SlideShare une entreprise Scribd logo

Inyeccionessqlparaaprendices complemento clase 1

Télécharger en tant que PPTX, PDF
Tensor
Tensor

Inyeccionessqlparaaprendices complemento clase 1

Design
1  sur  51
Inyecciones SQL para Aprendices Inyección SQL
Inyecciones SQL para Aprendices  En esta ocasión vamos a aprender a Hacer un Inyección SQL y posteriormente Defacear Un web!
Inyecciones SQL para Aprendices  Bueno el deface o defacing es comprender los errores de las web’s, o de los foros, el deface se puedes usar de dos maneras: 1. Deface tipo lamer, el cual consiste en dejar un mensaje en el index o modificarlo, por ejemplo: soy tu padre o algún mensaje de ese estilo. 2. Deface de un buen hacker, el termino buen hacker no quiere decir que sea buena la persona si no que si ve errores o bug’s inmediatamente los reportara al administrador de como es que supo del bug y como se puede explotar, puede que te den las gracias por avisarles o asta te den algo cambio.  En que consiste un deface: bueno el deface es buscar vulnerabilidades de una web o un foro y explotar esos bug, muchas veces una persona hace un deface por gusto y muchas veces va dirigido al index,ya que es la pagina principal donde todos podrán ver lo que a hecho esta persona.  Reflexión: Muchas veces a un webmaster le cuesta trabajo crear una web o publicarla, para que llegue una persona y la defacee y le deshaga todo el trabajo que le costo al webmaster. No te gustaría que hicieran eso cierto?. Asi que respeta para que te respeten.
Inyecciones SQL para Aprendices  Ojo! Esto es de cuidado! Esto es ilegal, en cualquier momento puedes llegar a la cárcel por un delito Informático  Bueno ya pasando las recomendaciones Dadas empecemos!  Bueno lo primero que deben saber es que es una Inyección SQL! (Busca en San Google! Ahí tienes toda la información!) Aquí un breve definición:  Inyección SQL: es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos.
Inyecciones SQL para Aprendices  El origen de la vulnerabilidad radica en el incorrecto chequeo y/o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o script que esté embebido dentro de otro.  Se conoce como Inyección SQL, indistintamente, al tipo de vulnerabilidad, al método de infiltración, al hecho de incrustar código SQL intruso y a la porción de código incrustado.
Inyecciones SQL para Aprendices  Segundo La Seguridad!:  Como siempre he dicho! Para todo clase de Hack! Es mejor usar algún Proxy SSL O algún VPN! Recomiendo mejor los vpn entre ellos están:  RaptorVPN  Hay otros mas.. pero este tutorial no es de seguridad y protección.  Vean el tuto siguiente. (Seguridad y Protección)
Inyecciones SQL para Aprendices  Tercero: Herramientas  Las herramientas que vamos a usar son:  Havij  (Descargar: http://www.itsecteam.com/products/havij-v116-advanced-sql- injection/ ). Havij es una herramienta que nos facilitará la explotación de vulnerabilidades de inyección SQL en aplicaciones web. Rápidamente podremos hacer un fingerprint de la base de datos, obtener los usuarios y los hashes de sus contraseñas, dumpear tablas y columnas, volcar datos, ejecutar sentencias SQL e incluso acceder al sistema de ficheros y ejecutar comandos en el sistema operativo.  Les recomiendo probar la versión 1.15 free que, aunque tiene algunas limitaciones, seguro que nos resultará útil y nos dará una idea de su facilidad de uso.
Inyecciones SQL para Aprendices  WebCruiser o Acunetix  Download: http://sec4app.com/download/WebCruiserPro.zip  El escaner WebCruiser es una herramienta para tareas de evaluación de seguridad de sitios Web. Tiene tres versiones, Profesional y Enterprise que son de paga y una Free Edition gratuita para amateurs con algunas funcionalidades reducidas.
Inyecciones SQL para Aprendices  ¿Qué es WebCruiser?:  Un escaner de vulnerabilidades Web;  Un escaner de Inyección SQL;  Un escaner de XSS (Cross Site Scripting);  Un escaner de Inyección XPath;  Una herramienta de Inyección SQL automática de pruebas de concepto (POC);  Una herramienta de XSS (POC);  Una herramienta de Inyección XPath (POC);  Una herramienta de reenvío de Post Data;
Inyecciones SQL para Aprendices  ¿Cuales son sus funcionalidades?:  Crawler (directorios y archivos de sitios web);  Escaner de Vulnerabilidades(SQL Injection, Cross Site Scripting, XPath Injection etc.);  POC(Pruebas de Concepto): SQL Injection, Cross Site Scripting, XPath Injection etc.;  Inyección GET/Post/Cookie;  SQL Server: Texto Plano/Campo Reflejado(Union)/Inyección Ciega;  MySQL/Oracle/DB2/Access: Campo Reflejado(Union)/Inyección Ciega;  Verificación automática de tipo de base de datos;  Búsqueda de Administración de Entrada;  Inyecciones de búsquedas con retardo de tiempo;  Auto obtención de Cookie de navegador Web para autenticación;  Salida de informes.
Inyecciones SQL para Aprendices  ¿Cuales son sus funcionalidades?:  Crawler (directorios y archivos de sitios web);  Escaner de Vulnerabilidades(SQL Injection, Cross Site Scripting, XPath Injection etc.);  POC(Pruebas de Concepto): SQL Injection, Cross Site Scripting, XPath Injection etc.;  Inyección GET/Post/Cookie;  SQL Server: Texto Plano/Campo Reflejado(Union)/Inyección Ciega;  MySQL/Oracle/DB2/Access: Campo Reflejado(Union)/Inyección Ciega;  Verificación automática de tipo de base de datos;  Búsqueda de Administración de Entrada;  Inyecciones de búsquedas con retardo de tiempo;  Auto obtención de Cookie de navegador Web para autenticación;  Salida de informes.
Inyecciones SQL para Aprendices  Actualmente está disponible y se puede descargar cualquiera de las tres versiones, las versiones de paga se pueden probar por 30 días.
Inyecciones SQL para Aprendices  Cualquiera VPN O PROXY Confiable.  Recordemos que un VPN es una red privada virtual o VPN (siglas en inglés de virtual private network), es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet.  Realmente una VPN no es más que una estructura de red corporativa implantada sobre una red de recursos de carácter público, pero que utiliza el mismo sistema de gestión y las mismas políticas de acceso que se usan en las redes privadas, al fin y al cabo no es más que la creación en una red pública de un entorno de carácter confidencial y privado que permitirá trabajar al usuario como si estuviera en su misma red local.
Inyecciones SQL para Aprendices  Y por ultimo el bloc de notas.
Inyecciones SQL para Aprendices  Cuarta: La Web Vulnerable: Bueno aquí en este tutorial yo ya tengo una web vulnerable!  Ustedes pueden hacer la prueba con esta web:  http://www.nuddos.com  En la internet existe. Muchísimas paginas vulnerables! Pero como esta ya ha sido hackeada entonces, usemos en este tuto no profundizare para buscar Web vulnerables pero aquí unas técnicas para encontrarlas: Abrir www.google.com En búsquedas pones: .php?id= *.php?id= .asp?id=
Inyecciones SQL para Aprendices  Esos son los dock mas buscados para hackear hay muchos mas! Y si le metes un poco de lógica encuentras otros métodos mas!. Nota: No todas las paginas que salgan ahí son vulnerables! Pero como identificar una web Vulnerable? Es fácil eh ahí donde empieza a trabajar el WebCruiser o Acunetix en este caso  Usaremos webCruiser  Recordemos que WebCroiser es un scanner de vulnerabilidades y explota las mismas.
Inyecciones SQL para Aprendices  Aquí un ejemplo de su funcionamiento: La pagina a escanear será: www.nuddos.com
Inyecciones SQL para Aprendices
Inyecciones SQL para Aprendices  Le damos clic en Scanner:
Inyecciones SQL para Aprendices
Inyecciones SQL para Aprendices  Luego le damos clic en: Scan Site Y damos aceptar. Ahora debemos esperar unos 2 a 10 mins el programa escaneara y verificara la pagina y sus vulnerabilidades se irán mostrando poco a poco y si no tiene pues no aparecerá nada. Hay que volver intentar con otra pagina, en este caso encontramos:
Inyecciones SQL para Aprendices
Inyecciones SQL para Aprendices  2 Inyecciones SQL Yo Escogeré la url de (URL SQL Inyección) Para escogerla solo debes dar clic derecho y dar clic en copiar url (Copy Url a Clipboard) En este caso es:  http://www.nuddos.com/blog.php?id=336  Como Pueden notar: el final de la pagina es: .php?id= Ahora que tenemos la vulnerabilidad encontrada vamos a Havij 1.50 Pro
Inyecciones SQL para Aprendices  Este es un programa que automatiza la inyección SQL, con solo copiar la url vulnerable el hará el trabajo por ti La Inyección SQL se puede hacer de tipo manual pero es mas complicado. Aquí les enseñare a usar el havij:
Inyecciones SQL para Aprendices
Inyecciones SQL para Aprendices  Ahí como pueden ver ya copie y pegue la url en el objetivo ahora le damos clic en: Antes de usar la herramienta vamos a configuraciones y lo configuramos para que la inyección tenga mas éxito! Aquí una foto de como dejarlo configurado (cada vez que vayas a usar el Havij que no se te olvide configurarlo:
Inyecciones SQL para Aprendices
Inyecciones SQL para Aprendices  En proxy colocas una IP PROXY Rápida y confiable! Ahora después de haber puesta la configuración ahora vamos y damos en el botón: Analyze  Y esperamos los resultados: Si es Scan nos sale así o mas o menos parecido:
Inyecciones SQL para Aprendices
Inyecciones SQL para Aprendices  Eso significa que la Inyección SQL va Por buen camino esperemos el resto del scan. Ya termino y debería aparecer algo como esto:
Inyecciones SQL para Aprendices  Ahí hemos encontrado y entrado a su base de datos de llama: Nuddos Ahora nos vamos a Info:
Inyecciones SQL para Aprendices
Inyecciones SQL para Aprendices  Y le damos en GET Ahí el programa buscara toda la información acerca de la base de datos. (Este paso es Opcional) Esperemos que termine el scan. Ahora tenemos mas información sobre la base de datos:
Inyecciones SQL para Aprendices  Y le damos en GET Ahí el programa buscara toda la información acerca de la base de datos. (Este paso es Opcional) Esperemos que termine el scan. Ahora tenemos mas información sobre la base de datos:
Inyecciones SQL para Aprendices
Inyecciones SQL para Aprendices  Ahora pasamos a Tables
Inyecciones SQL para Aprendices  Si hiciste el paso anterior te saldra la base de datos (Information_schema) Ahí se almacena la información de la base de datos en donde va tal cosa. (Busca en San Google Mas Información) Bueno seguimos: Ahora seleccionamos a la base de datos nuddos Y Le damos GET TABLES.
Inyecciones SQL para Aprendices  Si hiciste el paso anterior te saldra la base de datos (Information_schema) Ahí se almacena la información de la base de datos en donde va tal cosa. (Busca en San Google Mas Información) Bueno seguimos: Ahora seleccionamos a la base de datos nuddos Y Le damos GET TABLES.  Automáticamente se nos desplegara un cantidad de tablas.
Inyecciones SQL para Aprendices  Si hiciste el paso anterior te saldra la base de datos (Information_schema) Ahí se almacena la información de la base de datos en donde va tal cosa. (Busca en San Google Mas Información) Bueno seguimos: Ahora seleccionamos a la base de datos nuddos Y Le damos GET TABLES.  Automáticamente se nos desplegara un cantidad de tablas.
Inyecciones SQL para Aprendices
Inyecciones SQL para Aprendices  En este caso Es rápido la inyección pero hay casos que la Base de datos esta protegida y obtenemos las tablas una por una. Eso lleva su tiempo! Bueno seguimos… Ahora debemos ir en busca de los usuarios o admin o lo que sea relacionado con usuarios. Usa la mente y ponla a trabajar, si en caso no encuentras tablas con esos nombres pues has perdido tu tiempo. O no puedes sacar información valiosa de la pagina que hallas encontrado. En este caso yo mirare las columnas de Usuarios y gestina_administradores  Las selecciona y le das click en: Get columns. Y Esperamos a que termine su trabajo. En este caso me genero en gestina_administradores:
Inyecciones SQL para Aprendices
Inyecciones SQL para Aprendices  Y usuarios:
Inyecciones SQL para Aprendices  Pero nosotros vamos por administrador! Así que miraremos primero los datos de administradores. Así que seleccionamos:
Inyecciones SQL para Aprendices  Y ahora le damos: GET DATA Get data: En este caso solo hay un solo administrador:
Inyecciones SQL para Aprendices
Inyecciones SQL para Aprendices  Ahora podemos guardar la información con el botón Save data Y se guardara como .HTML Y su password no esta encryptado en MD5! Cosa que nos facilita el trabajo! Si estuviese encryptado teníamos que desecryptarlo! Y nos llevaría mas tiempo!.
Inyecciones SQL para Aprendices  Con estos datos Podemos defacear una web! O si no eres malvado habla con el administrador y que arregle el problema de la base de datos!. Ya para despedirnos vamos a buscar su panel de administracion para entrar como administrador: Nos vamos a: Find Admin
Inyecciones SQL para Aprendices
Inyecciones SQL para Aprendices  Y le damos START y como siempre esperemos que haga su trabajo! PD: Hay veces que no sale el panel de administración hay que localizarlo de otra manera. Aquí los resultados:
Inyecciones SQL para Aprendices

Recommandé

Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendicesTensor
 
Inyecciones SQL para Aprendices
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para AprendicesTensor
 
Vulnerability assessment and exploitation
Vulnerability assessment and exploitationVulnerability assessment and exploitation
Vulnerability assessment and exploitationTensor
 
Manual de instalacion_matlab
Manual de instalacion_matlabManual de instalacion_matlab
Manual de instalacion_matlabJOSSELINEMARIBEL
 
Presentación delitos inf fiscalia- Barranquilla
Presentación delitos inf fiscalia- BarranquillaPresentación delitos inf fiscalia- Barranquilla
Presentación delitos inf fiscalia- Barranquillaticsydelitos
 
Phishing
PhishingPhishing
Phishinginstitutoderechoinformatico
 
Jornada de derecho y delitos informáticos
Jornada de derecho y delitos informáticosJornada de derecho y delitos informáticos
Jornada de derecho y delitos informáticosinstitutoderechoinformatico
 
Sql injection
Sql injectionSql injection
Sql injectionMinoxx
 

Recommandé

Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendicesTensor
 
Inyecciones SQL para Aprendices
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para AprendicesTensor
 
Vulnerability assessment and exploitation
Vulnerability assessment and exploitationVulnerability assessment and exploitation
Vulnerability assessment and exploitationTensor
 
Manual de instalacion_matlab
Manual de instalacion_matlabManual de instalacion_matlab
Manual de instalacion_matlabJOSSELINEMARIBEL
 
Presentación delitos inf fiscalia- Barranquilla
Presentación delitos inf fiscalia- BarranquillaPresentación delitos inf fiscalia- Barranquilla
Presentación delitos inf fiscalia- Barranquillaticsydelitos
 
Phishing
PhishingPhishing
Phishinginstitutoderechoinformatico
 
Jornada de derecho y delitos informáticos
Jornada de derecho y delitos informáticosJornada de derecho y delitos informáticos
Jornada de derecho y delitos informáticosinstitutoderechoinformatico
 
Sql injection
Sql injectionSql injection
Sql injectionMinoxx
 
Sql injection utilizando método post
Sql injection utilizando método postSql injection utilizando método post
Sql injection utilizando método postTensor
 
Seguridad sql injection
Seguridad sql injectionSeguridad sql injection
Seguridad sql injectionGary Briceño
 
Delitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForenseDelitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForensePablo Llanos Urraca
 
CÁLCULO PARA CIENCIAS BIOLÓGICAS (II Bimestre Abril Agosto 2011)
CÁLCULO PARA CIENCIAS BIOLÓGICAS (II Bimestre Abril Agosto 2011)CÁLCULO PARA CIENCIAS BIOLÓGICAS (II Bimestre Abril Agosto 2011)
CÁLCULO PARA CIENCIAS BIOLÓGICAS (II Bimestre Abril Agosto 2011)Videoconferencias UTPL
 
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]RootedCON
 
Unidad 4 calculo integral
Unidad 4 calculo integralUnidad 4 calculo integral
Unidad 4 calculo integralOscar Saenz
 
Cálculo Integral en las Ciencias Biológicas
Cálculo Integral en las Ciencias BiológicasCálculo Integral en las Ciencias Biológicas
Cálculo Integral en las Ciencias BiológicasJulio Samanamud
 
ECONOMÍA POLÍTICA CAPÍTULO 5. LA MACROECONOMÍA: UNA VISIÓN GLOBAL
ECONOMÍA POLÍTICA CAPÍTULO 5. LA MACROECONOMÍA: UNA VISIÓN GLOBALECONOMÍA POLÍTICA CAPÍTULO 5. LA MACROECONOMÍA: UNA VISIÓN GLOBAL
ECONOMÍA POLÍTICA CAPÍTULO 5. LA MACROECONOMÍA: UNA VISIÓN GLOBALManuel Salas-Velasco, University of Granada, Spain
 
Economia y politica
Economia y politicaEconomia y politica
Economia y politicateocaso
 
Aplicaciones simples de calculo integral
Aplicaciones simples de calculo integralAplicaciones simples de calculo integral
Aplicaciones simples de calculo integralAaron Fano
 
Aplicaciones del calculo integral
Aplicaciones del calculo integralAplicaciones del calculo integral
Aplicaciones del calculo integralGerardo Valdes Bermudes
 
Karl marx power point
Karl marx power pointKarl marx power point
Karl marx power pointguatrache
 
INTEGRAL INDEFINIDA Y SUS APLICACIONES
INTEGRAL INDEFINIDA Y SUS APLICACIONESINTEGRAL INDEFINIDA Y SUS APLICACIONES
INTEGRAL INDEFINIDA Y SUS APLICACIONESGary Sv
 
Filosofía Latinoamericana
Filosofía LatinoamericanaFilosofía Latinoamericana
Filosofía Latinoamericanasubjetividadyeducacion
 
Karl Marx
Karl MarxKarl Marx
Karl Marxminervagigia
 
Cálculo Diferencial
Cálculo DiferencialCálculo Diferencial
Cálculo DiferencialLeydi Hernandez
 
Política y Estado
Política y EstadoPolítica y Estado
Política y Estadomanusoci
 
Filosofía para Principiantes
Filosofía para PrincipiantesFilosofía para Principiantes
Filosofía para PrincipiantesJosé Ángel Castaño Gracia
 
Paginas de matematicas
Paginas de matematicasPaginas de matematicas
Paginas de matematicasespanol
 
Inyecciones SQL
Inyecciones SQLInyecciones SQL
Inyecciones SQLAndy Gomez Soria
 
Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0José Moreno
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 

Contenu connexe

En vedette

Sql injection utilizando método post
Sql injection utilizando método postSql injection utilizando método post
Sql injection utilizando método postTensor
 
Seguridad sql injection
Seguridad sql injectionSeguridad sql injection
Seguridad sql injectionGary Briceño
 
Delitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForenseDelitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForensePablo Llanos Urraca
 
CÁLCULO PARA CIENCIAS BIOLÓGICAS (II Bimestre Abril Agosto 2011)
CÁLCULO PARA CIENCIAS BIOLÓGICAS (II Bimestre Abril Agosto 2011)CÁLCULO PARA CIENCIAS BIOLÓGICAS (II Bimestre Abril Agosto 2011)
CÁLCULO PARA CIENCIAS BIOLÓGICAS (II Bimestre Abril Agosto 2011)Videoconferencias UTPL
 
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]RootedCON
 
Unidad 4 calculo integral
Unidad 4 calculo integralUnidad 4 calculo integral
Unidad 4 calculo integralOscar Saenz
 
Cálculo Integral en las Ciencias Biológicas
Cálculo Integral en las Ciencias BiológicasCálculo Integral en las Ciencias Biológicas
Cálculo Integral en las Ciencias BiológicasJulio Samanamud
 
Economia y politica
Economia y politicaEconomia y politica
Economia y politicateocaso
 
Aplicaciones simples de calculo integral
Aplicaciones simples de calculo integralAplicaciones simples de calculo integral
Aplicaciones simples de calculo integralAaron Fano
 
Karl marx power point
Karl marx power pointKarl marx power point
Karl marx power pointguatrache
 
INTEGRAL INDEFINIDA Y SUS APLICACIONES
INTEGRAL INDEFINIDA Y SUS APLICACIONESINTEGRAL INDEFINIDA Y SUS APLICACIONES
INTEGRAL INDEFINIDA Y SUS APLICACIONESGary Sv
 
Política y Estado
Política y EstadoPolítica y Estado
Política y Estadomanusoci
 
Paginas de matematicas
Paginas de matematicasPaginas de matematicas
Paginas de matematicasespanol
 

En vedette (19)

Sql injection utilizando método post
Sql injection utilizando método postSql injection utilizando método post
Sql injection utilizando método post
 
Seguridad sql injection
Seguridad sql injectionSeguridad sql injection
Seguridad sql injection
 
Delitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis ForenseDelitos Informáticos. Análisis Forense
Delitos Informáticos. Análisis Forense
 
CÁLCULO PARA CIENCIAS BIOLÓGICAS (II Bimestre Abril Agosto 2011)
CÁLCULO PARA CIENCIAS BIOLÓGICAS (II Bimestre Abril Agosto 2011)CÁLCULO PARA CIENCIAS BIOLÓGICAS (II Bimestre Abril Agosto 2011)
CÁLCULO PARA CIENCIAS BIOLÓGICAS (II Bimestre Abril Agosto 2011)
 
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
 
Unidad 4 calculo integral
Unidad 4 calculo integralUnidad 4 calculo integral
Unidad 4 calculo integral
 
Cálculo Integral en las Ciencias Biológicas
Cálculo Integral en las Ciencias BiológicasCálculo Integral en las Ciencias Biológicas
Cálculo Integral en las Ciencias Biológicas
 
ECONOMÍA POLÍTICA CAPÍTULO 5. LA MACROECONOMÍA: UNA VISIÓN GLOBAL
ECONOMÍA POLÍTICA CAPÍTULO 5. LA MACROECONOMÍA: UNA VISIÓN GLOBALECONOMÍA POLÍTICA CAPÍTULO 5. LA MACROECONOMÍA: UNA VISIÓN GLOBAL
ECONOMÍA POLÍTICA CAPÍTULO 5. LA MACROECONOMÍA: UNA VISIÓN GLOBAL
 
Economia y politica
Economia y politicaEconomia y politica
Economia y politica
 
Aplicaciones simples de calculo integral
Aplicaciones simples de calculo integralAplicaciones simples de calculo integral
Aplicaciones simples de calculo integral
 
Aplicaciones del calculo integral
Aplicaciones del calculo integralAplicaciones del calculo integral
Aplicaciones del calculo integral
 
Karl marx power point
Karl marx power pointKarl marx power point
Karl marx power point
 
INTEGRAL INDEFINIDA Y SUS APLICACIONES
INTEGRAL INDEFINIDA Y SUS APLICACIONESINTEGRAL INDEFINIDA Y SUS APLICACIONES
INTEGRAL INDEFINIDA Y SUS APLICACIONES
 
Filosofía Latinoamericana
Filosofía LatinoamericanaFilosofía Latinoamericana
Filosofía Latinoamericana
 
Karl Marx
Karl MarxKarl Marx
Karl Marx
 
Cálculo Diferencial
Cálculo DiferencialCálculo Diferencial
Cálculo Diferencial
 
Política y Estado
Política y EstadoPolítica y Estado
Política y Estado
 
Filosofía para Principiantes
Filosofía para PrincipiantesFilosofía para Principiantes
Filosofía para Principiantes
 
Paginas de matematicas
Paginas de matematicasPaginas de matematicas
Paginas de matematicas
 

Similaire à Inyeccionessqlparaaprendices complemento clase 1

Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0José Moreno
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
Curso basicoseguridadweb slideshare7
Curso basicoseguridadweb slideshare7Curso basicoseguridadweb slideshare7
Curso basicoseguridadweb slideshare7tantascosasquenose
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 
In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones webSaul Mamani
 
Ataques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseAtaques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseSupra Networks
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Miguel de la Cruz
 
Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 
Hack x crack_java
Hack x crack_javaHack x crack_java
Hack x crack_javaSaviotec
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTJose Gonzales
 
Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"Alonso Caballero
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3tantascosasquenose
 
VULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONVULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONTensor
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASPzekivazquez
 
¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeatCISObeat
 

Similaire à Inyeccionessqlparaaprendices complemento clase 1 (20)

Inyecciones SQL
Inyecciones SQLInyecciones SQL
Inyecciones SQL
 
Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
 
Curso basicoseguridadweb slideshare7
Curso basicoseguridadweb slideshare7Curso basicoseguridadweb slideshare7
Curso basicoseguridadweb slideshare7
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
 
In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones web
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
 
Xss con javascript
Xss con javascriptXss con javascript
Xss con javascript
 
Ataques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerseAtaques de inyección SQL: qué son y cómo protegerse
Ataques de inyección SQL: qué son y cómo protegerse
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
 
Articulo ieee ataque_i
Articulo ieee ataque_iArticulo ieee ataque_i
Articulo ieee ataque_i
 
Hack x crack_java
Hack x crack_javaHack x crack_java
Hack x crack_java
 
Hack x crack_java
Hack x crack_javaHack x crack_java
Hack x crack_java
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
 
Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3
 
VULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONVULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATION
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASP
 
¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat
 

Plus de Tensor

Libertad
LibertadLibertad
LibertadTensor
 
Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)Tensor
 
Metodo de la bisección
Metodo de la bisecciónMetodo de la bisección
Metodo de la bisecciónTensor
 
Transito vehicular
Transito vehicularTransito vehicular
Transito vehicularTensor
 
Teoria de colas
Teoria de colasTeoria de colas
Teoria de colasTensor
 
Practica 7 2016
Practica 7 2016Practica 7 2016
Practica 7 2016Tensor
 
Practica 6 2016
Practica 6 2016Practica 6 2016
Practica 6 2016Tensor
 
Game maker
Game makerGame maker
Game makerTensor
 
Practica 5 2016
Practica 5 2016Practica 5 2016
Practica 5 2016Tensor
 
Procesamiento de archivos
Procesamiento de archivosProcesamiento de archivos
Procesamiento de archivosTensor
 
Cadenas y funciones de cadena
Cadenas y funciones de cadenaCadenas y funciones de cadena
Cadenas y funciones de cadenaTensor
 
Simulación en promodel clase 04
Simulación en promodel clase 04Simulación en promodel clase 04
Simulación en promodel clase 04Tensor
 
Reduccion de orden
Reduccion de ordenReduccion de orden
Reduccion de ordenTensor
 
Variación+de+parametros
Variación+de+parametrosVariación+de+parametros
Variación+de+parametrosTensor
 
Coeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposiciónCoeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposiciónTensor
 
Bernoulli y ricatti
Bernoulli y ricattiBernoulli y ricatti
Bernoulli y ricattiTensor
 
Practica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicioPractica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicioTensor
 
Clase 14 ondas reflejadas
Clase 14 ondas reflejadasClase 14 ondas reflejadas
Clase 14 ondas reflejadasTensor
 
Ondas em
Ondas emOndas em
Ondas emTensor
 
Clase 7 ondas electromagneticas
Clase 7 ondas electromagneticasClase 7 ondas electromagneticas
Clase 7 ondas electromagneticasTensor
 

Plus de Tensor (20)

Libertad
LibertadLibertad
Libertad
 
Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)
 
Metodo de la bisección
Metodo de la bisecciónMetodo de la bisección
Metodo de la bisección
 
Transito vehicular
Transito vehicularTransito vehicular
Transito vehicular
 
Teoria de colas
Teoria de colasTeoria de colas
Teoria de colas
 
Practica 7 2016
Practica 7 2016Practica 7 2016
Practica 7 2016
 
Practica 6 2016
Practica 6 2016Practica 6 2016
Practica 6 2016
 
Game maker
Game makerGame maker
Game maker
 
Practica 5 2016
Practica 5 2016Practica 5 2016
Practica 5 2016
 
Procesamiento de archivos
Procesamiento de archivosProcesamiento de archivos
Procesamiento de archivos
 
Cadenas y funciones de cadena
Cadenas y funciones de cadenaCadenas y funciones de cadena
Cadenas y funciones de cadena
 
Simulación en promodel clase 04
Simulación en promodel clase 04Simulación en promodel clase 04
Simulación en promodel clase 04
 
Reduccion de orden
Reduccion de ordenReduccion de orden
Reduccion de orden
 
Variación+de+parametros
Variación+de+parametrosVariación+de+parametros
Variación+de+parametros
 
Coeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposiciónCoeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposición
 
Bernoulli y ricatti
Bernoulli y ricattiBernoulli y ricatti
Bernoulli y ricatti
 
Practica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicioPractica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicio
 
Clase 14 ondas reflejadas
Clase 14 ondas reflejadasClase 14 ondas reflejadas
Clase 14 ondas reflejadas
 
Ondas em
Ondas emOndas em
Ondas em
 
Clase 7 ondas electromagneticas
Clase 7 ondas electromagneticasClase 7 ondas electromagneticas
Clase 7 ondas electromagneticas
 

Dernier

presentación de historia; arquitectura renacentista
presentación de historia; arquitectura renacentistapresentación de historia; arquitectura renacentista
presentación de historia; arquitectura renacentista30898575
 
Trabajo de tesis. Arquitectura para Sanar. PaoaBorlandoFlorenciaSol.pdf
Trabajo de tesis. Arquitectura para Sanar. PaoaBorlandoFlorenciaSol.pdfTrabajo de tesis. Arquitectura para Sanar. PaoaBorlandoFlorenciaSol.pdf
Trabajo de tesis. Arquitectura para Sanar. PaoaBorlandoFlorenciaSol.pdfrociomoral626
 
Clase 8. Caracteristicas de la población.pptx
Clase 8. Caracteristicas de la población.pptxClase 8. Caracteristicas de la población.pptx
Clase 8. Caracteristicas de la población.pptxVanessaPobletePoblet
 
Portafolio de Diseño Gráfico por Giorgio B Huizinga
Portafolio de Diseño Gráfico por Giorgio B HuizingaPortafolio de Diseño Gráfico por Giorgio B Huizinga
Portafolio de Diseño Gráfico por Giorgio B Huizingagbhuizinga2000
 
PRESENTACION SOBRE EL PROYECTO DE GRADO .
PRESENTACION SOBRE EL PROYECTO DE GRADO .PRESENTACION SOBRE EL PROYECTO DE GRADO .
PRESENTACION SOBRE EL PROYECTO DE GRADO .Rosa329296
 
Historia de los estilos artísticos docum
Historia de los estilos artísticos documHistoria de los estilos artísticos docum
Historia de los estilos artísticos documminipuw
 
5. Nueva Norma E050 Suelos y Cimentaciones 2018.pptx
5. Nueva Norma E050 Suelos y Cimentaciones 2018.pptx5. Nueva Norma E050 Suelos y Cimentaciones 2018.pptx
5. Nueva Norma E050 Suelos y Cimentaciones 2018.pptxStiugaRoberturux
 
Arquitectura antigua. Salazar Alejandra.pdf
Arquitectura antigua. Salazar Alejandra.pdfArquitectura antigua. Salazar Alejandra.pdf
Arquitectura antigua. Salazar Alejandra.pdfsalazar1611ale
 
Croquis de Hospital general (Ficticio) con señalizaciones de seguridad
Croquis de Hospital general (Ficticio) con señalizaciones de seguridadCroquis de Hospital general (Ficticio) con señalizaciones de seguridad
Croquis de Hospital general (Ficticio) con señalizaciones de seguridadratc070603hmcmrha7
 
Andada_Pullally_Alicahue_2021_(Comprimido)_-_Nicolás_Dragaš.pdf
Andada_Pullally_Alicahue_2021_(Comprimido)_-_Nicolás_Dragaš.pdfAndada_Pullally_Alicahue_2021_(Comprimido)_-_Nicolás_Dragaš.pdf
Andada_Pullally_Alicahue_2021_(Comprimido)_-_Nicolás_Dragaš.pdfalguien92
 
PLANTILLA POWER POINT EL NUEVO ECUADOR EC
PLANTILLA POWER POINT EL NUEVO ECUADOR ECPLANTILLA POWER POINT EL NUEVO ECUADOR EC
PLANTILLA POWER POINT EL NUEVO ECUADOR ECESTADISTICAHDIVINAPR
 
Plano de diseño de una Planta de tratamiento de aguas PTAP
Plano de diseño de una Planta de tratamiento de aguas PTAPPlano de diseño de una Planta de tratamiento de aguas PTAP
Plano de diseño de una Planta de tratamiento de aguas PTAPjuanrincon129309
 
Sesión 02 Buenas practicas de manufactura.pptx
Sesión 02 Buenas practicas de manufactura.pptxSesión 02 Buenas practicas de manufactura.pptx
Sesión 02 Buenas practicas de manufactura.pptxMarcosAlvarezSalinas
 
MARIA ZABALA HISTORIA DE LA ARQUITECTURA II, ARQUITECTURA RENACENTISTA.pdf
MARIA ZABALA HISTORIA DE LA ARQUITECTURA II, ARQUITECTURA RENACENTISTA.pdfMARIA ZABALA HISTORIA DE LA ARQUITECTURA II, ARQUITECTURA RENACENTISTA.pdf
MARIA ZABALA HISTORIA DE LA ARQUITECTURA II, ARQUITECTURA RENACENTISTA.pdfitssmalexa
 
La Modernidad y Arquitectura Moderna - Rosibel Velásquez
La Modernidad y Arquitectura Moderna - Rosibel VelásquezLa Modernidad y Arquitectura Moderna - Rosibel Velásquez
La Modernidad y Arquitectura Moderna - Rosibel VelásquezRosibelVictoriaVelas
 
Diapositiva de la ansiedad...para poder enfrentarlo
Diapositiva de la ansiedad...para poder enfrentarloDiapositiva de la ansiedad...para poder enfrentarlo
Diapositiva de la ansiedad...para poder enfrentarlojefeer060122
 
Dia mundial de la salud (1).pdf triptico
Dia mundial de la salud (1).pdf tripticoDia mundial de la salud (1).pdf triptico
Dia mundial de la salud (1).pdf tripticoThaisAymeeTacucheBen
 
Que es la arquitectura griega? Hecho por Andrea varela, arquitectura iv.pdf
Que es la arquitectura griega? Hecho por Andrea varela, arquitectura iv.pdfQue es la arquitectura griega? Hecho por Andrea varela, arquitectura iv.pdf
Que es la arquitectura griega? Hecho por Andrea varela, arquitectura iv.pdfandrea Varela
 
MANUFACTURA AERONAUTICA 2024 presentacion
MANUFACTURA AERONAUTICA 2024 presentacionMANUFACTURA AERONAUTICA 2024 presentacion
MANUFACTURA AERONAUTICA 2024 presentacionssuser1ed434
 
Hospital croquis de modulo 3 con leyenda
Hospital croquis de modulo 3 con leyendaHospital croquis de modulo 3 con leyenda
Hospital croquis de modulo 3 con leyendaratc070603hmcmrha7
 

Dernier (20)

presentación de historia; arquitectura renacentista
presentación de historia; arquitectura renacentistapresentación de historia; arquitectura renacentista
presentación de historia; arquitectura renacentista
 
Trabajo de tesis. Arquitectura para Sanar. PaoaBorlandoFlorenciaSol.pdf
Trabajo de tesis. Arquitectura para Sanar. PaoaBorlandoFlorenciaSol.pdfTrabajo de tesis. Arquitectura para Sanar. PaoaBorlandoFlorenciaSol.pdf
Trabajo de tesis. Arquitectura para Sanar. PaoaBorlandoFlorenciaSol.pdf
 
Clase 8. Caracteristicas de la población.pptx
Clase 8. Caracteristicas de la población.pptxClase 8. Caracteristicas de la población.pptx
Clase 8. Caracteristicas de la población.pptx
 
Portafolio de Diseño Gráfico por Giorgio B Huizinga
Portafolio de Diseño Gráfico por Giorgio B HuizingaPortafolio de Diseño Gráfico por Giorgio B Huizinga
Portafolio de Diseño Gráfico por Giorgio B Huizinga
 
PRESENTACION SOBRE EL PROYECTO DE GRADO .
PRESENTACION SOBRE EL PROYECTO DE GRADO .PRESENTACION SOBRE EL PROYECTO DE GRADO .
PRESENTACION SOBRE EL PROYECTO DE GRADO .
 
Historia de los estilos artísticos docum
Historia de los estilos artísticos documHistoria de los estilos artísticos docum
Historia de los estilos artísticos docum
 
5. Nueva Norma E050 Suelos y Cimentaciones 2018.pptx
5. Nueva Norma E050 Suelos y Cimentaciones 2018.pptx5. Nueva Norma E050 Suelos y Cimentaciones 2018.pptx
5. Nueva Norma E050 Suelos y Cimentaciones 2018.pptx
 
Arquitectura antigua. Salazar Alejandra.pdf
Arquitectura antigua. Salazar Alejandra.pdfArquitectura antigua. Salazar Alejandra.pdf
Arquitectura antigua. Salazar Alejandra.pdf
 
Croquis de Hospital general (Ficticio) con señalizaciones de seguridad
Croquis de Hospital general (Ficticio) con señalizaciones de seguridadCroquis de Hospital general (Ficticio) con señalizaciones de seguridad
Croquis de Hospital general (Ficticio) con señalizaciones de seguridad
 
Andada_Pullally_Alicahue_2021_(Comprimido)_-_Nicolás_Dragaš.pdf
Andada_Pullally_Alicahue_2021_(Comprimido)_-_Nicolás_Dragaš.pdfAndada_Pullally_Alicahue_2021_(Comprimido)_-_Nicolás_Dragaš.pdf
Andada_Pullally_Alicahue_2021_(Comprimido)_-_Nicolás_Dragaš.pdf
 
PLANTILLA POWER POINT EL NUEVO ECUADOR EC
PLANTILLA POWER POINT EL NUEVO ECUADOR ECPLANTILLA POWER POINT EL NUEVO ECUADOR EC
PLANTILLA POWER POINT EL NUEVO ECUADOR EC
 
Plano de diseño de una Planta de tratamiento de aguas PTAP
Plano de diseño de una Planta de tratamiento de aguas PTAPPlano de diseño de una Planta de tratamiento de aguas PTAP
Plano de diseño de una Planta de tratamiento de aguas PTAP
 
Sesión 02 Buenas practicas de manufactura.pptx
Sesión 02 Buenas practicas de manufactura.pptxSesión 02 Buenas practicas de manufactura.pptx
Sesión 02 Buenas practicas de manufactura.pptx
 
MARIA ZABALA HISTORIA DE LA ARQUITECTURA II, ARQUITECTURA RENACENTISTA.pdf
MARIA ZABALA HISTORIA DE LA ARQUITECTURA II, ARQUITECTURA RENACENTISTA.pdfMARIA ZABALA HISTORIA DE LA ARQUITECTURA II, ARQUITECTURA RENACENTISTA.pdf
MARIA ZABALA HISTORIA DE LA ARQUITECTURA II, ARQUITECTURA RENACENTISTA.pdf
 
La Modernidad y Arquitectura Moderna - Rosibel Velásquez
La Modernidad y Arquitectura Moderna - Rosibel VelásquezLa Modernidad y Arquitectura Moderna - Rosibel Velásquez
La Modernidad y Arquitectura Moderna - Rosibel Velásquez
 
Diapositiva de la ansiedad...para poder enfrentarlo
Diapositiva de la ansiedad...para poder enfrentarloDiapositiva de la ansiedad...para poder enfrentarlo
Diapositiva de la ansiedad...para poder enfrentarlo
 
Dia mundial de la salud (1).pdf triptico
Dia mundial de la salud (1).pdf tripticoDia mundial de la salud (1).pdf triptico
Dia mundial de la salud (1).pdf triptico
 
Que es la arquitectura griega? Hecho por Andrea varela, arquitectura iv.pdf
Que es la arquitectura griega? Hecho por Andrea varela, arquitectura iv.pdfQue es la arquitectura griega? Hecho por Andrea varela, arquitectura iv.pdf
Que es la arquitectura griega? Hecho por Andrea varela, arquitectura iv.pdf
 
MANUFACTURA AERONAUTICA 2024 presentacion
MANUFACTURA AERONAUTICA 2024 presentacionMANUFACTURA AERONAUTICA 2024 presentacion
MANUFACTURA AERONAUTICA 2024 presentacion
 
Hospital croquis de modulo 3 con leyenda
Hospital croquis de modulo 3 con leyendaHospital croquis de modulo 3 con leyenda
Hospital croquis de modulo 3 con leyenda
 

Inyeccionessqlparaaprendices complemento clase 1

  • 2. Inyecciones SQL para Aprendices  En esta ocasión vamos a aprender a Hacer un Inyección SQL y posteriormente Defacear Un web!
  • 3. Inyecciones SQL para Aprendices  Bueno el deface o defacing es comprender los errores de las web’s, o de los foros, el deface se puedes usar de dos maneras: 1. Deface tipo lamer, el cual consiste en dejar un mensaje en el index o modificarlo, por ejemplo: soy tu padre o algún mensaje de ese estilo. 2. Deface de un buen hacker, el termino buen hacker no quiere decir que sea buena la persona si no que si ve errores o bug’s inmediatamente los reportara al administrador de como es que supo del bug y como se puede explotar, puede que te den las gracias por avisarles o asta te den algo cambio.  En que consiste un deface: bueno el deface es buscar vulnerabilidades de una web o un foro y explotar esos bug, muchas veces una persona hace un deface por gusto y muchas veces va dirigido al index,ya que es la pagina principal donde todos podrán ver lo que a hecho esta persona.  Reflexión: Muchas veces a un webmaster le cuesta trabajo crear una web o publicarla, para que llegue una persona y la defacee y le deshaga todo el trabajo que le costo al webmaster. No te gustaría que hicieran eso cierto?. Asi que respeta para que te respeten.
  • 4. Inyecciones SQL para Aprendices  Ojo! Esto es de cuidado! Esto es ilegal, en cualquier momento puedes llegar a la cárcel por un delito Informático  Bueno ya pasando las recomendaciones Dadas empecemos!  Bueno lo primero que deben saber es que es una Inyección SQL! (Busca en San Google! Ahí tienes toda la información!) Aquí un breve definición:  Inyección SQL: es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos.
  • 5. Inyecciones SQL para Aprendices  El origen de la vulnerabilidad radica en el incorrecto chequeo y/o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o script que esté embebido dentro de otro.  Se conoce como Inyección SQL, indistintamente, al tipo de vulnerabilidad, al método de infiltración, al hecho de incrustar código SQL intruso y a la porción de código incrustado.
  • 6. Inyecciones SQL para Aprendices  Segundo La Seguridad!:  Como siempre he dicho! Para todo clase de Hack! Es mejor usar algún Proxy SSL O algún VPN! Recomiendo mejor los vpn entre ellos están:  RaptorVPN  Hay otros mas.. pero este tutorial no es de seguridad y protección.  Vean el tuto siguiente. (Seguridad y Protección)
  • 7. Inyecciones SQL para Aprendices  Tercero: Herramientas  Las herramientas que vamos a usar son:  Havij  (Descargar: http://www.itsecteam.com/products/havij-v116-advanced-sql- injection/ ). Havij es una herramienta que nos facilitará la explotación de vulnerabilidades de inyección SQL en aplicaciones web. Rápidamente podremos hacer un fingerprint de la base de datos, obtener los usuarios y los hashes de sus contraseñas, dumpear tablas y columnas, volcar datos, ejecutar sentencias SQL e incluso acceder al sistema de ficheros y ejecutar comandos en el sistema operativo.  Les recomiendo probar la versión 1.15 free que, aunque tiene algunas limitaciones, seguro que nos resultará útil y nos dará una idea de su facilidad de uso.
  • 8. Inyecciones SQL para Aprendices  WebCruiser o Acunetix  Download: http://sec4app.com/download/WebCruiserPro.zip  El escaner WebCruiser es una herramienta para tareas de evaluación de seguridad de sitios Web. Tiene tres versiones, Profesional y Enterprise que son de paga y una Free Edition gratuita para amateurs con algunas funcionalidades reducidas.
  • 9. Inyecciones SQL para Aprendices  ¿Qué es WebCruiser?:  Un escaner de vulnerabilidades Web;  Un escaner de Inyección SQL;  Un escaner de XSS (Cross Site Scripting);  Un escaner de Inyección XPath;  Una herramienta de Inyección SQL automática de pruebas de concepto (POC);  Una herramienta de XSS (POC);  Una herramienta de Inyección XPath (POC);  Una herramienta de reenvío de Post Data;
  • 10. Inyecciones SQL para Aprendices  ¿Cuales son sus funcionalidades?:  Crawler (directorios y archivos de sitios web);  Escaner de Vulnerabilidades(SQL Injection, Cross Site Scripting, XPath Injection etc.);  POC(Pruebas de Concepto): SQL Injection, Cross Site Scripting, XPath Injection etc.;  Inyección GET/Post/Cookie;  SQL Server: Texto Plano/Campo Reflejado(Union)/Inyección Ciega;  MySQL/Oracle/DB2/Access: Campo Reflejado(Union)/Inyección Ciega;  Verificación automática de tipo de base de datos;  Búsqueda de Administración de Entrada;  Inyecciones de búsquedas con retardo de tiempo;  Auto obtención de Cookie de navegador Web para autenticación;  Salida de informes.
  • 11. Inyecciones SQL para Aprendices  ¿Cuales son sus funcionalidades?:  Crawler (directorios y archivos de sitios web);  Escaner de Vulnerabilidades(SQL Injection, Cross Site Scripting, XPath Injection etc.);  POC(Pruebas de Concepto): SQL Injection, Cross Site Scripting, XPath Injection etc.;  Inyección GET/Post/Cookie;  SQL Server: Texto Plano/Campo Reflejado(Union)/Inyección Ciega;  MySQL/Oracle/DB2/Access: Campo Reflejado(Union)/Inyección Ciega;  Verificación automática de tipo de base de datos;  Búsqueda de Administración de Entrada;  Inyecciones de búsquedas con retardo de tiempo;  Auto obtención de Cookie de navegador Web para autenticación;  Salida de informes.
  • 12. Inyecciones SQL para Aprendices  Actualmente está disponible y se puede descargar cualquiera de las tres versiones, las versiones de paga se pueden probar por 30 días.
  • 13. Inyecciones SQL para Aprendices  Cualquiera VPN O PROXY Confiable.  Recordemos que un VPN es una red privada virtual o VPN (siglas en inglés de virtual private network), es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet.  Realmente una VPN no es más que una estructura de red corporativa implantada sobre una red de recursos de carácter público, pero que utiliza el mismo sistema de gestión y las mismas políticas de acceso que se usan en las redes privadas, al fin y al cabo no es más que la creación en una red pública de un entorno de carácter confidencial y privado que permitirá trabajar al usuario como si estuviera en su misma red local.
  • 14. Inyecciones SQL para Aprendices  Y por ultimo el bloc de notas.
  • 15. Inyecciones SQL para Aprendices  Cuarta: La Web Vulnerable: Bueno aquí en este tutorial yo ya tengo una web vulnerable!  Ustedes pueden hacer la prueba con esta web:  http://www.nuddos.com  En la internet existe. Muchísimas paginas vulnerables! Pero como esta ya ha sido hackeada entonces, usemos en este tuto no profundizare para buscar Web vulnerables pero aquí unas técnicas para encontrarlas: Abrir www.google.com En búsquedas pones: .php?id= *.php?id= .asp?id=
  • 16. Inyecciones SQL para Aprendices  Esos son los dock mas buscados para hackear hay muchos mas! Y si le metes un poco de lógica encuentras otros métodos mas!. Nota: No todas las paginas que salgan ahí son vulnerables! Pero como identificar una web Vulnerable? Es fácil eh ahí donde empieza a trabajar el WebCruiser o Acunetix en este caso  Usaremos webCruiser  Recordemos que WebCroiser es un scanner de vulnerabilidades y explota las mismas.
  • 17. Inyecciones SQL para Aprendices  Aquí un ejemplo de su funcionamiento: La pagina a escanear será: www.nuddos.com
  • 18. Inyecciones SQL para Aprendices
  • 19. Inyecciones SQL para Aprendices  Le damos clic en Scanner:
  • 20. Inyecciones SQL para Aprendices
  • 21. Inyecciones SQL para Aprendices  Luego le damos clic en: Scan Site Y damos aceptar. Ahora debemos esperar unos 2 a 10 mins el programa escaneara y verificara la pagina y sus vulnerabilidades se irán mostrando poco a poco y si no tiene pues no aparecerá nada. Hay que volver intentar con otra pagina, en este caso encontramos:
  • 22. Inyecciones SQL para Aprendices
  • 23. Inyecciones SQL para Aprendices  2 Inyecciones SQL Yo Escogeré la url de (URL SQL Inyección) Para escogerla solo debes dar clic derecho y dar clic en copiar url (Copy Url a Clipboard) En este caso es:  http://www.nuddos.com/blog.php?id=336  Como Pueden notar: el final de la pagina es: .php?id= Ahora que tenemos la vulnerabilidad encontrada vamos a Havij 1.50 Pro
  • 24. Inyecciones SQL para Aprendices  Este es un programa que automatiza la inyección SQL, con solo copiar la url vulnerable el hará el trabajo por ti La Inyección SQL se puede hacer de tipo manual pero es mas complicado. Aquí les enseñare a usar el havij:
  • 25. Inyecciones SQL para Aprendices
  • 26. Inyecciones SQL para Aprendices  Ahí como pueden ver ya copie y pegue la url en el objetivo ahora le damos clic en: Antes de usar la herramienta vamos a configuraciones y lo configuramos para que la inyección tenga mas éxito! Aquí una foto de como dejarlo configurado (cada vez que vayas a usar el Havij que no se te olvide configurarlo:
  • 27. Inyecciones SQL para Aprendices
  • 28. Inyecciones SQL para Aprendices  En proxy colocas una IP PROXY Rápida y confiable! Ahora después de haber puesta la configuración ahora vamos y damos en el botón: Analyze  Y esperamos los resultados: Si es Scan nos sale así o mas o menos parecido:
  • 29. Inyecciones SQL para Aprendices
  • 30. Inyecciones SQL para Aprendices  Eso significa que la Inyección SQL va Por buen camino esperemos el resto del scan. Ya termino y debería aparecer algo como esto:
  • 31. Inyecciones SQL para Aprendices  Ahí hemos encontrado y entrado a su base de datos de llama: Nuddos Ahora nos vamos a Info:
  • 32. Inyecciones SQL para Aprendices
  • 33. Inyecciones SQL para Aprendices  Y le damos en GET Ahí el programa buscara toda la información acerca de la base de datos. (Este paso es Opcional) Esperemos que termine el scan. Ahora tenemos mas información sobre la base de datos:
  • 34. Inyecciones SQL para Aprendices  Y le damos en GET Ahí el programa buscara toda la información acerca de la base de datos. (Este paso es Opcional) Esperemos que termine el scan. Ahora tenemos mas información sobre la base de datos:
  • 35. Inyecciones SQL para Aprendices
  • 36. Inyecciones SQL para Aprendices  Ahora pasamos a Tables
  • 37. Inyecciones SQL para Aprendices  Si hiciste el paso anterior te saldra la base de datos (Information_schema) Ahí se almacena la información de la base de datos en donde va tal cosa. (Busca en San Google Mas Información) Bueno seguimos: Ahora seleccionamos a la base de datos nuddos Y Le damos GET TABLES.
  • 38. Inyecciones SQL para Aprendices  Si hiciste el paso anterior te saldra la base de datos (Information_schema) Ahí se almacena la información de la base de datos en donde va tal cosa. (Busca en San Google Mas Información) Bueno seguimos: Ahora seleccionamos a la base de datos nuddos Y Le damos GET TABLES.  Automáticamente se nos desplegara un cantidad de tablas.
  • 39. Inyecciones SQL para Aprendices  Si hiciste el paso anterior te saldra la base de datos (Information_schema) Ahí se almacena la información de la base de datos en donde va tal cosa. (Busca en San Google Mas Información) Bueno seguimos: Ahora seleccionamos a la base de datos nuddos Y Le damos GET TABLES.  Automáticamente se nos desplegara un cantidad de tablas.
  • 40. Inyecciones SQL para Aprendices
  • 41. Inyecciones SQL para Aprendices  En este caso Es rápido la inyección pero hay casos que la Base de datos esta protegida y obtenemos las tablas una por una. Eso lleva su tiempo! Bueno seguimos… Ahora debemos ir en busca de los usuarios o admin o lo que sea relacionado con usuarios. Usa la mente y ponla a trabajar, si en caso no encuentras tablas con esos nombres pues has perdido tu tiempo. O no puedes sacar información valiosa de la pagina que hallas encontrado. En este caso yo mirare las columnas de Usuarios y gestina_administradores  Las selecciona y le das click en: Get columns. Y Esperamos a que termine su trabajo. En este caso me genero en gestina_administradores:
  • 42. Inyecciones SQL para Aprendices
  • 43. Inyecciones SQL para Aprendices  Y usuarios:
  • 44. Inyecciones SQL para Aprendices  Pero nosotros vamos por administrador! Así que miraremos primero los datos de administradores. Así que seleccionamos:
  • 45. Inyecciones SQL para Aprendices  Y ahora le damos: GET DATA Get data: En este caso solo hay un solo administrador:
  • 46. Inyecciones SQL para Aprendices
  • 47. Inyecciones SQL para Aprendices  Ahora podemos guardar la información con el botón Save data Y se guardara como .HTML Y su password no esta encryptado en MD5! Cosa que nos facilita el trabajo! Si estuviese encryptado teníamos que desecryptarlo! Y nos llevaría mas tiempo!.
  • 48. Inyecciones SQL para Aprendices  Con estos datos Podemos defacear una web! O si no eres malvado habla con el administrador y que arregle el problema de la base de datos!. Ya para despedirnos vamos a buscar su panel de administracion para entrar como administrador: Nos vamos a: Find Admin
  • 49. Inyecciones SQL para Aprendices
  • 50. Inyecciones SQL para Aprendices  Y le damos START y como siempre esperemos que haga su trabajo! PD: Hay veces que no sale el panel de administración hay que localizarlo de otra manera. Aquí los resultados:
  • 51. Inyecciones SQL para Aprendices