Upload File

Download - Aprendiz unad

Transcript
Page 1: Aprendiz unad

SEGURIDAD EN BASE DE DATOS

PRESENTADO POR:DAVID ALEJANDRO ALBAN CRUZ

C.C.1.143.827.466

FORO MOMENTO 2 GRUPAL

UNIVERSIDAD NACIONAL ABIERTA A DISTANCIA – UNADCIENCIAS BASICAS TECNOLOGÍA EN INGENIERIA

EL BORDO, CAUCA 2014

Page 2: Aprendiz unad

INSTALACION DE VIRTUAL BOXEJETURAR SIGUIENTE

NEXT

SI INSTALAR

LA INSTALACIÓN HASIDO UN ÉXITO

INSTALANDO VIRTUAL BOX

Page 3: Aprendiz unad

DENTRO DE LA MAQUINA VIRTUAL DAMOS CLIC EN NUEVO E INGRESAMOS LOS DATOS DE BADSTORE

ENSEGUIDAD TE PIDE CONFIRMACION DE LA MEMORIA RAM EN ESTE CASO DE 128 MB PARA EL SERVIDOR

Page 4: Aprendiz unad

USAMOS UN DISCO DURO VIRTUAL DE ARANQUE EN LA MAQUINA VIRTUAL PUEDE CREAR UN NUEVO DISCO DURO O SELECCIONAR UNA LISTA DESPLEGABLE SI NESESITAS UN DISCO DURO CON MAYOR CAPACIDAD PUEDES OMITIR EL PASO

EN LA SIGUIENTE OPCION DEVES ELEGIR DINAMICA

EN ESTA OPCION NOS DEJA VER EL TAMAÑO QUE SE UTILIZARA EN NUESTRO DISCO DURO DENTRO LA MAQUINA VIRTUAL 50 MB CABE DESTACAR QUE ISO PESA 12MB

ENSEGUIDA NEXT, LUEGO T ENEMOS QUE DARLE LA UBICACIÓN DE BADSTORE.ISO Y FINALIZIR PARA DAR INICIO CERRARPARA QUE LA RED SEA MAS SEGURA NO DIRIGUIMOS A CONFIGURACIÓN/RED Y SELECONAMOS ASI:

ACEPTAR

Page 5: Aprendiz unad

CUANDO LE DAMOS CLICK EN INICIAR ENPIEZA EL PROCESO DE INSTALACION DE BADSTORE SE MANEJA CONFIGURACION DHCP

UNA VEZ TERMINE LA INSTALACION NOS MUESTRA LACONSOLA DE NUESTRO SERVIDOR LUEGO LE DAMOS ENTER Y DIGITAMOS IPCONFIG

Page 6: Aprendiz unad

EL PROGRAMA SQLMAP SIRVE PARA REALIZAR ATAQUE POR INYECCIÓN DE CÓDIGO SQL SE INSTALA DE LA SIGUIENTE MANERA

ABRIMO VIRTUAL BOX

DEBEMOS TENER UN SISTEMA OPERATIVO INSTALADO EN LA MAQUNA UBUNTU

ABRIMOS EL TERMINAL DE UBUNTU PARA INCIAR LA INSTALACION

DIGITAMOS: SUDO -SH

Page 7: Aprendiz unad

CD /OPTAPT-GET INSTALL GIT

GIT CLONE GIF:// GITHUB.COM/SQLMAPPROJECT/SQL/SQLMAP.GIT

DE ESTA MANERA HEMOS INGRESADO AL PROGRAMA SQLMAP

Page 8: Aprendiz unad

TO RUN IT ---- SUDO -SH ------- CD/OTP ----------- PYTHON SQLMAP. PY SQLMAP ES UNA HERRAMIENTA DE PRUEBAS DE

PENETRACIÓN DE CÓDIGO ABIERTO QUE AUTOMATIZA EL PROCESO DE DETECTAR Y EXPLOTAR LOS ERRORES DE INYECCIÓN SQL Y HACERSE CARGO DE LOS SERVIDORES DE BASES DE DATOS. VIENE CON UN POTENTE MOTOR DE DETECCIÓN, MUCHAS CARACTERÍSTICAS DE NICHO PARA EL PROBADOR DE PENETRACIÓN MÁXIMA Y UNA AMPLIA GAMA DE INTERRUPTORES DE DURACIÓN DE LAS HUELLAS DACTILARES DE BASE DE DATOS, MÁS DE CAPTACIÓN DE DATOS DE LA BASE DE

DATOS, PARA ACCEDER AL SISTEMA DE ARCHIVOS SUBYACENTE Y EJECUTAR COMANDOS EN EL SISTEMA OPERATIVO A TRAVÉS DE RESULTADOS DE BANDA CONEXIONES.SQL INJECTION ES UNA TÉCNICA DE ATAQUE A PAGINAS O APLICACIONES, QUE INTENTA INYECTAR CÓDIGO SQLDENTRO DE LA APLICACIÓN DESTINO, PARA ROMPER O ACCEDER A INFORMACIÓN.POR EJEMPLO CUANDO UNA WEB TIENE UN ÁREA DE INGRESO DE USUARIO O LOGIN USUALMENTE EL DESARROLLADOR PARA VALIDARLO, HACE LO SIGUIENTE: SELECT * FROM Users WHERE Username='usuario' AND Password='contraseña‘SI LAS VARIABLES USUARIO Y CONTRASEÑA SE TOMAN DIRECTAMENTE DE EL FORMULARIO SIN NINGÚN TIPO DE ESCAPE DE CARACTERES Y SE INGRESAN EN LA CONSULTA, PODRÍAMOS HACER QUE EL USUARIO Y CONTRASEÑA TENGAN COMO VALOR ‘1’ OR ‘1’ = ‘1’.SELECT * FROM Users WHERE Username='1' OR '1' = '1' AND Password='1' OR '1′'= '1'

Page 9: Aprendiz unad

ATAQUE CON INYECCIÓN DE CÓDIGO SQL A SITIO WEB

CONSISTE EN LA INSERCIÓN DE CÓDIGO SQL POR MEDIO DE LOS DATOS DE ENTRADA DESDE LA PARTE DEL CLIENTE HACIA LA APLICACIÓN. ES DECIR, POR MEDIO DE LA INSERCIÓN DE ESTE CÓDIGO EL ATACANTE PUEDE MODIFICAR LAS CONSULTAR ORIGINALES QUE DEBE REALIZAR LA APLICACIÓN Y EJECUTAR OTRAS TOTALMENTE DISTINTAS CON LAINTENCIÓN DE ACCEDER A LA HERRAMIENTA, OBTENER INFORMACIÓN DE ALGUNA DE

LAS TABLAS O BORRAR LOS DATOS ALMACENADOS, ENTRE OTRAS MUCHAS COSAS

A REALIIZAR EL LOGIN Y ENTRA AL SISTEMA DE INFORMACION SE ENVIA LA INFORMACION A UNA SENTENCIA SQL QUE SERÁ EJECUTADA CONTRA LA BASE DE DATOS DE LA APLICACIÓN EJM:

• $sql = SELECT * FROM usuarios WHERE usuario = ‘$usuario’ and password = ‘$pass’;

DIGAMOS QUE USUARIO: DavidAlbanc ---- CONTRASEÑA: Dav123• $sql = SELECT * FROM usuarios WHERE usuario =

‘DavidAlbanc’ and password = ’Dan123′;COMO RESPUESTA DARA• $sql= SELECT * FROM usuarios WHERE usuario =

‘DavidAlbanc’ and password = ’Dav123′ OR ’1′ = ’1′;

Page 10: Aprendiz unad

INFORMACION GENERAL DE LA BASE DE DATOS

DATABASE "C:\ARCHIVOS DE PROGRAMA\FIREBIRD\FIREBIRD_1_5\HTTP://WWW.INPEC.GOV.CO:7777/SSO/JSP/LOGIN.JSP?SITE2PSTORETOKEN", USER: SYSDBA SQL> NOMBRE DB TABLAS DE LA BD DESPCION DE LA BD• MYSQL>

SELECT DATABASE();

+------------+ | DATABASE() | +------------+ | INPEC |

• MYSQL> SHOW TABLES; +---------------------+ | TABLE DEL INPEC | +---------------------+ | EVENT | | PET |

• mysql> DESCRIBE pet;+---------+-------------+------+-----+---------+-------+| Field | Type | Null | Key | Default | Extra |+---------+-------------+------+-----+---------+-------+| name | varchar(20) | YES | | NULL | || owner | varchar(20) | YES | | NULL | || species | varchar(20) | YES | | NULL | || sex | char(1) | YES | | NULL | || birth | date | YES | | NULL | || death | date | YES | | NULL | |+---------+-------------+------+-----+---------+-------+

CUAL ES SU SERVIDOR DE BASE DE DATOS MYSQL$DATABASE_HOST = "LOCALHOST";

CUAL ES EL NOMBRE DE LA BASE DE DATOS QUE ESTÁ USANDO$DATABASE_NAME = “INPEC DB";

CUAL ES EL NOMBRE DE USUARIO QUE ACCEDE A ESA BASE DE DATOS?$DATABASE_USER = “INPEC";

Y LA PALABRA CLAVE QUE USARÁ$DATABASE_PASSWORD = ‘INPEC123';

Page 11: Aprendiz unad

EL SOFTWARE WIRESHARK

WIRESHARK POSEE UNA INTERFAZ GRÁFICA, LA CUAL FACILITA MUCHO SU USO, AUNQUE TAMBIÉN DISPONEMOS DE UNA VERSIÓN EN MODO TEXTO LLAMADA TSHARK.SELECCIONAREMOS LA INTERFAZ EN LA QUE QUERAMOS CAPTURAR. EN MI CASO ES WLAN0

SE CAPTURA MUCHO PAQUETES Y SE MANDA EL BROADCAST CADA 31 SEGUNDOS

FILTRANDO POR DNSESTAS PETICIONES LAS PODEMOS CONOCER APLICANDO EL FILTRO “HTTP.REQUEST“. DE ESTE MODO, PODREMOS CONOCER TODOS LOS GET Y POST QUE HAYAN SIDO REALIZADOS DURANTE LA CAPTURA. 

Page 12: Aprendiz unad

CONCLUSION

EN ESTA PRACTICA SE CONOCIÓ LA FUNCIONALIDAD E UTILIZACIÓN DE LOS PROGRAMAS QUE ANALIZAN EL TRAFICO DE LA RED: VIRTUAL BOX, BADSTORE, SQLMAP, WIRESHARK DONDE SE DOCUMENTO EN INTERNET ACERCA DEL MANEJO DE LOS SOFTWARE DONDE SE OBSERVARON LA CAPTURA DE LOS PAQUETES RESPECTIVOS Y ANALIZANDO OTRAS FUNCIONALIDADES APARTIR DE LA DOCUMENTACIÓN Y EL MANEJO DE LA HERRAMIENTA

EN ESTA PRACTICA SE EVIDENCIO CON ILUSTRACIONES LAS CUALES DEMOSTRABAN LA FUNCIONALIDADES BÁSICAS COMO CAPTURA Y ANÁLISIS DE LOS PAQUETES EN SUS RESPECTIVOS APLICATIVOS SOLICITADO EN LA GUIA


Top Related

Modulo Simulacion Unad
Modulo Simulacion Unad
Aprendiz unad
Aprendiz unad
UNAD Refrigeracion
UNAD Refrigeracion
UNAD módulo_fisicoquímica
UNAD módulo_fisicoquímica
Plantilla unad final
Plantilla unad final
trabajo unad
trabajo unad
El Aprendiz de BrEl aprendiz de Brujo
El Aprendiz de BrEl aprendiz de Brujo
Construcción Unad
Construcción Unad