO SERVLETS EN UN SERVIDOR WEB RESIN

USANDO SERVLETS EN UN SERVIDOR WEB RESIN USANDO SERVLETS EN UN SERVIDOR WEB RESIN Servidor Web Resin Resin es un servidor web que permite no solo despachar un página web, sino aplicaciones web construidos bajo la arquitectura J2EE, así como el

Más detalles

Inyección SQL. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012

Inyección SQL. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Inyección SQL Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Introducción Una inyección SQL sucede cuando se inserta o "inyecta" un código SQL "invasor" dentro

Más detalles

Programador Web en PrestaShop + PHP + JavaScript + MySQL. Nivel Profesional (Online)

Programador Web en PrestaShop + PHP + JavaScript + MySQL. Nivel Profesional (Online) Programador Web en PrestaShop + PHP + JavaScript + MySQL. Nivel Profesional (Online) Titulación certificada por EUROINNOVA BUSINESS SCHOOL Programador Web en PrestaShop + PHP + JavaScript + MySQL. Nivel

Más detalles

Nombre del Proyecto: Página web GAQSA S.A de C.V. (Módulo de laboratorios) Nombre de la Empresa: Ganaderos Asociados de Querétaro S.A de C.

Nombre del Proyecto: Página web GAQSA S.A de C.V. (Módulo de laboratorios) Nombre de la Empresa: Ganaderos Asociados de Querétaro S.A de C. UNIVERSIDAD TECNOLÓGICA DE QUERÉTARO Nombre del Proyecto: Página web GAQSA S.A de C.V. (Módulo de laboratorios) Nombre de la Empresa: Ganaderos Asociados de Querétaro S.A de C.V (GAQSA) Memoria que como

Más detalles

HTTP. Redes I. Departamento de Sistemas Telemáticos y Computación (GSyC) Noviembre de 2011. GSyC - 2011 HTTP 1

HTTP. Redes I. Departamento de Sistemas Telemáticos y Computación (GSyC) Noviembre de 2011. GSyC - 2011 HTTP 1 HTTP Redes I Departamento de Sistemas Telemáticos y Computación (GSyC) Noviembre de 2011 GSyC - 2011 HTTP 1 c 2011 Grupo de Sistemas y Comunicaciones. Algunos derechos reservados. Este trabajo se distribuye

Más detalles

HyperText Transfer Protocol

HyperText Transfer Protocol Qué es HTTP? HTTP significa Hypertext Transfer Protocol. HyperText Transfer Protocol Ing. Carlos A. Barcenilla c.a.barcenilla@ieee.org Es el protocolo de red que se utiliza para transferir los archivos

Más detalles

DOCS. Pautas básicas para el DESARROLLO DE PLUGINS

DOCS. Pautas básicas para el DESARROLLO DE PLUGINS Pautas básicas para el DESARROLLO DE PLUGINS ÍNDICE 1. Protección contra CSRF............................. 2. Protección XSS.................................... 3. Protección contra inyecciones SQL6...................

Más detalles

Diplomado Programación Web con PHP, MySQL 5.0, Apache y Ajax

Diplomado Programación Web con PHP, MySQL 5.0, Apache y Ajax Diplomado Programación Web con PHP, MySQL 5.0, Apache y Ajax Actualmente ofrecemos entrenamiento en PHP 5.0 en conjunto con MySQL a través de nuestro Diplomado Programación Web con PHP, MySQL 5.0, Apache

Más detalles

Manual de JSP con MySQL

Manual de JSP con MySQL Contenido Introducción... 2 Requerimientos... 2 Requerimiento #1: IDE Eclipse... 2 Requerimiento #2: Apache Tomcat, Jboss y MySQL... 2 Desarrollo... 3 Paso #1: Ejecutar Eclipse... 3 Paso #2: WorkSpace...

Más detalles

Programación de Consultas SQL ADO.Net LDP3501-2011 / DUOC-AV

Programación de Consultas SQL ADO.Net LDP3501-2011 / DUOC-AV Actividades: Programación de Consultas SQL ADO.Net LDP3501-2011 / DUOC-AV Creación del CRUD mediante Procedimientos Almacenados.... 1 Creación del CRUD de Empresas en la Base de Datos:... 1 Creación...

Más detalles

Aplicaciones seguras con ClaseSeguridad

Aplicaciones seguras con ClaseSeguridad Aplicaciones seguras con ClaseSeguridad Índice de contenido Por que ClaseSeguridad?...1 Referenciar ClaseSeguridad...1 Declaración y creación...1 Evitar inyección de SQL...1 Eliminar etiquetas...3 Evitar

Más detalles