La inmensa mayoría de las páginas son vulnerables, a unos u otros fallos.

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamaño: px
Comenzar la demostración a partir de la página:

Download "La inmensa mayoría de las páginas son vulnerables, a unos u otros fallos."

Transcripción

1 Introducción a la seguridad Web: La inmensa mayoría de las páginas son vulnerables, a unos u otros fallos. El gran problema no está en que esas páginas sean vulnerables y con ello podamos pasar un rato divertido intentando ver por dónde podemos colarnos. Sino que el problema se encuentra en la escasa formación en materia de seguridad que tienen todas aquellas personas que han programado dichas aplicaciones web. Y es que la gran mayoría de gente que programa aplicaciones web sabe lo que es un XSS, pero lo ven como una simple molestia que puede causar que a algún que otro cliente le aparezca un alert en su navegador... Lo que no saben es que gracias a esos XSS es posible crear virus y gusanos programados en javascript, o que con esos simples alert podemos desde troyanizar una navegador hasta obtener el control total del ordenador de todo aquel inocente que haya cargado la página vulnerable. Esto mismo ocurre con fallos SQLi, donde los programadores en muchísimas ocasiones lo único que hacen es realizar un leve filtrado de las entradas, suponiendo y este es el gran problema que nadie les hará nada. Supongo que de la gente que lea esto alguno que otro sabrá que son las inyecciones SQL, lo que me gustaría que os preguntarais es sí realmente sabéis que conlleva... Y es que una vez encontrada una SQLi es relativamente sencillo hasta para un script kiddie conseguir ya no solo acceso a la base de datos completa, sino el control del servidor, ya sea mediante un RFI o mediante algún tipo de exploits utilizando metasploit. Pero bueno, el fin de este documento, como ya he dicho es enseñar. Mostrar a todo aquel que esté interesado en este apasionante mundo del hacking y la seguridad... A todos ellos, demostrarles que las cosas son mucho más fáciles de lo que parecen. Por ello, en este CTF se aprenderán todas esas tácticas, como utilizarlas para atacar, y más adelante como poder solucionarlas.

2 Introducción a SQL: Las siglas SQL se refieren a Structured Query Language, y es un lenguaje estructurado que se utiliza para administrar y consultar bases de datos. Nosotros nos vamos a centrar lo máximo posible en las cosas importantes para que todos aquellos que no tengan conocimiento de SQL puedan aprovechar el CTF y los retos propuestos. Este lenguaje se basa en hacer consultas a la base de datos, las más normales son: SELECT... (Selecciona) CREATE... (Crea) DELETE... (Borra) ALTER... (Altera / Modifica) INSERT... (Inserta) Lo primero que hay que decir de este lenguaje es que toda la información se guarda en tablas. Donde las filas son los registros completos, como seria usuario, password... Y las columnas los diferentes atributos de cada registro es decir usuario o password... Ej: Una tabla tiene las columnas usuario y password, por lo tanto la estructura seria la siguiente: Tabla: usuarios usuario password Eduardo Pepito En este caso tendríamos una tabla con dos atributos, es decir columnas (usuario y password), y dos filas con los dos usuarios (usuario + password). Ahora que ya tenemos la base sobre como manejan la información de las bases de datos vamos a centraremos en el primero tipo de consulta (SELECT). Cuando queremos hacer una consulta a una base de datos lo hacemos con la intención de obtener una serie de datos según lo que hayamos pedido, un ejemplo podría ser: SELECT usuario, password FROM usuarios Esta consulta está diciendo que nos saque todos los registros con las columnas usuario y password, es decir que en este caso mostraría toda la tabla. usuario password Eduardo Pepito Vamos a ver ahora otro ejemplo: SELECT usuario FROM usuarios

3 En este otro caso el resultado sería que nos mostraría solo la columna usuario de todos los registros, por lo tanto el resultado sería el siguiente: usuario Eduardo Pepito Y por ultimo vamos a poner otro pequeño ejemplo: SELECT usuario, password FROM usuarios WHERE usuario="eduardo" and password="123456" En este caso está buscando en la tabla si existe un usuario que se llama "Eduardo" y que además tiene una contraseña que es "123456". Este sería un ejemplo muy típico que se suele utilizar en las aplicaciones web para permitir que un usuario se logee. Es decir realizaran la consulta y si existe dicho usuario con dicha clave tendrá acceso, en caso contrario no. Además del operador AND también existe el operador OR, veamos un ejemplo: Si nosotros realizáramos la consulta : SELECT usuario, password FROM usuarios WHERE usuario="eduardo" or password="654321" Estamos preguntando si existe un usuario que se llame "Eduardo" o si por el contrario, existe un usuario que tenga como password "654321", esta sentencia nos sacaría toda la tabla vista anteriormente, ya que existen ambos casos. Las tablas de las que hemos estado hablando hasta ahora se encuentran almacenadas en bases de datos. Es decir: Servidor -> Bases de datos -> Tablas -> Columnas -> Datos Esto significa que un servidor puede tener varias bases de datos, y que cada base de datos tiene una serie de tablas, que están formadas por columnas. En esta parte vamos a mostrar lo importante que son para las SQLi ciertas tablas que tiene por defecto el sistema.

4 Concretamente tenemos una base de datos llamada information_schema, esta base de datos almacena toda la información sobre la base de datos, es decir, las tablas que tiene, que columnas tiene cada tabla, etc.. Vamos a ver ahora como nos servirá esto para realizar una SQL Injection básica. Otra cosa muy importante para esta parte será la instrucción SQL union, la cual permite sumar el resultado de dos consultas. Es decir que realizara las dos consultas y unirá los resultados. Una de las cosas más importantes es que al realizar un union, ambas consultas tiene que tener la misma cantidad de columnas. Veamos un ejemplo: Tabla: usuarios Tabla: personas usuario password Eduardo Pepito nombre Juan Jorge apellido Pérez Ramírez Un ejemplo de esta tipo de consultas sería el siguiente: SELECT usuarios, password FROM usuarios UNION SELECT nombre, apellido FROM personas. Lo cual nos daría como resultado lo siguiente: nombre apellido Eduardo Pepito Juan Pérez Jorge Ramírez Como se ve el resultado sería la unión de ambas consultas. Una vez visto esto vamos a ver como se utilizar en las inyecciones SQL para sacar información.

5 SQL Injection: El SQL Injection consiste en un ataque que se realiza en las aplicaciones web contra la base de datos. Esto se debe a una falta de filtrado en la consulta a la base de datos (En este caso en la página web). Ahora que sabemos que en qué consiste este ataque vamos a mostrar una serie de ejemplos: Imaginemos que tenemos la siguiente tabla: Usuarios usuario password Eduardo Pepito Y nos encontramos ante un login, donde lógicamente no tenemos el usuario y la contraseña y tendremos que saltárnoslo. Por dentro, la aplicación realiza la siguiente consulta: SELECT usuario, password FROM usuarios WHERE usuario='x' and password='y' Siendo x e y respectivamente el usuario y contraseña que introducimos nosotros en la aplicación. Supongamos que introducimos: x --> pepe y --> hola La consulta quedaría de la siguiente manera: SELECT usuario, password FROM usuarios WHERE usuario='pepe' and password='hola' Como vemos no existe ningún registro con ese usuario y contraseña por lo que nos denegaría el acceso. Veamos ahora que pasaría si introducimos lo siguiente: x --> 'a y --> 'a La consulta quedaría de la siguiente manera: SELECT usuario, password FROM usuarios WHERE usuario='' a' and ='' a'

6 Lo que lograríamos con esto sería un fallo en la base de datos, debido a que hemos cerrado ambos campos poniendo nosotros una comilla simple que es lo que va a utilizar el programa para cerrar lo que metiéramos nosotros como nombre y contraseña. Lo que nos interesa de aquí es que si realizáramos la siguiente consulta: x --> ' or '1'='1 y --> ' or '1'='1 La consulta quedaría de la siguiente manera: SELECT usuario, password FROM usuarios WHERE usuario='' or '1'='1' and password='' or '1'='1' En esta consulta estamos diciendo lo siguiente: 1. Existe un usuario='' (es decir vacio) o... '1'='1', cosa que siempre será verdad, por lo que en esta parte seria siempre cierto sin importar el usuario. 2. Existe una password='' o... '1'='1', que al igual que antes será siempre cierto. 3. Siempre cierto AND siempre cierto = Acceso al login Para entender bien lo que hace es importante ver que entre otras cosas las consultas ' or '1'='1 siempre se dejan sin cerrar la comilla al final debido a que el sistema introducirá una comilla, y con ello evitamos que de error la consulta. Pues esto sería una forma de saltarse el login de una página. Lógicamente no todas las páginas son así ya que muchas de ellas implementan unas medidas de seguridad, pero por desgracias... En muchos de los sitios sigue siendo así de sencillo. Una vez que ya hemos visto como trabajan las bases de datos y un pequeño ejemplo de SQL Injection vamos ahora a ver cómo sacar información de la base de datos desde la página web. Lo primero que tenemos que saber es lo que vamos a buscar, en este caso nosotros vamos a buscar que la base de datos nos diga cuál es el usuario que estamos ejecutando, la versión, cual es la base de datos en la que estamos y cuál es la dirección en el host en el que se encuentra la base de datos. Para ello, y esto es esencial, es descubrir si la aplicación es vulnerable. Para saber esto debemos fijarnos (por ahora) en la url, y en los distintos parámetros que tenga. En mi caso, para este ejemplo me he construido una aplicación vulnerable, que además nos mostrara cual será la consulta que estamos realizando a la base de datos. En dicha aplicación como en muchas en internet, se realizan consultas para sacar información por pantalla, como pueden ser noticias, comentarios... Todo ello almacenado en la base de datos. Comencemos con el ejemplo: A continuación se muestra la página web donde se va a realizar la prueba:

7 Para ver si alguno de los parámetros de la pagina web es vulnerable introducimos una comilla simple. Esto como se ha visto anteriormente provocara un error en la base de datos (dependiendo del nivel de seguridad de la página), error que será mostrado por pantalla como se puede ver en la siguiente imagen: En este caso estamos comprobando que el parámetro "id" es vulnerable a SQLi. Ahora lo que tenemos que hacer es dejar la consulta que se esté mostrando como una consulta vacía. Para ello en este caso metemos id=-1, y debido a que no hay ninguna noticia que tenga id=-1 pues la consulta como se ve esta vacía. Con lo cual vemos que no nos sale ningún dato por pantalla.

8 El paso anterior también se podría haber logrado introduciendo algo como id=1+and+1=0, con esto lograríamos que la consulta fuese siempre falsa ya que 1 nunca será igual a 0. (Los "+" se ponen debido a que en la url son el equivalente a un espacio, ya que este no se puede poner). Una vez visto lo anterior tendríamos que pasar a averiguar cuantas columnas tiene la consulta que se está realizando en la web, en este caso lo sabemos, pero lo que habría que hacer es lo siguiente: Por un lado unir a la consulta anterior lo siguiente: id=-1+union+select Ahora tendríamos que ir introduciendo filas hasta que la aplicación no nos muestre el error de la base de datos, que como hemos dicho antes se produce porque la instrucción union requiere que las consultas realizadas tengan el mismo número de columnas. Por lo tanto realizaríamos las siguientes consultas: id=-1+union+select+1 (Nos seguiría saliendo el error) id=-1+union+select+1,2 Una vez llegados aquí vemos que no nos sale ningún error, y que además donde debería ir el nombre y el comentario nos ha aparecido 1,2 que son los números que hemos introducido. Esto implica que son ambas son vulnerables y que en dichos campos vamos a poder sacar información. Veamos como: Si ahora en vez de poner 1,2 pusiéramos database(),user() Quedando la consulta de la siguiente forma: id=-1+union+select+database(),user() Esto nos mostraría la base de datos y el usuario que estamos ejecutando en la base de datos.

9 Ambas son unas funciones de SQL. Y por ultimo vamos a sacar cual es la versión de la base de datos y la ruta del servidor donde esta instan las bases de datos. Sustituiríamos la consulta anterior por: Y como podemos ver en la imagen nos sacaría la versión de la base de datos y la ruta. Hasta aquí hemos visto como con una SQLi podemos sacar información de la base de datos. Ahora vamos a ver cómo podemos sacar tablas, columnas y su contenido. Lo primero de todo, recordemos que en nuestro caso, la consulta tenía dos columnas, donde vamos a ver los resultados. Para comenzar, lo primero que haremos será poner lo siguiente: id=-1+union+select+1,table_name+from+information_schema.tables Vamos a analizar qué es lo que hacemos... Por un lado como vimos en el anterior artículo, las dos columnas (1 y 2) son vulnerables por lo que podríamos realizar las futuras inyecciones tanto en la primera como en la segunda columna, yo en este caso utilizare la segunda.

10 Después tenemos que acordarnos que como dijimos anteriormente, la base de datos information_schema contenía gran cantidad de tablas con información como las tablas que hay, columnas y demás. Por ello utilizaremos la tabla "tables" de dicha base de datos para averiguar cuáles son las tablas que tiene la base de datos. Como vemos en mi aplicación solo sale una tabla por pantalla, esto se debe a la forma en la que esta implementada. Es decir que en muchas páginas hubieran salido todas de golpe, pero como no es el caso vamos a ver cómo podríamos solucionar esto. Para ello haríamos lo siguiente id=-1+union+select+1,table_name+from+information_schema.tables+limit+0,1 Al introducir esto vemos que el resultado es el mismo que antes, con la diferencia de que ahora vamos a poder ir viendo cuales son las tablas. Lo que estamos haciendo es decirle a la base de datos que únicamente nos muestre la primera columna del primer registro, y lo que haremos con esto será buscar una por una cual es la tabla que nos interese. Es decir, iremos haciendo: limit+1,1 limit+2,1... limit+31,1 (En mí caso es la que nos interesa ya que es la tabla de usuarios) Un pequeño dato importante es que en mi caso es necesario realizar un pequeño ByPass (Saltar filtro) para que la consulta sea cierta, esto se debe a que la consulta no nos permite meter "table_name", pero si unhex(hex(table_name)) con esto lo que estamos haciendo es pasar table_name a hexadecimal y después de hexadecimal a normal, pudiendo saltarnos el filtro y que nos muestre la información. Por lo tanto la consulta final quedaría de la siguiente manera: id=-1+union+select+1,unhex(hex(table_name))+from+information_schema.tables+limit+31,1 Una vez sabemos cuál es la tabla de la que queremos obtener información vamos a ver cómo sacar las columnas de dicha tabla. Para ello realizaríamos la siguiente consulta: id=0+union+select+1,unhex(hex(column_name))+from+information_schema.columns+where+ table_name="usuarios"+limit+0,1

11 Con ello estamos haciendo que nos muestre la primera columna de la tabla "usuarios", para ir recorriendo las distintas columnas haríamos lo mismo que en el apartado anterior, es decir, iremos poniendo: limit+1,1 limit+2,1... En este caso solo hay dos columnas (usuario y password) por lo que ya tendríamos como se llaman todas. Una vez conocemos esta información ya podemos realizar la consulta de forma correcta, es decir: id=-1+union+select+usuario,password+from+usuarios Lo cual nos mostraría el primer registro de la tabla usuarios, y para ir recorriendo los diferentes usuarios solo tendríamos que utilizar el limit como en apartados anteriores.

12 Como habéis visto, en esta última consulta he utilizado las dos columnas vulnerables para poder sacar información, lo cual lo hace mas como sobre todo para estos casos donde queremos sacar dos datos por pantalla. Bueno como habéis podido ver hemos logrado sacar con una SQLi los usuario y contraseñas de la página web, y como veréis más adelante esto es mucho mas común en la páginas web de lo que la gente se piensa.

13 XSS Cross Site Scripting: En este post vamos a tratar otro tipo de ataque, el XSS o Cross Site Scripting. Este tipo de vulnerabilidad web se produce al igual que el SQL Injection por un débil filtrado de las variables que introduce el usuario, como pueden ser buscadores, formularios y demás. Este tipo de fallos son normalmente pasador por alto por los desarrolladores porque piensan que lo único que se puede hacer con ellos es mostrar un simple alert (Lo veremos más adelante) por pantalla, cosa que es totalmente falsa, ya que como se vera, es posible llegar a troyanizar navegadores y poder construir enormes botnets o redes de ordenadores infectados por un troyano. Bueno, una vez explicado un poco que son las XSS vamos a ver como suceden. Para aquellos que no sepan nada sobre HTML o Javascript haré una pequeña introducción. El lenguaje HTML sirve para crear páginas web estáticas (donde la web siempre hace lo mismo a diferencia de PHP). En este lenguaje todo va por etiquetas, es decir si queremos mostrar un párrafo podemos poner: <p>hola</p> Donde se abre una etiqueta de parrafo (p) y tras introducir el contenido se cierra dicha etiqueta. Para lo que a nosotros nos interesa nos centraremos en la etiqueta <script> que nos permite introducir código en javascript. Vamos a ver un ejemplo: A esta pagina le avise hace muchísimo tiempo de la vulnerabilidad pero les dio igual así que vamos a probar con ellos. Lo primero que hacemos es introducir algo, en mi caso hola. Y vemos que no encuentra resultados, pero que además nos muestra hola en varias partes, por lo que nos vamos al

14 código fuente a ver qué es lo que está haciendo. Una vez tenemos el código fuente buscamos la palabra introducida y vemos lo siguiente Como vemos está mostrando el código directamente, ni dentro de una variable ni nada, por lo que sería posible modificar la pagina. Ahora que queremos comprobar si realmente la página es vulnerable realizamos lo siguiente: Probamos a introducir: <h1>hola</h1> Aquí lo que estamos haciendo es decirle a la página que eso nos lo muestre en negrita y en grande. Y como vemos en la captura es precisamente lo que hace, por lo tanto sabemos que seguro podremos realiza un XSS (debido a las medidas de seguridad de la web). Para ello solo necesitaríamos introducir: <script>alert( Vulnerabilidad XSS )</script>

15 Lo cual nos produciría una ventana con el mensaje introducido. Normalmente los ejemplos son algo distintos, ya que suele ser necesario cerrar la variable o input en el que estamos para poder introducir código. En estos casos suele producirse cuando realizamos una consulta como: /><script>alert( Vulnerabilidad XSS )</script> Esto es muy típico encontrarlo en los buscadores de las páginas. Aquí os dejo algunas páginas vulnerables que son graciosas y donde podéis probar los ejemplos ya que esto ni es ilegal ni nada. En la DGT (En el buscador) En la UAM En el ayuntamiento de Madrid Por cierto por si alguno tiene alguna duda este tipo de ataques únicamente modifican la pagina cuando la cargamos, es decir que si la vuelves a cargar sin introducir el XSS seguirá como siempre. Esto es distinto en los XSS Persistentes, donde sí que se guardan en una base de datos y son los realmente peligrosos, pero bueno, esto era una pequeña base para poder avanzar en otros temas más adelante.

16 Local File Inclusion: En este nuevo post vamos a tratar el LFI o Local File Inclusion. Este es un tipo de ataque que permite la lectura de archivos que no estaban preparados para ser mostrados, como puede ser el archivo de contraseñas de linux (/etc/passwd) u otros archivos de configuración del servidor. Una situación típica donde se produce este tipo de vulnerabilidad es en páginas que incluyen mediante la url algún archivo en la página, por ejemplo (En nuestro caso): Como podemos ver en la url se está introduciendo en la pagina que se muestra el archivo noticias.hmtl. Una vez sabemos que la pagina esta incluyendo un archivo vamos a ver si es vulnerable a LFI, para ello vamos a intentar incluir un archivo distinto. Por ejemplo el archivo que se está ejecutando, en este caso rfi_lfi.php. Como se ve en la foto a incluido el archivo gran cantidad de veces, y por ello sabemos que es posible acceder a otros archivos para los que no estaba pensado. Ahora podríamos utilizar esto para leer ciertos archivos de configuración. En este caso hemos creado un fichero que contiene toda la base de datos en la misma ruta, por lo que podríamos leerlo haciendo lo siguiente:

17 Y ahora vamos a leer un archivo que se encuentre en otra ruta, por ejemplo en la raíz. En mi caso ya que utiliza Windows para estas pruebas tendrá una forma así: Como hemos visto podríamos leer cualquier tipo de archivo de servidor que aloje la pagina, lo cual como veremos más adelante servirá incluso para subir una shell en php. Pero por ahora os dejo con esto que es la base del Local File Inclusion.

18 Técnicas Avanzadas de SQL Injection: Aquí vamos a exponer diferentes técnicas que junto con las técnicas de SQLi vistas hasta ahora nos permitirán sacar la información de forma más rápida y eficaz. Para empezar vamos a ver cómo podríamos concatenar ciertos resultados en una SQL Injection. Para todos aquellos que no estéis muy familiarizados aun con el lenguaje SQL vamos a ver una sentencia donde podríamos utilizar la concatenación. SELECT 1,concat(usuario, 0x3a, password) FROM usuarios Esto nos permitiría sacar en una única consulta el usuario y la contraseña separados por dos puntos, que es el carácter 3a en ascii. Si esto lo utilizamos en una SQL Injection podríamos obtener lo siguiente: Como podemos ver en la imagen hemos conseguido sacar el resultado de dos columnas en una única, ahora vamos a ver cómo podríamos sacar en una única columna todos los resultados que quisiéramos. Para ello deberíamos utilizar la instrucción concat sumada con group_concat, lo cual nos permitirá sacar las dos columnas vistas anteriormente pero para todos los registros, no únicamente para uno solo. Para ello deberemos realizar lo siguiente: SELECT concat(group_concat(usuario,0x3a,password)) FROM usuarios A continuación se muestra la imagen, donde se puede ver que la página nos ha volcado los tres usuarios que tenemos metidos en la tabla usuarios. Esto puede ser realmente útil, ya que con una única consulta seriamos capaces de sacar todos los registros, por lo que no tendríamos que está utilizando el limit todo el rato. Además de esto sería muy práctico en casos donde solo tenemos una única columna vulnerable.

19 A continuación vamos a ver las inyecciones SQL serializadas. Para quien no lo sepa, esto se basa en mostrar todos los resultados obtenidos mediante una SQLi con un formato XML. Esto nos permitirá un análisis y tratamiento de los resultados mucho más efectivo. Para poder realizar dicha técnica utilizaremos las funciones concat y group_concat al igual que antes. Vamos a empezar, lo primero sería poner un ejemplo de archivo XML: <tabla> <fila> <nombre>edu</nombre> <contraseña>edu</contraseña> </fila> </tabla> Esto sería un ejemplo muy simple, donde vemos que existe una tabla, que contiene una única fila con los atributos nombre y contraseña, junto con sus respectivos valores entre las entidades. Pues lo que vamos a realizar ahora será utilizar la técnica descrita anteriormente para poder sacar este resultado en una única consulta. Para esto realizaremos la siguiente consulta (modificada según la SQLi): SELECT concat('\n<table>\n',group_concat('<fila><usuario>', usuario, '</usuario><password>', password,'</password></fila>\n'),'\n</table>\n') Para nuestro ejemplo seria concretamente la siguiente: <fila><usuario>', usuario, '</usuario><password>', password,'</password></fila>\n'),'\n</table>\n')

20 Como podéis ver en la imagen el resultado es muy similar al del post anterior, pero si os vais al código fuente veréis lo siguiente: Y así seria otra forma de poder sacar todos los resultados de una tabla en una única consulta y en un único campo, pero además permitiéndonos guardar los resultados en un formato XML para su análisis u explotación. Por último vamos a ver cómo es posible leer ficheros mediante una SQLi. Para ello deberemos como siempre encontrar la vulnerabilidad SQLi en la web y después deberemos ver cuántas columnas tiene para poder realizar la inyección de forma correcta. Una vez tenemos esa información podremos construir una consulta como la siguiente:...id=1+and+1=0+union+select+1,2 Cuando ya sabemos esta información, cogemos un campo que sea vulnerable, en este caso el 2 por ejemplo. Y en vez de intentar encontrar las tablas o las columnas vamos a leer un fichero del sistema, para ello tendríamos que realizar lo siguiente: e747874) El numero que vemos dentro de la función load_file es la dirección del archivo, es decir, en este caso yo estoy leyendo el archivo C:\prueba.txt. Y ese número es la conversión de "C:\prueba.txt" a hexadecimal. Para realizar este proceso podemos utilizar el navegador

21 mantra o alguna herramienta como Una vez tenemos el archivo en hexadecimal lo metemos dentro de load_file y veremos cómo nos muestra el contenido del archivo por pantalla. En este caso el contenido como hemos dicho del archivo C:\prueba.txt Un ejemplo realmente útil seria cuando el servidor que aloja la web utiliza linux y sin problema podríamos leer el archivo de contraseñas (/etc/passwd) u otros archivos de configuración. Como se puede ver en la siguiente imagen, donde estamos leyendo el archivo /etc/passwd de bnv.gob.ve. Además de esto, otra gran utilidad seria leer un archivo en php que sepamos que se comunica con la base de datos para obtener el usuario y contraseña que hace consultas a dicha base de datos, así como mas información útil. En la siguiente imagen se ve que hemos llamado al mismo archivo que tiene la vulnerabilidad SQLi ya que lógicamente se comunica con la base de datos.

22 Como podemos ver en la anterior imagen hemos obtenido lo que buscábamos.

23 RECOMENDACIONES: Videos recomendados que realice hace tiempo: Papers y documentos recomendados: RFI / LFI: XSS: Bypass WAF: Most Popular Attacks: Papers SQLi: SQL Injection Attacks and Defense:

RETO HACKER DE VERANO

RETO HACKER DE VERANO RETO HACKER DE VERANO Blind XPath Reto Hacker de verano Índice 1 Introducción... 2 2 Proceso de trabajo... 2 2.1 Toma de contacto (fingerprinting)... 2 2.2 Comienza el ataque... 4 2.3 Explicacion del ataque

Más detalles

Solución al Reto Hacking v2.0 de Informática 64

Solución al Reto Hacking v2.0 de Informática 64 Febrero 2007 Introducción Este documento describe dos soluciones posibles al segundo Reto Hacking de Informática 64 que se publicó el 10 de febrero de 2007 en la siguiente dirección web: http://retohacking2.elladodelmal.com

Más detalles

Curso de PHP con MySQL Gratis

Curso de PHP con MySQL Gratis Curso de PHP con MySQL Gratis Introducción Este mini curso o mini tutorial de PHP le ayudará a realizar cualquier sistema para que pueda insertar uno o varios registros a una base de datos con MySQL, este

Más detalles

TALLER DE SQL INJECTION

TALLER DE SQL INJECTION TALLER DE SQL INJECTION EDYTED BY 4TF3 Definición de Injectiòn SQL Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación

Más detalles

Pasamos ahora a definir brevemente cual es el método de conexión más habitual usando un entorno gráfico.

Pasamos ahora a definir brevemente cual es el método de conexión más habitual usando un entorno gráfico. Clientes de FTP en modo gráfico Introducción Ya vimos en la primera parte de nuestro curso de FTP, que la conexión a servidores inicialmente se realizaba (y aún se sigue haciendo) en modo texto. Aunque

Más detalles

Programa diseñado y creado por 2014 - Art-Tronic Promotora Audiovisual, S.L.

Programa diseñado y creado por 2014 - Art-Tronic Promotora Audiovisual, S.L. Manual de Usuario Programa diseñado y creado por Contenido 1. Acceso al programa... 3 2. Opciones del programa... 3 3. Inicio... 4 4. Empresa... 4 4.2. Impuestos... 5 4.3. Series de facturación... 5 4.4.

Más detalles

MINI MANUAL PARA CREAR FORMULARIOS CON PHP Marzo 2007

MINI MANUAL PARA CREAR FORMULARIOS CON PHP Marzo 2007 MINI MANUAL PARA CREAR FORMULARIOS CON PHP Marzo 2007 Servicio de Informática y Comunicaciones Para poder diseñar un formulario y que éste nos envíe los resultados a nuestro correo electrónico, necesitamos

Más detalles

Guía para el tratamiento en Allegro de recibos para centros no pertenecientes a la Generalitat Valenciana.

Guía para el tratamiento en Allegro de recibos para centros no pertenecientes a la Generalitat Valenciana. Guía para el tratamiento en Allegro de recibos para centros no pertenecientes a la Generalitat Valenciana. Esta guía muestra como proceder en la configuración y posterior uso de la aplicación Allegro en

Más detalles

1º Exportar la base de datos de Abies a un fichero de texto

1º Exportar la base de datos de Abies a un fichero de texto Catálogo biblioteca en Internet. Por José Antonio Cachón, IES Alpajés Aranjuez, marzo-2008 1/11 CATÁLOGO de la BIBLIOTECA en INTERNET El presente documento explica una forma posible de publicar el catálogo

Más detalles

Optimizar base de datos WordPress

Optimizar base de datos WordPress Optimizar base de datos WordPress Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com WordPress se ha convertido en uno de los CMS más utilizados en todo el mundo. Su robustez,

Más detalles

UNIDAD 1. LOS NÚMEROS ENTEROS.

UNIDAD 1. LOS NÚMEROS ENTEROS. UNIDAD 1. LOS NÚMEROS ENTEROS. Al final deberás haber aprendido... Interpretar y expresar números enteros. Representar números enteros en la recta numérica. Comparar y ordenar números enteros. Realizar

Más detalles

1/ XAMPP: más fácil imposible. Vamos directamente a la página de descarga de Apache Friends para Windows

1/ XAMPP: más fácil imposible. Vamos directamente a la página de descarga de Apache Friends para Windows Moodle en XAMPP Presentación Xampp Moodle 1.9 Moodle 2.0 Moodle exprés Xampp Lite 1/ XAMPP: más fácil imposible 1.1/ Obtención de XAMPP Vamos directamente a la página de descarga de Apache Friends para

Más detalles

MANUAL DE AYUDA MODULO TALLAS Y COLORES

MANUAL DE AYUDA MODULO TALLAS Y COLORES MANUAL DE AYUDA MODULO TALLAS Y COLORES Fecha última revisión: Enero 2010 Índice TALLAS Y COLORES... 3 1. Introducción... 3 CONFIGURACIÓN PARÁMETROS TC (Tallas y Colores)... 3 2. Módulos Visibles... 3

Más detalles

Compartir Biblio en una red local con Windows XP

Compartir Biblio en una red local con Windows XP Compartir Biblio en una red local con Windows XP Caso práctico Supongamos que tenemos 2 tipos de personas que van a necesitar acceder remotamente (a través de otro ordenador de la red local) a la base

Más detalles

Voy a intentar explicar por encima cómo funciona el Foro.

Voy a intentar explicar por encima cómo funciona el Foro. Voy a intentar explicar por encima cómo funciona el Foro. Cuando entráis al foro desde NUESTRA PAGINA o desde donde sea, por ejemplo a través de esta URL: http://server3.foros.net/index2.php?mforum=bmwcruisers

Más detalles

Cómo instalar fácilmente tu WordPress tras contratar un hosting en Hostalia

Cómo instalar fácilmente tu WordPress tras contratar un hosting en Hostalia Cómo instalar fácilmente tu WordPress tras contratar un hosting en Hostalia Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com La puesta en marcha de WordPress es muy sencilla,

Más detalles

LAS CONSULTAS ACCESS 2007. Manual de Referencia para usuarios. Salomón Ccance CCANCE WEBSITE

LAS CONSULTAS ACCESS 2007. Manual de Referencia para usuarios. Salomón Ccance CCANCE WEBSITE LAS CONSULTAS ACCESS 2007 Manual de Referencia para usuarios Salomón Ccance CCANCE WEBSITE LAS CONSULTAS En esta unidad veremos cómo crear consultas y manejarlas para la edición de registros de tablas

Más detalles

TUTORIAL PARA CREAR UN SERVIDOR FTP

TUTORIAL PARA CREAR UN SERVIDOR FTP TUTORIAL PARA CREAR UN SERVIDOR FTP A continuación ustedes podrán observar y luego implementar el informe que elaboré a fin de que TODOS puedan aprender a montar y mantener su propio Servidor FTP. Comenzaremos

Más detalles

MANUAL DE USO PROGRAMA DE GESTIÓN AGENCIAS DE VIAJES

MANUAL DE USO PROGRAMA DE GESTIÓN AGENCIAS DE VIAJES MANUAL DE USO PROGRAMA DE GESTIÓN AGENCIAS DE VIAJES Estructura general... 2 Pantalla General de Reservas... 3 Alta de una reserva Pantalla de un expediente... 5 Manejo de Documentos... 7 Ejemplo de un

Más detalles

Cierre y Apertura de ejercicio. Gestión - Contabilidad

Cierre y Apertura de ejercicio. Gestión - Contabilidad Cierre y Apertura de ejercicio. Gestión - Contabilidad Cliente : Cooperativa Madrileña de Ferreteros, soc. coop. Referencia : I-3-PC-02 / 000041 Asunto : Cierre y apertura de ejercicio. Gestión Contabilidad

Más detalles

Gobierno del Estado de México

Gobierno del Estado de México Gobierno del Estado de México Escuela Preparatoria Oficial No. 82 José Revueltas Hay que alcanzar la exaltación verdadera, para lograrlo, hay que ser serenos, sin prisas, estudiar, trabajar y disciplinarse

Más detalles

Cookies: qué son y para qué sirven

Cookies: qué son y para qué sirven Cookies: qué son y para qué sirven Desde hace un tiempo las webs nos indican con mensajes que utilizan cookies propias de terceros. Muchos usuarios aceptan el mensaje sin más por el simple hecho de que

Más detalles

Creación paso a paso de Formularios con Google (Parte I) (AKA: no corrijo nunca más!)

Creación paso a paso de Formularios con Google (Parte I) (AKA: no corrijo nunca más!) Creación paso a paso de Formularios con Google (Parte I) (AKA: no corrijo nunca más!) por Rodrigo Martínez Gazoni La idea de este tutorial es meternos en una de los servicios que ofrece Google en forma

Más detalles

PHP Perfect SQL v1.0 (SQL perfectas en PHP)

PHP Perfect SQL v1.0 (SQL perfectas en PHP) PHP Perfect SQL v1.0 (SQL perfectas en PHP) Muchas veces cuando programamos para web es muy fácil cometer errores en la construcción sintáctica de consultas SQL, por ejemplo cuando tenemos que realizar

Más detalles

Creación de páginas Web FrontPage

Creación de páginas Web FrontPage Creación de páginas Web FrontPage 1.- Introducción Las páginas web están basadas en lo que se llama el hipertexto. En el hipertexto no hace falta seguir el documento de forma lineal, sino que se establecen

Más detalles

Cómo tener tu Tumblr con un domino propio

Cómo tener tu Tumblr con un domino propio Cómo tener tu Tumblr con un domino propio Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com Desde hace algunos años, las redes sociales han adquirido una gran importancia

Más detalles

Manual de usuario de Windows Live Writer

Manual de usuario de Windows Live Writer Manual de usuario de Windows Live Writer Índice 0.- Introducción. 3 1.- Descarga e Instalación. 4 2.- Conexión a un blog. 7 3.- Interfaz de Windows Live Writer. 12 4.- Creación de un Post. 13 5.- Creación

Más detalles

Detectar y solucionar infecciones en un sitio web

Detectar y solucionar infecciones en un sitio web Detectar y solucionar infecciones en un sitio web Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com Las infecciones que sufren los sitios web son uno de los principales

Más detalles

Herramientas Informáticas para la Documentación Práctica 1. Introducción al navegador Netscape

Herramientas Informáticas para la Documentación Práctica 1. Introducción al navegador Netscape Herramientas Informáticas para la Documentación Práctica 1. Introducción al navegador Netscape Introducción y objetivos De modo muy resumido Internet es una red que interconecta redes de ordenadores. Conectándose

Más detalles

Pentesting con OWASP Zed Attack Proxy

Pentesting con OWASP Zed Attack Proxy Pentesting con OWASP Zed Attack Proxy 1. Introducción ZAP es una poderosa herramienta para realizar ataques de penetración (disciplina conocida como Pentesting), que permite analizar sitios web para buscar

Más detalles

Índice. 1. Introducción al XSS. 2. Taller Práctico Explotando la Vulnerabilidad. 3. Robo de cookies Uso de estas. 4. Arreglando la vulnerabilidad.

Índice. 1. Introducción al XSS. 2. Taller Práctico Explotando la Vulnerabilidad. 3. Robo de cookies Uso de estas. 4. Arreglando la vulnerabilidad. Índice 1. Introducción al XSS. Qué es el XSS? Por qué se produce? Tipos de XSS 2. Taller Práctico Explotando la Vulnerabilidad. XSS Reflejado XSS Persistente 3. Robo de cookies Uso de estas. Como robar

Más detalles

Guia de realización de un GIG personal en nuestra página web (http://zunzuneguibhi.net):

Guia de realización de un GIG personal en nuestra página web (http://zunzuneguibhi.net): Crear un GIG en la web del instituto Zunzunegui (v2) Guillermo Hierrezuelo Guia de realización de un GIG personal en nuestra página web (http://zunzuneguibhi.net): PREÁMBULO: entrar a nuestra página; navegadores

Más detalles

Capítulo 0. Introducción.

Capítulo 0. Introducción. Capítulo 0. Introducción. Bueno, por fin está aquí el esperado (espero!!) Capítulo Cero del Tutorial de Assembler. En él estableceremos algunos conceptos que nos serán de utilidad a lo largo del Tutorial.

Más detalles

MANUAL BASICO DE WEBEX

MANUAL BASICO DE WEBEX MANUAL BASICO DE WEBEX Webex es un servicio de web conferencias y soluciones de colaboración, lo que significa que nos permite crear una conferencia por internet en la cual además de vernos los unos a

Más detalles

5. Composer: Publicar sus páginas en la web

5. Composer: Publicar sus páginas en la web 5. Composer: Publicar sus páginas en la web Si nuestras páginas existen únicamente en el disco duro local, sólo nosotros podremos navegar por ellas, pero nadie más podrá hacerlo. Composer nos permite publicarlas

Más detalles

- length(str) retorna el largo de un string en bytes. Ejemplo: "SELECT LENGTH('ITFreek')", nos devuelve 7.

- length(str) retorna el largo de un string en bytes. Ejemplo: SELECT LENGTH('ITFreek'), nos devuelve 7. 1 Inyecciones SQL V 1.0 Sentencias a necesitar: - database() devuelve el nombre de la base de datos actualmente seleccionada, o NULL si no hay ninguna seleccionada. Ejemplo: "SELECT DATABASE()" en el código

Más detalles

Acá vamos a ocuparnos de cómo realizar la instalación de una red intra-aula sobre Linux, concretamente en la distribución de GNU/Linux Ubuntu 9.04.

Acá vamos a ocuparnos de cómo realizar la instalación de una red intra-aula sobre Linux, concretamente en la distribución de GNU/Linux Ubuntu 9.04. Instalación de una red intra-aula sobre Linux (Ubuntu 9.04) Introducción La idea y la fundamentación de la creación de redes intra-aula, se puede encontrar en el siguiente enlace: http://www.fedaro.info/2009/06/29/redes-intra-aula/

Más detalles

Bloque 2 EL AULA MOODLE DESDE EL PUNTO DE VISTA DEL ALUMNO(I) Utilidades básicas y acceso a recursos de aprendizaje

Bloque 2 EL AULA MOODLE DESDE EL PUNTO DE VISTA DEL ALUMNO(I) Utilidades básicas y acceso a recursos de aprendizaje EL AULA MOODLE DESDE EL PUNTO DE VISTA DEL ALUMNO(I) Utilidades básicas y acceso a recursos de aprendizaje Cuando un alumno entra en su aula moodle, dispone de unas utilidades básicas, definidas por la

Más detalles

Herramienta de Soporte Técnico Online

Herramienta de Soporte Técnico Online Herramienta de Soporte Técnico Online Guía del Usuario Versión 1.0 1 soporte@.com Índice 1. Presentación...3 2. Como acceder al sistema:...4 3. Como reportar una incidencia:...5 4. Consultando mis incidencias:

Más detalles

INSTALACIÓN DE SIESTTA 2.0 EN UN HOSTING (Ejemplo para Guebs.com)

INSTALACIÓN DE SIESTTA 2.0 EN UN HOSTING (Ejemplo para Guebs.com) INSTALACIÓN DE SIESTTA 2.0 EN UN HOSTING (Ejemplo para Guebs.com) A modo de post, vamos a complementar la documentación con una guía visual a través de la cual conseguiremos instalar SIESTTA 2.0 en un

Más detalles

Formas de llevar a cabo un backup de una base de datos MySQL

Formas de llevar a cabo un backup de una base de datos MySQL Formas de llevar a cabo un backup de una base de datos MySQL Calle San Rafael, 14 28108 Alcobendas (Madrid) 902 90 10 20 www..com Introducción Muchas aplicaciones web hacen uso de bases de datos donde

Más detalles

INSTALACIÓN DE MEDPRO

INSTALACIÓN DE MEDPRO 1 Estimado Cliente: Uno de los objetivos que nos hemos marcado con nuestra nueva plataforma de gestión, es que un cliente pueda instalar MedPro y realizar su puesta en marcha de forma autónoma. Siga paso

Más detalles

MANUAL DE USUARIO CMS- PLONE www.trabajo.gob.hn

MANUAL DE USUARIO CMS- PLONE www.trabajo.gob.hn MANUAL DE USUARIO CMS- PLONE www.trabajo.gob.hn Tegucigalpa M. D. C., Junio de 2009 Que es un CMS Un sistema de administración de contenido (CMS por sus siglas en ingles) es un programa para organizar

Más detalles

GENERAR DOCUMENTOS HTML USANDO LENGUAJE PHP. EJERCICIO RESUELTO EJEMPLO SENCILLO. (CU00733B)

GENERAR DOCUMENTOS HTML USANDO LENGUAJE PHP. EJERCICIO RESUELTO EJEMPLO SENCILLO. (CU00733B) APRENDERAPROGRAMAR.COM GENERAR DOCUMENTOS HTML USANDO LENGUAJE PHP. EJERCICIO RESUELTO EJEMPLO SENCILLO. (CU00733B) Sección: Cursos Categoría: Tutorial básico del programador web: HTML desde cero Fecha

Más detalles

Google Analytics. Definición y creación de objetivos

Google Analytics. Definición y creación de objetivos Google Analytics Definición y creación de objetivos Hasta ahora, uno de los puntos flacos que tenía Google Analytics era la limitación a sólo cuatro objetivos por perfil. En aquellos sitios web en los

Más detalles

Respaldo de la información del cliente

Respaldo de la información del cliente Respaldo de la información del cliente Para hacer el respaldo de la información del cliente es necesario qu tengamos un disco duro externo o que nuestro disco duro, de nuestra computadora de pruebas tengamos

Más detalles

MANUAL PARA GESTIÓN DE INCIDENCIAS INFORMÁTICAS

MANUAL PARA GESTIÓN DE INCIDENCIAS INFORMÁTICAS MANUAL PARA GESTIÓN DE INCIDENCIAS INFORMÁTICAS En este manual aprenderemos a introducir un Ticket de Soporte (Incidencia Informática) y ver todo el proceso hasta que se resuelve. Para poder escribir Tickets

Más detalles

UTILIZACIÓN DE UNA CUENTA DE CORREO ELECTRÓNICO (NUEVO) Acceso al correo electrónico

UTILIZACIÓN DE UNA CUENTA DE CORREO ELECTRÓNICO (NUEVO) Acceso al correo electrónico Acceso al correo electrónico Pasamos ahora a lo que sería usar la cuenta de correo que nos hicimos en la clase anterior. Lo primero que hacemos es entrar en la página web de Yahoo y localizar el icono

Más detalles

Tutorial del administrador de la web del departamento

Tutorial del administrador de la web del departamento Tutorial del administrador de la web del departamento Antes de leer este tutorial, debes leer el tutorial del profesor. Observa que en la parte inferior de la página de INICIO de tu departamento aparece

Más detalles

Configuración de un APs D-Link DWL-2100AP.-

Configuración de un APs D-Link DWL-2100AP.- Configuración de un APs D-Link DWL-2100AP.- El Acess Point (AP) D-Link 2100AP, es el AP que actualmente colocan Los Servicios Provinciales en los centros. Para poder acceder a su configuración tenemos

Más detalles

CONFIGURACION AVANZADA DE OUTLOOK EXPRESS 6

CONFIGURACION AVANZADA DE OUTLOOK EXPRESS 6 CONFIGURACION AVANZADA DE OUTLOOK EXPRESS 6 Carpetas sin conexión Gestión de mensajes enviados Gestión de mensajes eliminados Firma digital Envío de mensajes firmados digitalmente Recepción de mensajes

Más detalles

Flash Fabricación. Flash Fabricación 1

Flash Fabricación. Flash Fabricación 1 Flash Fabricación Descripción general FLASH Fabricación permite llevar el control de las operaciones de fabricación y montaje de una empresa. Para el seguimiento de las operaciones de fabricación en FLASH

Más detalles

Software de Comunicaciones. Práctica 7 - Secure Shell. SSH

Software de Comunicaciones. Práctica 7 - Secure Shell. SSH Software de Comunicaciones Práctica 7 - Secure Shell. SSH Juan Díez-Yanguas Barber Software de Comunicaciones Ingeniería Informática - 5º Curso Jdyb - Mayo 2013 Juan Díez- Yanguas Barber Práctica 7 Índice

Más detalles

Aviso Legal El presente libro electrónico se distribuye bajo Attribution-NonCommercial- NoDerivs 3.0 Unported

Aviso Legal El presente libro electrónico se distribuye bajo Attribution-NonCommercial- NoDerivs 3.0 Unported PROGRAMACIÓN ORIENTADA A OBJETOS APLICADA A BASES DE DATOS Por LAURA NOUSSAN LETTRY BrowserSQL MySQL Workbench en Linux (Abril 2015, Mendoza) Aviso Legal El presente libro electrónico se distribuye bajo

Más detalles

En términos generales, un foro es un espacio de debate donde pueden expresarse ideas o comentarios sobre uno o varios temas.

En términos generales, un foro es un espacio de debate donde pueden expresarse ideas o comentarios sobre uno o varios temas. 1 de 18 Inicio Qué es un foro En términos generales, un foro es un espacio de debate donde pueden expresarse ideas o comentarios sobre uno o varios temas. En el campus virtual, el foro es una herramienta

Más detalles

Para trabajar este tema vamos a situarlo un poco más en el lenguaje común:

Para trabajar este tema vamos a situarlo un poco más en el lenguaje común: Curso de Internet a distancia para sacerdotes, religiosos y religiosas Material de apoyo para las teleclases - Viernes,18 de noviembre2011 Vea los vídeos resúmenes en: www.medioscan.es y www.teleiglesia.es

Más detalles

Sitios remotos. Configurar un Sitio Remoto

Sitios remotos. Configurar un Sitio Remoto Sitios remotos Definir un sitio remoto significa establecer una configuración de modo que Dreamweaver sea capaz de comunicarse directamente con un servidor en Internet (por eso se llama remoto) y así poder

Más detalles

10. El entorno de publicación web (Publiweb)

10. El entorno de publicación web (Publiweb) 10. El entorno de publicación web (Publiweb) 10.1. Introducción El entorno de publicación Web es una herramienta que permite la gestión de nuestras páginas Web de una forma visual. Algunos ejemplos de

Más detalles

Caso de estudio: cómo una tienda online consiguió un 67% más de conversiones

Caso de estudio: cómo una tienda online consiguió un 67% más de conversiones Caso de estudio: cómo una tienda online consiguió un 67% más de conversiones Hoy vamos a ver otro caso de estudio real del que podemos aprender muchas cosas. Se trata de una empresa de productos para bebés,

Más detalles

MANUAL DE CREACIÓN DE CARPETAS PARA ACCESO POR FTP DE CLIENTES EN UN NAS

MANUAL DE CREACIÓN DE CARPETAS PARA ACCESO POR FTP DE CLIENTES EN UN NAS MANUAL DE CREACIÓN DE CARPETAS PARA ACCESO POR FTP DE CLIENTES EN UN NAS Vamos a explicar en varios pasos cómo crear una carpeta para que un cliente concreto con un usuario y una contraseña acceda sólo

Más detalles

MANUAL COPIAS DE SEGURIDAD

MANUAL COPIAS DE SEGURIDAD MANUAL COPIAS DE SEGURIDAD Índice de contenido Ventajas del nuevo sistema de copia de seguridad...2 Actualización de la configuración...2 Pantalla de configuración...3 Configuración de las rutas...4 Carpeta

Más detalles

XTRA SMS CERTIFICADOS

XTRA SMS CERTIFICADOS MANUAL USUARIO XTRA SMS CERTIFICADOS PLATAFORMA WEB SMS PAGINA DE INICIO La URL para acceder a la web de envío de SMS Certificado es: http://websms.xtratelecom.es Una vez aquí nos aparece la siguiente

Más detalles

Introducción a PHP. * No es necesario declarar previamente las variables.

Introducción a PHP. * No es necesario declarar previamente las variables. Introducción a PHP La programación de sitios web cada día está más orientada al desarrollo de páginas dinámicas y aplicaciones, o sea sitios donde el usuario pueda interactuar con la web. Dentro de los

Más detalles

CONSULTAS CON SQL. 3. Hacer clic sobre el botón Nuevo de la ventana de la base de datos. Aparecerá el siguiente cuadro de diálogo.

CONSULTAS CON SQL. 3. Hacer clic sobre el botón Nuevo de la ventana de la base de datos. Aparecerá el siguiente cuadro de diálogo. CONSULTAS CON SQL 1. Qué es SQL? Debido a la diversidad de lenguajes y de bases de datos existentes, la manera de comunicar entre unos y otras sería realmente complicada a gestionar de no ser por la existencia

Más detalles

Iptables, herramienta para controlar el tráfico de un servidor

Iptables, herramienta para controlar el tráfico de un servidor Iptables, herramienta para controlar el tráfico de un servidor La seguridad es punto muy importante a tener en cuenta en cualquier organización de ahí que sea fundamental hacer uso de aquellos mecanismos

Más detalles

fjweb@hotmail.es http://www.fjweb.es

fjweb@hotmail.es http://www.fjweb.es GASTOS CASA Archivo Excel (Control de Gastos Mensual y Anual) El archivo GASTOS 2015 - V2003.xls ó GASTOS 2015 - V2007.xlsm, está pensado para llevar los gastos, que tenemos cada mes, durante todo el Año.

Más detalles

TRUE CRYPT ::: Encriptación de datos :::

TRUE CRYPT ::: Encriptación de datos ::: TRUE CRYPT ::: Encriptación de datos ::: TrueCrypt está desarrollado bajo software libre y además es multiplataforma. Es muy importante estas dos premisas ya que no importará si trabajamos bajo Linux o

Más detalles

COMANDOS DE SQL, OPERADORES, CLAUSULAS Y CONSULTAS SIMPLES DE SELECCIÓN

COMANDOS DE SQL, OPERADORES, CLAUSULAS Y CONSULTAS SIMPLES DE SELECCIÓN COMANDOS DE SQL, OPERADORES, CLAUSULAS Y CONSULTAS SIMPLES DE SELECCIÓN Tipos de datos SQL admite una variada gama de tipos de datos para el tratamiento de la información contenida en las tablas, los tipos

Más detalles

Ataques XSS en Aplicaciones Web

Ataques XSS en Aplicaciones Web Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted

Más detalles

Aplicaciones seguras con ClaseSeguridad

Aplicaciones seguras con ClaseSeguridad Aplicaciones seguras con ClaseSeguridad Índice de contenido Por que ClaseSeguridad?...1 Referenciar ClaseSeguridad...1 Declaración y creación...1 Evitar inyección de SQL...1 Eliminar etiquetas...3 Evitar

Más detalles

INFORMÁTICA PRÁCTICA PARA PROFESORES

INFORMÁTICA PRÁCTICA PARA PROFESORES INFORMÁTICA PRÁCTICA PARA PROFESORES II. NAVEGANDO POR INTERNET CON EXPLORER: ASPECTOS BÁSICOS Javier Valera Bernal Siguiendo la sesión sobre el entorno Windows XP sería necesario, en primer lugar, crear

Más detalles

Esta extensión está obsoleta a partir de PHP 5.5.0, y será eliminada en el futuro

Esta extensión está obsoleta a partir de PHP 5.5.0, y será eliminada en el futuro USAR MYSQL EN PHP PHP tiene una librería de funciones nativas para conectarse a las base de datos MySQL. Por un lado reconoce la librería mysql y por otro mysqli. Se recomienda el uso de mysqli dado que

Más detalles

COPIAS DE SEGURIDAD CON COBIAN BACKUP INSTALACIÓN Y CONFIGURACIÓN

COPIAS DE SEGURIDAD CON COBIAN BACKUP INSTALACIÓN Y CONFIGURACIÓN COPIAS DE SEGURIDAD CON COBIAN BACKUP INSTALACIÓN Y CONFIGURACIÓN Qué es Cobian Backup? Cobian Backup es un programa multitarea que podemos usar para crear y restaurar copias de seguridad de nuestros archivos

Más detalles

TRABAJANDO CON NUESTRO BLOG DE AULA

TRABAJANDO CON NUESTRO BLOG DE AULA TRABAJANDO CON NUESTRO BLOG DE AULA Tutorial sobre cómo crear un Blog de Aula mediante la plataforma Blogger Curso 2012/13 Daniel Mantilla Fernández Tutorial 1. Crear una cuenta de correo en Gmail Para

Más detalles

MF0952_2: Publicación de páginas web

MF0952_2: Publicación de páginas web MF0952_2: Publicación de páginas web TEMA 1. Características de seguridad en la publicación de páginas web TEMA 2. Herramientas de transferencia de archivos TEMA 3. Publicación de páginas web TEMA 4. Pruebas

Más detalles

Manual de Configuración de Spam Assassin para Plesk

Manual de Configuración de Spam Assassin para Plesk Manual de Configuración de Spam Assassin para Plesk En este tutorial veremos como se puede configurar las reglas del filtro anti-spam en el panel de control de nuestra web de una manera sencilla. El filtro

Más detalles

ESCUELA SUPERIOR DE INFORMATICA Prácticas de Estadística UNA SESIÓN EN SPSS

ESCUELA SUPERIOR DE INFORMATICA Prácticas de Estadística UNA SESIÓN EN SPSS UNA SESIÓN EN SPSS INTRODUCCIÓN. SPSS (Statistical Product and Service Solutions) es un paquete estadístico orientado, en principio, al ámbito de aplicación de las Ciencias sociales, es uno de las herramientas

Más detalles

UAM MANUAL DE EMPRESA. Universidad Autónoma de Madrid

UAM MANUAL DE EMPRESA. Universidad Autónoma de Madrid MANUAL DE EMPRESA Modo de entrar en ÍCARO Para comenzar a subir una oferta de empleo, el acceso es a través del siguiente enlace: http://icaro.uam.es A continuación, aparecerá la página de inicio de la

Más detalles

COMO CREAR UN ÁLBUM DE FOTOS.

COMO CREAR UN ÁLBUM DE FOTOS. COMO CREAR UN ÁLBUM DE FOTOS. Podemos crear un book de fotos llamativo con este programa, así mostraremos a nuestros amigos y conocidos nuestras recopilaciones de fotos. Con este método podemos enseñar

Más detalles

Descripción del tutorial. Contenidos. www.facebook.com/codigonexogr. @codigonexo. www.plus.google.com/+codigonexogr/

Descripción del tutorial. Contenidos. www.facebook.com/codigonexogr. @codigonexo. www.plus.google.com/+codigonexogr/ www.facebook.com/codigonexogr @codigonexo www.plus.google.com/+codigonexogr/ Contenidos 1. Introducción al patrón MVC 1.1.Conceptos básicos Qué es un patrón 1.2.Estructura del patrón MVC 1.3.Cómo funciona

Más detalles

UNIVERSIDAD DE MEDELLÍN NUEVO PORTAL WEB MANUAL DE USUARIO GESTOR DE CONTENIDOS

UNIVERSIDAD DE MEDELLÍN NUEVO PORTAL WEB MANUAL DE USUARIO GESTOR DE CONTENIDOS UNIVERSIDAD DE MEDELLÍN MANUAL DE USUARIO GESTOR DE CONTENIDOS NUEVO PORTAL WEB TABLA DE CONTENIDO Tabla de Contenido 2 Consideraciones Iniciales 3 Ingreso al Sistema 4 Opciones de Gestor de contenidos

Más detalles

Manual de ayuda para crear y gestionar Tareas, como actividad evaluable

Manual de ayuda para crear y gestionar Tareas, como actividad evaluable Manual de ayuda para crear y gestionar Tareas, como actividad evaluable Contenido TAREAS.... 3 CONFIGURACIÓN.... 3 GESTIÓN Y CALIFICACIÓN DE TAREAS.... 8 TAREAS. Mediante esta herramienta podemos establecer

Más detalles

Manual para la instalación del cliente de correo electrónico Mozilla Thunderbird.

Manual para la instalación del cliente de correo electrónico Mozilla Thunderbird. Manual para la instalación del cliente de correo electrónico Mozilla Thunderbird. A partir de enero del 2014 iris dejara de dar soporte al correo electrónico. El cliente de correo que lleva iris se ha

Más detalles

INSTALAR UBUNTU DESDE WINDOWS

INSTALAR UBUNTU DESDE WINDOWS INSTALAR UBUNTU DESDE WINDOWS Índice de contenido 1.Descargar Ubuntu 10.04 Lucid Lynx...3 2.Grabar la imagen descargada en un CD...3 2.1.Grabación de una imagen iso con Nero...3 2.2.Grabación de una imagen

Más detalles

Manual para configurar nuestra privacidad en Facebook

Manual para configurar nuestra privacidad en Facebook Manual para configurar nuestra privacidad en Facebook Desde los inicios de Facebook, sus condiciones de privacidad han ido cambiando y han sido objeto de críticas y debates. A día de hoy sigue cambiando,

Más detalles

Introducción. Instalación de los drivers. Conexión de los dispositivos. Configuración de la red Wi-Fi. Administración del punto de acceso

Introducción. Instalación de los drivers. Conexión de los dispositivos. Configuración de la red Wi-Fi. Administración del punto de acceso 1/48 Introducción Instalación de los drivers Conexión de los dispositivos Configuración de la red Wi-Fi WindowsXP Windows2000 Windows98, WindowsMe Administración del punto de acceso WindowsXP Windows98,

Más detalles

MANUAL DE AYUDA HERRAMIENTA DE APROVISIONAMIENTO

MANUAL DE AYUDA HERRAMIENTA DE APROVISIONAMIENTO MANUAL DE AYUDA HERRAMIENTA DE APROVISIONAMIENTO Fecha última revisión: Junio 2011 INDICE DE CONTENIDOS HERRAMIENTA DE APROVISIONAMIENTO... 3 1. QUÉ ES LA HERRAMIENTA DE APROVISIONAMIENTO... 3 HERRAMIENTA

Más detalles

Blind SQL Injectión. Práctico

Blind SQL Injectión. Práctico Blind SQL Injectión Práctico 1 Hola: Hace unos días prometí que publicaría un documento en el foro que nos ayudaría a entender mejor un Blind SQL Injection. La idea principal no es explicar un Blind SQL

Más detalles

CASO PRÁCTICO. ANÁLISIS DE DATOS EN TABLAS DINÁMICAS

CASO PRÁCTICO. ANÁLISIS DE DATOS EN TABLAS DINÁMICAS CASO PRÁCTICO. ANÁLISIS DE DATOS EN TABLAS DINÁMICAS Nuestra empresa es una pequeña editorial que maneja habitualmente su lista de ventas en una hoja de cálculo y desea poder realizar un análisis de sus

Más detalles

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security

Más detalles

Recursos Para Pymes. Prohibida su reproducción por cualquier medio http://www.recursosparapymes.com Cómo empezar con CMM Marketing en 2 Minutos

Recursos Para Pymes. Prohibida su reproducción por cualquier medio http://www.recursosparapymes.com Cómo empezar con CMM Marketing en 2 Minutos Cómo empezar con CMM Marketing en 2 Minutos Aquí aprenderá cómo empezar a manejar y aprovechar CMM Marketing en apenas un par de minutos, mostrándole las pautas básicas de su funcionamiento y uso. 1 1.-

Más detalles

Como verás pone Microsoft Office y si te colocas sobre esta línea debería salir:

Como verás pone Microsoft Office y si te colocas sobre esta línea debería salir: :: Introducción: Microsoft dispone de un conjunto de herramientas llamado Office que se compone de todo lo necesario para resolver cuantos problemas se presenten en los trabajos propios de cualquier usuario

Más detalles

Departamento CERES Área de Tarjetas Inteligentes Manual de Usuario

Departamento CERES Área de Tarjetas Inteligentes Manual de Usuario 14 CORREO SEGURO. Hay aplicaciones de correo que permiten enviar y recibir correos cifrados y firmados digitalmente utilizando criptografía. Estas operaciones garantizan el intercambio seguro de información,

Más detalles

TUTORIAL PRÁCTICO COMPLETO DE BASE DE DATOS EN PHPMYADMIN Y GESTIÓN DESDE DREAMWEAVER

TUTORIAL PRÁCTICO COMPLETO DE BASE DE DATOS EN PHPMYADMIN Y GESTIÓN DESDE DREAMWEAVER TUTORIAL PRÁCTICO COMPLETO DE BASE DE DATOS EN PHPMYADMIN Y GESTIÓN DESDE DREAMWEAVER 1. Crear una nueva base de datos en phpmyadmin Abrimos el wampserver y luego el phpmyadmin Para seguir este tutorial,

Más detalles

Datos del autor. Nombres y apellido: Germán Andrés Paz. Lugar de nacimiento: Rosario (Código Postal 2000), Santa Fe, Argentina

Datos del autor. Nombres y apellido: Germán Andrés Paz. Lugar de nacimiento: Rosario (Código Postal 2000), Santa Fe, Argentina Datos del autor Nombres y apellido: Germán Andrés Paz Lugar de nacimiento: Rosario (Código Postal 2000), Santa Fe, Argentina Correo electrónico: germanpaz_ar@hotmail.com =========0========= Introducción

Más detalles

#Hacking dispositivos ios

#Hacking dispositivos ios #Hacking dispositivos ios [iphone/ipod Touch/ ipad] Autor: Japson Índice Disclaimer...3 Introducción...3 Cambiando el password por defecto.3 Crackeando el password de OpenSSH. 4 Escenario..4 Detección

Más detalles

Instalación de dos Sistemas Operativos en un mismo Computador

Instalación de dos Sistemas Operativos en un mismo Computador Instalación de dos Sistemas Operativos en un mismo Computador Si quieres tener los dos sistemas operativos en un mismo equipo y elegir, entre uno y otro, en el momento del arranque, debes realizar los

Más detalles

Guía sobre Reputación Web

Guía sobre Reputación Web página 1 de 4 Qué es? La reputación web es la imagen, el prestigio y la referencia sobre nosotros que se genera a raíz de información que subimos a Internet: las publicaciones, fotos y videos. Internet

Más detalles

Laboratorio 6. Creación de sitios Web - Dreamweaver

Laboratorio 6. Creación de sitios Web - Dreamweaver UNIVERSIDAD CARLOS III DE MADRID. ESCUELA DE TURISMO. Informática aplicada al sector turístico Laboratorio 6. Creación de sitios Web - Dreamweaver El objetivo de este laboratorio es aprender a crear sitios

Más detalles