Bypass WAFs KUNAK CONSULTING. Automatizando SQLi con Python. Omar Palomino.
|
|
- Luis Miguel Villalobos Cano
- hace 8 años
- Vistas:
Transcripción
1 Bypass WAFs KUNAK CONSULTING Automatizando SQLi con Python Noviembre, 2013 Omar Palomino
2
3 ÍNDICE 1.Inyecciones SQL 2.Inyecciones manuales vs herramientas 3.Nuevos Retos SQLi - WAFs 4.Evadir Web Application Firewall 5.Codificaciones 6.Automatizando ataques SQLi con Python
4 INYECCIONES SQL Dónde los encontramos? - Aplicaciones desarrolladas in-house - Aplicaciones desarrolladas por terceros - Aplicaciones web antiguas sin criterios de seguridad - Content Management Systems (CMS)
5 INYECCIONES SQL
6 TIPOS DE INYECCIONES SQL Basadas en Uniones Inyecciones a Ciegas (Blind SQL) - Sólo obtenemos un carácter a la vez - Identificamos el carácter con TRUE o FALSE Basadas en errores
7 TIPOS DE INYECCIONES SQL 1.Inyecciones a Ciegas (Blind SQL) - Algoritmo de búsqueda binaria - ASCII rango Dividir siempre entre la mitad Se pregunta si el número es mayor o menor Máximo 8 iteraciones - Método Bitwise - Siempre usa 7 iteraciones - Método Regex - Usa expresiones regulares
8
9 TIPOS DE INYECCIONES SQL LENGTH (<QUERY>) between 0 and 20, sleep (5) TRUE or FALSE LENGTH (<QUERY>) between 20 and 30, sleep (5) TRUE or FALSE LENGTH (<QUERY>) between 20 and 25, sleep (5) Longitud: ASCII ( MID (<QUERY>),1,1) between 32 and 79, sleep (5) Código ASCII: 112
10 DEMO DE INYECCIÓN BLIND SQLi
11 INYECCIONES SQL Qué es un WAF? - Mecanismo de protección contra ataques conocidos (SQLi, XSS, ejecución de código) - Intercepta el tráfico que llega a la aplicación Web - Analiza el tráfico y determina si la petición es un ataque para bloquearlo.
12 INYECCIONES SQL Cómo identifico que una aplicación usa WAF? - Pruebas manuales - Modificación de cookies Telnet Error 403 Mensajes propietarios Prueba una inyección básico ( 9 div 1) Pruebas automatizadas Nmap script engine (NSE) Imperva Script
13
14 INYECCIONES SQL SCRIPT WAFW00F.PY (incluido en Backtrack)
15 INYECCIONES SQL DETECCIÓN MEDIANTE MENSAJES DE ERROR (WAF F5) ERROR 403 (MOD_SECURITY)
16 CUÁNTOS WAF HAY EN.? En instituciones del estado peruano
17 UN PEQUEÑO SCRIPT.
18 DEMO SCRIPT.
19 INYECCIONES MANUALES VS TOOLS Es más divertido hacerlo manualmente Por qué? > Es un reto hacerlo manualmente y encontrar diferentes maneras de inyectar. > Algunos plugins que nos ayudan - Firefox Plugin Tamper Data Firefox HackBar Herramientas: - SQLMap (herramienta por excelencia)
20 NUEVOS RETOS SQLi - WAF Cómo detecta un WAF las inyecciones? - Lista negra ( Black list ) de palabras conocidas. No permite palabras como: information_schema - Basado en expresiones regulares Los fabricantes de la solución deben conocer como funciona cada Sistema Gestor de Base de Datos, la mayoría sólo conoce lo clásico y no a profundidad el tema.
21
22 Web Application Firewall (WAF) Zona Desmilitarizada (DMZ) Servidor BD Servidor Web 1 Llega petición Web Solución WAF 2 Select * from tabla WAF analiza la petición Peticiones a la Base de Datos 3 Deniega el acceso Sentencias SQL or 1=1 <script></script>
23 NUEVOS RETOS SQLi - WAF WAF Comerciales y libres MOD_Security F5 Imperva Todos los WAF comerciales son muy caros Los WAF comerciales venden un appliance MOD_Security funciona a nivel de software instalado en el servidor (existe versiones para Apache, IIS, Ngix)
24 NUEVOS RETOS SQLi - WAF Qué buscan los WAF? - Expresiones regulares - Non-Word Characters SQL Comment Sequence Detected Common Injection Testing Detected Multiple URL Encoding Detected Lista Negra de palabras - sys.user_objects msysaces instr sys.user_views mysql. sys.tab charindex locate sys.user_catalog constraint_type
25 NUEVOS RETOS SQLi - WAF Houston tenemos problemas Los WAFs son la solución a las inyecciones? Ya no debemos preocuparnos por las buenas prácticas de programación? Los WAF desaparecen el riesgo por completo? Cuánto cuesta un WAF y cuanto cuesta tener conocimiento de desarrollo seguro?
26 EVADIR WAFs Errores más comunes: No se actualizan las reglas del WAF Los SGBD tienen nuevas funciones y los WAF deben actualizarse Funciones y palabras reservadas NO CONOCIDAS Confundir al Firewall (WAF) - Ofuscación Leer la documentación de la Base de Datos - Mysql Oracle MSSQL Funciones no convencionales o poco conocidas Tipos de comentarios por cada base de datos
27 EVADIR WAFs FUZZER A LA BASE DE DATOS <?php $con=mysql_connect( localhost, user, pass ); For ($i=0; $i<=255;$i++){ $query=mysql_query( Select 1 from dual where 1. Chr($i). =1 ); If(!query){ Continue; } Echo $i. :0x. Dechex($i). :. Chr($i). <br> ; }?>
28 EVADIR WAFs DEMO ejecutar script fuzzer
29 EVADIR WAFs Técnicas de evasión - Identifica que palabras o símbolos son filtrados, cada WAF es distinto. Carácter Alternativa 1 <, > BETWEEN = LIKE (ESPACIOS EN BLANCO) %20 Alternativa 2 Paréntesis () Select(campo1)from(table) - OR AND && Usando hexadecimales select column_name from information_schema.columns where table_name=0x f limit 0,1
30 EVADIR WAFs Técnicas de evasión - Mayúsculas y minúsculas (aun funciona) SeLeCT campo1 FroM table WheRE - Uso de comentarios Carácter Alternativa 1 # Comentario hasta el final de la línea /*COMENTARIO*/ Comentario multi línea (ESPACIOS EN BLANCO) /*!*//*!select /*!50000 user()*/*/ union /*!select /*!00000 version()*/*//**/ SeLe/*plop*/CT campo1 Fr/*plop*/oM table Wh/*plop*/eRE
31 EVADIR WAFs - Uso de más comentarios Carácter Alternativa 1 /*COMENTARIO*/ Comentario multi línea Select 1, /*! */ union select /*! */,2 Select 1, /*! */ union select /*! */,2
32 EVADIR WAFs - Ofuscando con comentarios - 1'# - AND 0-- UNION# I am a comment! - SELECT@tmp:=table_name x FROM-`information_schema`.tables LIMIT 1# 1 %23%0AAND%200--%0AUNION# I am a comment!%0aselect table FROM--%0A `information_schema`.tables LIMIT 1%23
33 EVADIR WAFs DEMO evadiendo un Mod_security (el)
34 EVADIR WAFs - CODIFICACIONES Codificaciones URL Transformado a hexadecimal Espacio en blanco: %20 Double URL encode a= %61 %61=%2561
35 EVADIR WAFs DEMO evadiendo un Mod_security (irtp)
36 PYTHON Y LAS INYECCIONES Lo importante. No existe un WAF estándar Las herramientas convenciones no funcionan Si no sabes como hacer una inyección STEP by STEP. Estas jodido!! Automatizar ataques con Python
37 EVADIR WAFs No existe un camino pero. 1. Identifica que palabras son bloqueados por el WAF 2. Identifica que caracteres son bloqueados y reemplázalos 3.- Automatiza el ataque
38 MI HERRAMIENTA - DEMO Base de datos de conocimiento de los vectores de ataque para evadir WAFs Funciona siempre? No siempre funciona pero es fácil de modificar en caso de ser necesario.
39 EVADIR WAFs
Optimización de Inyecciones SQL
Optimización de Inyecciones SQL Cesar Neira Estudiante de Ing. de Sistemas UNMSM http://alguienenlafisi.blogspot.com csar.1603@gmail.com OWASP LATAM TOUR 2012 The OWASP Foundation http://www.owasp.org
Más detalles- length(str) retorna el largo de un string en bytes. Ejemplo: "SELECT LENGTH('ITFreek')", nos devuelve 7.
1 Inyecciones SQL V 1.0 Sentencias a necesitar: - database() devuelve el nombre de la base de datos actualmente seleccionada, o NULL si no hay ninguna seleccionada. Ejemplo: "SELECT DATABASE()" en el código
Más detallesTALLER DE SQL INJECTION
TALLER DE SQL INJECTION EDYTED BY 4TF3 Definición de Injectiòn SQL Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación
Más detalles[Un framework de test de intrusión web]
[Un framework de test de intrusión web] IV OWASP Spain Chapter Meeting 21 Noviembre 2008, Barcelona, España José Ramón Palanco. Hazent Systems S.L jose.palanco@hazent.com. Qué es w3af? Quién debería conocer
Más detallesHacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet
Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL
Más detallesArCERT Jornadas de Seguridad Informática 2009
ArCERT Jornadas de Seguridad Informática 2009 La Web desde el ojo de un atacante Nahuel Grisolía ngrisolia@cybsec.com 02 de Octubre de 2009 Buenos Aires - Argentina Agenda Agenda Introducción - Intereses
Más detallesSitios y programas recomendados
WEB HACKING 1 Sitios y programas recomendados A continuación encontraremos un listado de sitios web relacionados con las temáticas expuestas en el libro, junto a una serie de programas que brindan herramientas
Más detallesSECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP
SOLUTIONS FOR KEEPING YOUR BUSINESS UP Email: info@ximark.com Tel. +(507) 271 5951 Tel. +(1) 928 752 1325 Aptdo. 55-0444, Paitilla. Panama City, Panama SECURITY DAY PERU Ataques a las Aplicaciones Web
Más detallesCurso SQL Nivel Avanzado 1. Miguel Jurado García
Curso SQL Nivel Avanzado 1 Miguel Jurado García Temario Sesión 1: 1- Elementos de Sintaxis Uso de Variables Collation y las Fechas Construcción de Sentencias Dinámicas 2- SQL Server Management Studio Filtrado
Más detallesDetectar y solucionar infecciones en un sitio web
Detectar y solucionar infecciones en un sitio web Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com Las infecciones que sufren los sitios web son uno de los principales
Más detallesLección 7: INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL
Lección 7: INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL Chema Alonso chema@informatica64.com Informática 64 Microsoft MVP en Enterprise Security Incidentes de Seguridad I: Kaspersky 2 Incidentes de Seguridad
Más detallesCurso PHP Módulo 1 R-Luis
Lenguaje PHP Introducción Archivos HTML y PHP: Crear un archivo php es tan sencillo como cambiarle la extensión a un archivo html, por ejemplo podemos pasar de index.html a index.php sin ningún inconveniente.
Más detallesWeb : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team
Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Temario 1. Introducción 2. Cross Site Scripting (XSS) 3. Inyección SQL 4. Nuestro código en el servidor 5.
Más detallesRETO HACKER DE VERANO
RETO HACKER DE VERANO Blind XPath Reto Hacker de verano Índice 1 Introducción... 2 2 Proceso de trabajo... 2 2.1 Toma de contacto (fingerprinting)... 2 2.2 Comienza el ataque... 4 2.3 Explicacion del ataque
Más detallesCurso de PHP. Acceso a bases de datos MySQL en PHP
Curso de PHP Acceso a bases de datos MySQL en PHP Bases de datos en la Web Esquema básico de un sitio web soportado por bases de datos: Lenguaje SQL SQL (Structured Query Language) es el lenguaje que se
Más detallesAGENDA. Mejorando la Seguridad en Aplicaciones Web. Introducción. La Web Promesas y Amenazas. Asegurando la Red y el Servidor de Web
Universidad ORT Uruguay Mejorando la Seguridad en Aplicaciones Web Ing. Cecilia Belletti Ing. Angel Caffa, MSc Ing. Isaac Rodríguez IntegraTICs 7 de diciembre, 2006 AGENDA Introducción La Web Promesas
Más detallesBlind SQL Injectión. Práctico
Blind SQL Injectión Práctico 1 Hola: Hace unos días prometí que publicaría un documento en el foro que nos ayudaría a entender mejor un Blind SQL Injection. La idea principal no es explicar un Blind SQL
Más detallesAtaques a Aplicaciones de Bases de Datos
Ataques a Aplicaciones de Bases de Datos Esteban Martínez Fayó Argeniss (www.argeniss.com) ekoparty security conference Noviembre 2007 Buenos Aires, Argentina Agenda Introducción a la seguridad en Bases
Más detallesCONSULTAS CON SQL. 3. Hacer clic sobre el botón Nuevo de la ventana de la base de datos. Aparecerá el siguiente cuadro de diálogo.
CONSULTAS CON SQL 1. Qué es SQL? Debido a la diversidad de lenguajes y de bases de datos existentes, la manera de comunicar entre unos y otras sería realmente complicada a gestionar de no ser por la existencia
Más detallesGastón Toth gaston.toth@owasp.org. Lic. en Computación CEH Pentester Desarrollador @OWASP_Patagonia
Gastón Toth gaston.toth@owasp.org Lic. en Computación CEH Pentester Desarrollador @OWASP_Patagonia Dónde queda OWASP Patagonia? Webapp pentesting...desde un enfoque no muy técnico Penetration testing
Más detallesGestor de Contenidos CMS. Prof: Ing. Henrry Servitá
Gestor de Contenidos CMS Que es un CMS? CMS son las siglas de Content Management System, que se traduce directamente al español como Sistema Gestor de Contenidos. Como su propio nombre indica, es un sistema
Más detalles3-ANÁLISIS DE VULNERABILIDADES
3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna
Más detallesContenido Motivación Esquema general
Contenido Motivación Esquema general Fuentes de información Formatos aceptados Diseño Base de datos Filtrado de direcciones IP Filtrado de flujos Formato de las direcciones Script de descarga Resultados
Más detalleshttp://www.soulblack.com.ar Security Research XSS CROSS SITE SCRIPTING Chebyte chebyte at gmail.com
XSS CROSS SITE SCRIPTING Chebyte chebyte at gmail.com Conceptos XSS: (Cross Site Scripting) tipo de vulnerabilidad surgida como consecuencia de errores de filtrado de las entradas del usuario en aplicaciones
Más detallesLa inmensa mayoría de las páginas son vulnerables, a unos u otros fallos.
Introducción a la seguridad Web: La inmensa mayoría de las páginas son vulnerables, a unos u otros fallos. El gran problema no está en que esas páginas sean vulnerables y con ello podamos pasar un rato
Más detallesQue es PHP? Que se puede hacer con PHP? Sintaxis del lenguaje. Variables. Operadores básicos. Condicionales. Ciclos.
Que es PHP? Que se puede hacer con PHP? Sintaxis del lenguaje. Variables. Operadores básicos. Condicionales. Ciclos. Qué es PHP? PHP (Hypertext Preprocessor). Es un lenguaje de programación: De código
Más detallesUNIVERSIDAD TECNICA DE MANABI Facultad de Ciencias Informáticas Ingeniería en sistemas. SEGURIDAD INFORMATICA Tema: Mysql Injection
UNIVERSIDAD TECNICA DE MANABI Facultad de Ciencias Informáticas Ingeniería en sistemas SEGURIDAD INFORMATICA Tema: Mysql Injection Autora: Doris María Mera Mero Curso: 7mo A Fecha: Martes 30 de Julio del
Más detallesselect nombre from profesores where categoria='aso6';
1 de 10 17/05/2013 14:00 Lecciones SQL > T11 Conjuntos Operaciones de conjuntos y MySQL Un operador sobre conjuntos combina el resultado de dos sentencias select en un único resultado. Dependiendo del
Más detallesPL/SQL. Con PL/SQL vamos a poder programar las unidades de programa de la base de datos Oracle:
PL/SQL (Procedural Language/Structured Query Language) PL/SQL es el lenguaje de programación que proporciona Oracle para extender el SQL estándar con otro tipo de instrucciones y elementos propios de los
Más detallesSQL Injection en SQL Server y función convert()
25 Nov 2011 SQL Injection en SQL Server y función convert() Este artículo esta escrito con fines didácticos y nunca para incitar o promover que el lector use esto con fines delictivos. No me hago responsable
Más detallesQuienes somos. Eduardo Arriols (@_Hykeos) Roberto Lopez (@leurian)
CON Quienes somos Eduardo Arriols (@_Hykeos) Roberto Lopez (@leurian) Estudiantes de Ing. Informática en la EPS de la UAM y apasionados del mundo de la seguridad informática y el hacking. Fundadores del
Más detalles5- Uso de sentencias avanzadas
Objetivos: 5- Uso de sentencias avanzadas Elaborar sentencias de manejo de datos. Recursos: Microsoft SQL Server Management Studio Guías prácticas. Introducción: Después de trabajar con las sentencias
Más detallesBases de Datos 3º Informática de Sistemas
TEMA 2.- EL SISTEMA GESTOR DE BASES DE DATOS. Concepto y Funciones del SGBD. Lenguajes de los SGBD. Niveles de Abstracción. Arquitectura ANSI/SPARC. Componentes del SGBD. 1. Concepto y Funciones del SGBD.
Más detallesAplicaciones seguras con ClaseSeguridad
Aplicaciones seguras con ClaseSeguridad Índice de contenido Por que ClaseSeguridad?...1 Referenciar ClaseSeguridad...1 Declaración y creación...1 Evitar inyección de SQL...1 Eliminar etiquetas...3 Evitar
Más detallesSERVICIO NACIONAL DE APRENDIZAJE SENA CENTRO DE SERVICIO Y GESTION EMPRESARIAL CESGE RECUPERACION APRENDIZ BRENDA MARCELA TOVAR TORRES
SERVICIO NACIONAL DE APRENDIZAJE SENA CENTRO DE SERVICIO Y GESTION EMPRESARIAL CESGE RECUPERACION APRENDIZ BRENDA MARCELA TOVAR TORRES INSTRUCTOR MAURICIO ORTIZ MORALES GESTION DE REDES DE DATOS FICHA
Más detallesS E G U R I D A D E N A P L I C A C I O N E S W E B
H E R R A M I E N T A S A V A N Z A DA S D E DE S A R R O L L O D E S O F T W A R E 2 0 0 7-2 0 0 8 S E G U R I D A D E N A P L I C A C I O N E S W E B X S S Y S Q L I N J E C T I O N G R U P O 2 4 S A
Más detallesTutorial de Unity 3D Tema 52 Bases de Datos. Tutorial de Unity 3D. Bases de Datos
Tutorial de Unity 3D En este tutorial trabajaremos el almacenamiento de información en una base de datos, bien sea local o remota. Dicha información puede ser propia el cliente (Créditos de juego, puntos
Más detallesLaboratorio de Sistemas Departamento de Ingeniería en Sistemas de Información Universidad Tecnológica Nacional Facultad Regional Córdoba. Porque PHP?
Porque PHP? PHP es un lenguaje de programación usado generalmente para la creación de contenido para sitios web. PHP es el (acrónimo recursivo de "PHP: Hypertext Preprocessor", inicialmente PHP Tools,
Más detallesCAPITULO 6 SISTEMA DE DETECCION DE INTRUSOS
Capitulo 6. Sistema de Detección de Intrusos con Redes Neuronales. 69 CAPITULO 6 SISTEMA DE DETECCION DE INTRUSOS USANDO REDES NEURONALES. En este capítulo se realiza la preparación adecuada de toda la
Más detallesOptimizar base de datos WordPress
Optimizar base de datos WordPress Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com WordPress se ha convertido en uno de los CMS más utilizados en todo el mundo. Su robustez,
Más detallesManual de rol gestor de GAV para moodle 2.5
Manual de rol gestor de GAV para moodle 2.5 Consultas LDAP-GAUR... 2 Buscar en LDAP datos de un usuario... 2 Docentes... 3 Buscar en GAUR datos de un docente... 3 Buscar en GAUR la docencia de un docente
Más detallesPHP Y BASES DE DATOS. Introducción a SQL
PHP Y BASES DE DATOS M.I María Luisa González Ramírez Introducción a SQL SQL es el lenguaje usado para interactuar con las base de datos. Es un lenguaje normalizado, utilizado por los diferentes motores
Más detallesCapítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN
CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CONCEPTOS DE PRUEBAS DE APLICACIÓN El departamento de Testing se encarga de diseñar, planear y aplicar el rol de pruebas a los sistemas que el PROVEEDOR
Más detallesPHP Perfect SQL v1.0 (SQL perfectas en PHP)
PHP Perfect SQL v1.0 (SQL perfectas en PHP) Muchas veces cuando programamos para web es muy fácil cometer errores en la construcción sintáctica de consultas SQL, por ejemplo cuando tenemos que realizar
Más detallesBase de datos relacional
Base de datos relacional Una base de datos relacional es una base de datos que cumple con el modelo relacional, el cual es el modelo más utilizado en la actualidad para modelar problemas reales y administrar
Más detallesObjetivo: Introducción conceptual y aplicación básica de los lenguajes del lado del servidor.
Sesión 03: Lenguajes web del servidor Competencias a Conseguir: - Conocer el entorno de trabajo a nivel de servidores web. - Instalación del localhost (Servidor Local). - Repaso general de PHP y ejercicios
Más detalles*La Macromedia Dreamweaver
*La Macromedia Dreamweaver Mejor forma a nivel mundial de crear sitios web profesionales y poderosas aplicaciones para Internet. Esta aplicación puede crear, construir, administrar los sitios web y las
Más detallesTécnicas Avanzadas de Testing Automatizado
Técnicas Avanzadas de Testing Automatizado Criterios de cobertura: Caja blanca/caja negra Clases de Equivalencia Valores de borde Cobertura basada en flujo de control CodeCover Mutación Jumble Criterios
Más detallesIntroducción a la Programación 11 O. Humberto Cervantes Maceda
Introducción a la Programación 11 O Humberto Cervantes Maceda Recordando En la sesión anterior vimos que la información almacenada en la memoria, y por lo tanto aquella que procesa la unidad central de
Más detallesInforme. WordPress. sobre el uso de. Un estudio realizado por
Informe sobre el uso de WordPress 2015 Un estudio realizado por OBJETIVOS Esta es la primera edición del estudio sobre la utilización y el estado de WordPress realizado gracias a los datos de los análisis
Más detallesPack Seguridad Autónomos Consola de gestión del programa agente
Manual de Usuario Consola de gestión del programa agente Índice 1 Introducción... 2 2 Acceso al agente instalado... 3 3 La consola de gestión... 4 4 Estado de los componentes instalados... 5 5 Barra de
Más detallesPDF created with pdffactory Pro trial version www.pdffactory.com
Este libro está diseñado y escrito para aquellas personas que, conociendo HTML y JavaScript, desean dar un salto cuantioso en la creación de sitios web, con la programación dinámica en el lado del servidor.
Más detallesCross Site Scripting. Conceptos Básicos y Casos prácticos. Antonio González Castro www.noveria.es antonio@noveria.es
Cross Site Scripting Conceptos Básicos y Casos prácticos Antonio González Castro www.noveria.es antonio@noveria.es # Definición Cross Site Scripting o también conocido como XSS por sus siglas en inglés,
Más detalles1. Servidor Web. (apache). 2. PHP. 3. Manejador de base de datos (mysql, postgress).
COMO DESARROLLAR UN SISTEMA EN PHP PASO A PASO. (Guía practica). La presente guía esta diseñada para orientar a los programadores que se están iniciando en el mundo del php, a desarrollar una aplicación
Más detallesAnonimato en la web. Anonimato en la web: Proyecto TOR + SQLMap. Omar Palomino. omarc320@gmail.com. http://www.el-palomo.com.
Anonimato en la web Anonimato en la web: Proyecto TOR + SQLMap Abril, 2012 Omar Palomino omarc320@gmail.com Ing. Sistemas y Maestrista de Ing. de Computación y Sistemas, CEH, Security+, ITIL v3. Consultor
Más detallesWeb: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen
Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y defensa Introducción. Cross Site Scripting (XSS). SQL Injection. Programador? quien yo?. Ataques NG. Prevención.
Más detallesSesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez 2015-1
Sesión 13. Seguridad en la web Luisa Fernanda Rincón Pérez 2015-1 Qué vimos la clase pasada? 1. Características de MongoDB 2. Colecciones - documentos 3. Consulta, inserción, modificación, eliminación
Más detallesTema 2 : Códigos Binarios
Tema 2 : Códigos Binarios Objetivo: Conocer diferentes códigos binarios Conocer algunos códigos de detección y corrección de errores. Códigos alfanuméricos 1 Códigos Binarios A la representación de cifras,
Más detallesLAS SUBCONSULTAS SQL SERVER 2005. Manual de Referencia para usuarios. Salomón Ccance CCANCE WEBSITE
LAS SUBCONSULTAS SQL SERVER 2005 Manual de Referencia para usuarios Salomón Ccance CCANCE WEBSITE LAS SUBCONSULTAS Una subconsulta es una consulta que aparece dentro de otra consulta o subconsultas, en
Más detallesUNIVERSIDAD AUTONOMA DE LOS ANDES UNIANDES LENGUAJE SQL. SQL es un estándar un lenguaje estructurado para consultas
LENGUAJE SQL Que es SQL? SQL es un estándar un lenguaje estructurado para consultas SQL te permite acceder y manejar bases de datos SQL es un Estándar (ANSI American National Standards Institute) Que puede
Más detallesVÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso
VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security
Más detallesUNIDAD 3 ASPECTOS ASOCIADOS CON BASES DE DATOS. Diseno Físico de Bases de Datos Objetivo. 2.2 Visión General del Procesamiento de Consultas
UNIDAD 3 ASPECTOS ASOCIADOS CON BASES DE DATOS Temario 2.1 Diseño Físico de Bases de Datos 2.2 Visión General del Diseno Físico de Bases de Datos Objetivo Corresponde al proceso de elegir las estructuras
Más detallesQué es PHP? Example #1 Un ejemplo introductorio "<?,?>".
Basico de PHP kz Qué es PHP? PHP (acrónimo de "PHP: Hypertext Preprocessor") es un lenguaje de "código abierto" interpretado, de alto nivel, embebido en páginas HTML y ejecutado en el servidor. Una respuesta
Más detallesGuía de implementación Softland en SQL Server 2012. Versión 1.0
Guía de implementación Softland en SQL Server 2012 Versión 1.0 Tabla de Contenido 1. INTRODUCCIÓN... 2 2. MIGRACIÓN A SQL SERVER 2012... 2 2.1 Ausencia de Compatibilidad con versiones anteriores... 2 3.
Más detalles1. DML. Las subconsultas
1.1 Introducción 1. DML. Las subconsultas Una subconsulta es una consulta que aparece dentro de otra consulta o subconsulta en la lista de selección, en la cláusula WHERE o HAVING, originalmente no se
Más detalles-La solución debe proporcionar supervisión y monitoreo de la actividad de las bases de datos para gestionar la seguridad de las mismas.
SECRETARÍA DISTRITAL DE MOVILIDAD CONTRATO DE PRESTAMO BID No. 2136/OC-CO PROYECTO APOYO INSTITUCIONAL AL SISTEMA INTEGRADO DE TRANSPORTE PÚBLICO DOCUMENTO DE ACLARACIONES NÚMERO DOS PROCESO SDM LPN No.BID
Más detallesWebinar Gratuito OWASP WebScarab
Webinar Gratuito OWASP WebScarab Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com Jueves 30 de Enero
Más detallesEstructuras de Control - Diagrama de Flujo
RESOLUCIÓN DE PROBLEMAS Y ALGORITMOS Ingeniería en Computación Ingeniería en Informática UNIVERSIDAD NACIONAL DE SAN LUIS DEPARTAMENTO DE INFORMÁTICA AÑO 2015 Índice 1. Programación estructurada 2 1.1.
Más detallesNOTA:Necesario verificar el nombre de nuestro Servidor-Equipo en donde está nuestro sistema gestor de base de datos.
Instrucciones para corrección del error conexión PHP-SqlServer Como habíamos platicado en clase, les comente acerca de la conexión posible de SQL Server mediante un script de PHP, en este caso solo lo
Más detallesAcceder a correo de 1000tentaciones.com a través de web.
Acceder a correo de 1000tentaciones.com a través de web. 1.- Accedemos a la dirección webmail.1000tentaciones.com y nos aparecerá la siguiente pantalla. Los datos que debemos introducir son: Usuario: nuestra
Más detallesCapítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable
Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable 1. Introducción. El Sistema de Administración de Información de un Negocio Franquiciable (SAINF)
Más detallesTecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información"
Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información" No nos va a pasar nosotros Riesgo en Aplicaciones y Sistemas de Información Malas prácticas de
Más detallesLABORATORIO 8. Optimización de Consultas SQL a través de herramientas del SMBD Oracle
LABORATORIO 8. Optimización de Consultas SQL a través de herramientas del SMBD Oracle GUÍA DE LABORATORIO Nº 8 Actividad de Proyecto No. 10: desarrollar mantenimiento preventivo, correctivo o proactivo
Más detallesCapas de la arquitectura de referencia
DOCUMENTO DE ARQUITECTURA DE REFERENCIA PARA APLICACIONES WEB GESTIÓN INFORMÁTICA UNIVERSIDAD DE ANTIOQUIA Este documento se estructura teniendo en cuenta las recomendaciones del artículo de IBM Reference
Más detallesIngeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US
Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal
Más detallesTIPOS DE VARIABLES EN PHP. DECLARACIÓN Y ASIGNACIÓN. LA INSTRUCCIÓN ECHO PARA INSERTAR TEXTO O CÓDIGO. (CU00816B)
APRENDERAPROGRAMAR.COM TIPOS DE VARIABLES EN PHP. DECLARACIÓN Y ASIGNACIÓN. LA INSTRUCCIÓN ECHO PARA INSERTAR TEXTO O CÓDIGO. (CU00816B) Sección: Cursos Categoría: Tutorial básico del programador web:
Más detallesMonitorización SGBD PostgreSQL
Monitorización SGBD PostgreSQL Página 1 Monitorización SGBD PostgreSQL. OpenOffice/PDF Version 1º Edition, 22 September 2012 Copyright 2012 Luis Caballero Cruz Página 2 1 MONITORIZACIÓN
Más detallesIntroducción a PostgreSQL con PHP
1 Introducción a PostgreSQL con PHP Recientemente he tenido que utilizar PostgreSQL para realizar algunos proyectos en donde laboro, principalmente por las características que ofrece PostgreSQL sobre MySQL,
Más detallesFirewall Firestarter. Establece perímetros confiables.
Firewall Firestarter Qué es un Firewall? Un muro de fuego (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo
Más detallesGeolocalización de Sitios de Interés Para Aplicaciones Móviles G-SIAM. Plan de Aseguramiento de Calidad del Software SQAP
Proyecto de Grado Lic. En Informática Geolocalización de Sitios de Interés Para Aplicaciones Móviles Plan de Aseguramiento de Calidad del Software SQAP VERSIÓN 1.1 Universidad de la Empresa Soriano 959
Más detallesHERRAMIENTA PARA EL MAPEO DE LA RED
HERRAMIENTA PARA EL MAPEO DE LA RED Network mapper >nmap TITULO: NETWORK MAPPING FROM LINUX OS (PARTE 1) AUTOR: Luis Miguel Castañeda Ibañez ESTUDIANTE DE LA FACULTAD #2, 4TO AÑO Network Mapper, más conocida
Más detallesMANUAL DE LA CONFIGURACIÓN Y USO DEL MÓDULO DE ASM PARA PRESTASHOP
MANUAL DE LA CONFIGURACIÓN Y USO DEL MÓDULO DE ASM PARA PRESTASHOP Contacto Para las dudas con la instalación: Integración de Clientes (iclientes.inf@asmred.es) Para el contacto comercial: 91 327 28 80
Más detallesOprime click para iniciar
MODULO II. DESARROLLO DE SISTEMAS DE INFORMACION Oprime click para iniciar Actividades Administración de Proyectos de desarrollo de Software Estructuras algorítmicas repetitivas Ciclo de vida de un proyecto
Más detallesTUTORIAL DE PHP. M. en C. Erika Vilches. Parte 2. http://www.erikavilches.com
TUTORIAL DE PHP M. en C. Erika Vilches Parte 2 http://www.erikavilches.com Enunciados Condicionales Inicia con la palabra clave if seguida de una condición entre paréntesis $number = 5; if ($number < 10)
Más detallesPreliminares. Tipos de variables y Expresiones
Preliminares. Tipos de variables y Expresiones Felipe Osorio Instituto de Estadística Pontificia Universidad Católica de Valparaíso Marzo 5, 2015 1 / 20 Preliminares Computadoras desarrollan tareas a un
Más detallesPractica 9. Correo Varchar 30 Ninguna Puesto varchar 10 Ninguna Salario Int 10 Ninguna. Realizar lo siguiente.
Practica 9 PHP con MySQL. Realizar una base de datos de nombre Escuela, la base tendrá 2 tablas, Alumnos y Personal. La tabla Alumnos constara de lo siguiente: Nombre Tipo Longitud Características ID Int
Más detallesAtaque a servidores DNS
Ataque a servidores DNS A continuación se procede a exponer los principales ataques a servidores DNS con algún que otro caso práctico. Para realizar las pruebas se ha utilizado la suite de herramientas
Más detallesDocumentación de usuario
Galería de fotos. Zenphoto en la UAL Documentación de usuario Índice 1. Objeto del documento... 1 2. Sobre Zenphoto... 1 3. Uso de Zenphoto en la UAL... 2 3.1. Solicitar una cuenta... 2 3.2. Gestionar
Más detallesTecnologías en la Educación Matemática. Expresiones. Datos. Expresiones Aritméticas. Expresiones Aritméticas 19/08/2014
Tecnologías en la Educación Matemática jac@cs.uns.edu.ar Dpto. de Ciencias e Ingeniería de la Computación UNIVERSIDAD NACIONAL DEL SUR 1 Datos Los algoritmos combinan datos con acciones. Los datos de entrada
Más detallesEsta información es facilitada por INCIBE de forma absolutamente gratuita. INCIBE no se responsabiliza del uso que pueda hacerse de la misma.
Este documento debe ser utilizado como plantilla base para la elaboración de los planes de recuperación de entornos. Se entiende entorno como un conjunto de equipos, dispositivos, y aplicaciones que son
Más detallesSoluciones Informáticas para la Gestión de la Calidad c/vicente Aleixandre nº 10 4º H, 15009 A CORUÑA Telf: 981 133 207 / 616 145 723 info@spuch.
MANUAL DE USUARIO Índice Índice... 2 Introducción... 2 Pantalla inicial... 3 Conectar las bases de datos... 4 Periodicidad de sincronización... 6 Reglas de sincronización... 7 Ejecutar consultas SQL...
Más detallesBases de Datos. Sistemas de Gestión de Bases de Datos
Bases de Datos Sistemas de Gestión de Bases de Datos Banco de datos Conjunto de datos relacionados Ejemplo: archivos de las oficinas de una empresa, con fichas, carpetas, archivadores, armarios... La gestión
Más detallesEstimado usuario. Tabla de Contenidos
Estimado usuario. El motivo del presente correo electrónico es mantenerle informado de las mejoras y cambios realizados en el software Orathor (Athor/Olimpo) en su versión 5.7.041 la cual ha sido recientemente
Más detallesTema 2. La Información y su representación
Tema 2. La Información y su representación 2.1 Introducción. Un ordenador es una máquina que procesa información. La ejecución de un programa implica la realización de unos tratamientos, según especifica
Más detallesAgenda. I. Presentación II.Antecedentes III.Distintos ámbitos IV.A jugar
Agenda I. Presentación II.Antecedentes III.Distintos ámbitos IV.A jugar Juan Antonio Calles (@jantoniocalles) Quiénes somos? Jefe de Proyectos de Seguridad en everis www.flu-project.com elblogdecalles.blogspot.com
Más detallesCapitulo 3. Desarrollo del Software
Capitulo 3 Desarrollo del Software 3.1 Análisis del sistema 3.1.1 Organización de la autopista virtual Para el presente proyecto se requiere de simular una autopista para que sirva de prueba. Dicha autopista
Más detallesTipos de Cookies utilizadas en este sitio web
Uso de las cookies Este sitio web utiliza las Cookies para hacer simples y eficientes los propios servicios para los usuarios que visitan las páginas del sitio. Los usuarios que visitan el Sitio verán
Más detallesMANUAL DE USUARIO. Webservice simple para la exportación rápida de información proveniente de una base de datos. Versión 0,1,1
MANUAL DE USUARIO Webservice simple para la exportación rápida de información proveniente de una base de datos Versión 0,1,1 Jorge Iván Meza Martínez INTRODUCCIÓN Esta aplicación permite
Más detallesIntroducción... 3 PLATAFORMA TÉCNICA... 3. Petición de envío de SMS... 3 Ver estado de envíos de SMS... 5 Ver créditos disponibles...
SMSPC.net GATEWAY Índice Introducción........................................................ 3 PLATAFORMA TÉCNICA................................................ 3 Petición de envío de SMS...............................................
Más detallesUnidad III: Lenguaje de manipulación de datos (DML) 3.1 Inserción, eliminación y modificación de registros
Unidad III: Lenguaje de manipulación de datos (DML) 3.1 Inserción, eliminación y modificación de registros La sentencia INSERT permite agregar nuevas filas de datos a las tablas existentes. Está sentencia
Más detalles