Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

DAI5501 - S16

Diseño de Aplicaciones para Internet - Semana 16
by

Victoria Orellana

on 18 June 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of DAI5501 - S16

Diseño de aplicaciones para internet
profesora: victoria orellana
v.orellanag@profesor.duoc.cl
inyeccion sql
Las principales vulnerabilidades, que hay que evaluar en un sitio web son:

SQL Injection
XSS Cross site scripting
XSRF Cross Site Request Forgery
Abuso de funcionalidad
Fuerza bruta
XSRF Cross Site Request Forgery
abuso de funcionalidad
Es una tecnica que usa las funcionalidades de la aplicacion web para atacarla, atacar a usuario o atacar a otros.
Ejemplo: Funcionalidad Login
La aplicacion informa si el nombre de usuario o la clave esta mal
Mediante ataques de fuerza bruta podriamos obtener una lista de usuarios validos. Si el usuario se loguea con su correo, podriamos obtener una lista de
correos validos.
vulnerabilidades
verificación y optimización de un sitio web
vulnerabilidades web
Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos.
Se dice que existe o se produjo una inyección SQL cuando, de alguna manera, se inserta o "inyecta" código SQL invasor dentro del código SQL programado, a fin de alterar el funcionamiento normal del programa y lograr así que se ejecute la porción de código "invasor" incrustado, en la base de datos.
como prevenir un ataque
de inyeccion sql
Si se usa MySQL, la función a usar es mysql_real_escape_string:

$result = mysql_query("SELECT * FROM usuarios
WHERE nombre = \"" . mysql_real_escape_string($nombre_usuario) . "\"");
No obstante es más recomendado usar alternativas que ofrecen consultas preparadas como la clase PDO.

$statement = $pdo->prepare("SELECT * FROM usuarios WHERE nombre = :nombre");
$statement->bindParam(':nombre', $nombre_usuario);
$statement->execute();
$result = $statement->fetch();
XSS Cross site scripting
Vulnerabilidad que permite inyectar scripts o contenido en páginas web.
Se da cuando se utiliza la entrada del usuario para componer la respuesta html que le devolveráá el servidor.

Existe el XSS persistente(cuando el código malicioso se guarda en la BD) y el XSS no persistente.
Un ataque CSRF fuerza al navegador web validado de una víctima a enviar una petición a una aplicación web vulnerable, la cual entonces realiza la acción elegida a través de la víctima. Al contrario que en los ataques XSS, los cuales explotan la confianza que un usuario tiene en un sitio en particular, el cross site request forgery explota la confianza que un sitio tiene en un usuario en particular.
fuerza bruta
Ataque realizado generalmente sobre las claves
de un sistema. Consiste en probar todas las combinaciones posibles de clave.

Usualmente se usa combinado con ataques de diccionario.
Full transcript