Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Inyección de SQL

Exposición de SQL Injection
by

Cristian Castiblanco

on 19 March 2011

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Inyección de SQL

Injección SQL Cristian Camilo Castiblanco Hernández Fue creado en los laboratorios de IBM a finales del 1973 ¿Qué es SQL? Structured Query Language Sirve para administrar datos en bases de datos relacionales:
Consultar
Insertar
Modificar ¿Bases de datos Relacional? Conjunto de datos organizados en tablas Cada tabla es una abstracción de un conjunto de datos que pertenecen a una entidad Cada tabla tiene relaciones con otras tablas ¿Cuando usamos SQL? Al iniciar sesión en algún servicio (Facebook, Correo electrónico, Moodle, etc.) SQL Al consultar un catálogos de compras (Mercadolibre, e-bay, Amazon, etc.) Al realizar búsquedas (Youtube, Facebook, Twitter, etc.) Cualquier acción que implique consultar o modificar información (enviar la tarea de moodle, cancelar una materia, presionar el botón de “Me gusta” en Facebook, publicar un tweet, etc.) Estudiantes Facultades Construye una sentencia SQL para verificar los datos Envía la consulta al gestor de bases de datos Si el gestor de base de datos retorna un resultado, se asume que los datos son correctos ¿Qué son las sentencias SQL? Son instrucciones que permiten consultar y realizar cambios en una base de datos. Tabla Estudiantes SELECT * FROM usuarios WHERE
password = 'miperropug' AND usuario = 'cristian' Inyección SQL (por fin!) Es una vulnerabilidad que puede tener un sistema que utiliza SQL. Se explota modificando (o inyectando) consultas SQL arbitrarias, para las cuales no fue diseñado el sistema. Daños  causados Saltar seguridad de autenticación Robo de información Creación de información maliciosa Pérdidad de datos Denegación de servicio ¿Cómo protegerse? No confiar en la entrada del usuario
Filtrar la entrada del usuario de caracteres SQL para limitar los caracteres involucrados en un SQL Injection.
No utilizar cuentas con privilegios administrativos.
No proporcionar mayor información de la necesaria. Referencias Wikipedia (historia SQL)
elhacker.net (papers)
dotnetpuebla.com (prevención)
Full transcript