SlideShare une entreprise Scribd logo

Actividad No. 1.11: SQL Injection con sqlmap en Kali Linux

Francisco Medina
Francisco Medina

Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Diplomado Diseño, Construcción y Administración de Redes de Datos Módulo 6. Seguridad de Bases de Datos

Formation
1  sur  9
Télécharger pour lire hors ligne
Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Diplomado  Diseño,  Construcción  y  Administración  de  Redes  de  Datos   Módulo  6.  Seguridad  de  Bases  de  Datos     Elaboró:  Francisco  Medina  López     1   Actividad   No.   1.11:   SQL   Injection   con   sqlmap  en  Kali  Linux   Antecedentes     SQL  Injection  (SQLi)  es  el  ataque  vía  web  que  aprovecha  errores  en  la  validación  de   datos   introducidos   por   el   usuario,   y   que   permiten   a   un   atacante,   tener   control   de   cierta  aplicación.     El   origen   de   la   vulnerabilidad   radica   en   la   incorrecta   revisión   y/o   filtrado   de   las   variables  utilizadas  en  un  programa  que  contiene,  o  bien  genera,  código  SQL.  Es,  de   hecho,  un  error  de  una  clase  más  general  de  vulnerabilidades  que  puede  ocurrir  en   cualquier  lenguaje  de  programación  o  script  que  esté  embebido  dentro  de  otro.     Kali   Linux   es   una   distribución   de   Linux   avanzada   para   pruebas   de   penetración   y   auditorías  de  seguridad.  Es  una  completa  re-­‐construcción  de  BackTrack  Linux  que  se   adhiere  completamente  a  los  estándares  de  desarrollo  de  Debian.     SQLmap  es  una  herramienta  escrita  en  Python  que  se  encarga  de  realizar  peticiones  a   los  parámetros  de  una  URL  que  se  le  indiquen,  ya  sea  mediante  una  petición  GET  o   POST  buscando  que  la  aplicación  sea  vulnerable  a  una  posible  SQL  Injection  y  poder   explotarla.  Es  capaz  de  explotar  todo  tipo  de  SQLi  como  union-­‐base,  time-­‐base-­‐blind,   base-­‐blind-­‐injection,  heavy-­‐queries  entre  otros.     Requerimientos     Equipo   de   cómputo   con   el   sistema   operativo   Kali   Linux   correctamente   configurado   para  tener  acceso  a  la  Internet.     Servidor  web  objetivo  cuya  dirección  IP  será  proporcionada  por  el  instructor.  Para  el   caso   de   los   ejemplos   mostrados   en   este   documento   se   usará   la   dirección   IP   10.211.55.15  la  cual  deberá  ser  reemplazada  por  la  indicada  por  el  instructor.      
Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Diplomado  Diseño,  Construcción  y  Administración  de  Redes  de  Datos   Módulo  6.  Seguridad  de  Bases  de  Datos     Elaboró:  Francisco  Medina  López     2   Instrucciones     1. Inicia  tu  equipo  de  cómputo  con  el  sistema  operativo  Kali  Linux  y  configura  los   parámetros  de  red  para  tener  acceso  a  la  Internet.   2. Abre  una  terminal  usando  el  ícono   ,  ubicado  en  el  panel  superior.         3. Ejecuta  el  siguiente  comando  en  la  terminal  (Recuerda  cambiar  la  dirección  IP   por  la  del  servidor  web  objetivo  indicada  por  el  instructor):     sqlmap  -­‐u  "http://10.211.55.15/cat.php?id=3"  -­‐-­‐dbs      
Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Diplomado  Diseño,  Construcción  y  Administración  de  Redes  de  Datos   Módulo  6.  Seguridad  de  Bases  de  Datos     Elaboró:  Francisco  Medina  López     3   La  URL  /cat.php?id=3  fue  obtenida  por  el  escáner  de  vulnerabilidades  web   VEGA   en   la   Actividad   No.   1.10:   Análisis   de   vulnerabilidades   con   VEGA   en   Kali   Linux.     4. SQLmap  tratará  de  identificar  el  manejador  de  base  de  datos  utilizado  por  la   aplicación   web   ejecutándose   en   el   servidor   web   objetivo.   En   este   caso   determina  que  se  esta  utilizando  un  servidor  MySQL.  Presionar  la  tecla  Y  y  dar   Enter.           5. En   el   paso   siguiente,   SQLmap   nos   pregunta   si   deseamos   incluir   todas   las   pruebas  para  MySQL,  tecleamos  Enter  para  continuar.          
Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Diplomado  Diseño,  Construcción  y  Administración  de  Redes  de  Datos   Módulo  6.  Seguridad  de  Bases  de  Datos     Elaboró:  Francisco  Medina  López     4     6.  SQLmap   identifica   que   la   variable   ‘id’   usada   por   la   aplicación   web   es   vulnerable   a   SQL   Injection.   Tecleamos   Enter   para   indicar   que   no   queremos   probar   otra   variable.     En   este   momento   SQLmap   realiza   el   ataque   de   SQL   Injection  y  logra  determinar  el  sistema  operativo  del  servidor  web  objetivo,  la   versión  del  servidor  web  empleado,  la  versión  del  manejador  de  base  de   datos  MySQL  en  ejecución  y  nos  muestra  las  dos  bases  de  datos  disponibles   en  el  servidor.                                                  
Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Diplomado  Diseño,  Construcción  y  Administración  de  Redes  de  Datos   Módulo  6.  Seguridad  de  Bases  de  Datos     Elaboró:  Francisco  Medina  López     5     7. Una  vez  obtenido  el  nombre  de  las  bases  de  datos  disponibles  en  el  servidor,   vamos  a  indicar  a  SQLmap  que  obtenga  las  tablas  que  conforman  la  base  de   datos  photoblog,  para  ellos  ejecutamos  el  siguiente  comando:     sqlmap  -­‐u  "http://10.211.55.15/cat.php?id=3"  -­‐D  photoblog  -­‐-­‐tables                                                 Podemos  observar  que  la  base  de  datos  photoblog  tiene  tres  tablas:   • categories   • pictures   • users      
Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Diplomado  Diseño,  Construcción  y  Administración  de  Redes  de  Datos   Módulo  6.  Seguridad  de  Bases  de  Datos     Elaboró:  Francisco  Medina  López     6     8. Una  vez  identificadas  las  tablas,  podemos  inferir  que  las  credenciales  de  acceso   a  la  aplicación  se  encuentran  en  la  tabla  users.  Para  realizar  una  consulta  y   mostrar  el  contenido  de  dicha  tabla,  ejecutamos  el  siguiente  comando:     sqlmap   -­‐u   "http://10.211.55.15/cat.php?id=3"   -­‐D   photoblog   -­‐T   users  -­‐-­‐columns                                                 El  resultado  de  la  ejecución  del  comando,  nos  permite  conocer  los  campos  de  la   tabla  user  dentro  de  la  base  de  datos  photoblog.      
Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Diplomado  Diseño,  Construcción  y  Administración  de  Redes  de  Datos   Módulo  6.  Seguridad  de  Bases  de  Datos     Elaboró:  Francisco  Medina  López     7   9. Conociendo  el  nombre  de  la  columnas  de  la  tabla  users,  es  posible  hacer  una   consulta  para  obtener  el  contenido  de  la  tabla.  Para  ellos  tecleamos  el  siguiente   comando:     sqlmap   -­‐u   "http://10.211.55.15/cat.php?id=3"   -­‐D   photoblog   -­‐T   users  -­‐C  login,password  -­‐-­‐dump         10. SQLmap  logra  identificar  un  campo  cifrado  que  contiene  las  contraseñas  de  las   cuentas  de  la  tabla  users.  Presionamos  la  tecla  Y  y  Enter.       11. SQLmap   permite   intentar   obtener   las   contraseñas   usando   un   diccionarios,   para  utilizarlo  presionamos  la  tecla  Enter.    
Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Diplomado  Diseño,  Construcción  y  Administración  de  Redes  de  Datos   Módulo  6.  Seguridad  de  Bases  de  Datos     Elaboró:  Francisco  Medina  López     8   12. El   siguiente   paso   consiste   en   indicar   la   ruta   al   diccionario   a   utilizar,   presionamos  la  tecla  Enter  para  utilizar  el  diccionario  por  Default  incluido  en   SQLmap.         13. A  continuación,  SQLmap  nos  pregunta  si  deseamos  usar  prefijos  comúnmente   utilizados   en   las   contraseñas.   Presionamos   la   tecla   Y   y   después   Enter   para   indicar  que  SI  queremos  usar  los  prefijos.                                                   14. Terminado  el  proceso,  SQLmap  obtiene  el  nombre  de  usuario  y  la  contraseña   almacenada  en  la  tabla  users  de  la  base  de  datos  photoblog.      
Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Diplomado  Diseño,  Construcción  y  Administración  de  Redes  de  Datos   Módulo  6.  Seguridad  de  Bases  de  Datos     Elaboró:  Francisco  Medina  López     9     15. Introducimos   los   datos   obtenidos   en   la   aplicación   web   photoblog   desde   un   navegador  web.                

Recommandé

Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali LinuxActividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali LinuxFrancisco Medina
 
Sql injection attack
Sql injection attackSql injection attack
Sql injection attackRaghav Bisht
 
Sqlmap
SqlmapSqlmap
SqlmapInstitute of Information Security (IIS)
 
Ejemplos acid
Ejemplos acidEjemplos acid
Ejemplos acidJefer Lee Parra
 
Desarrollo de aplicaciones web distribuidas.
Desarrollo de aplicaciones web distribuidas.Desarrollo de aplicaciones web distribuidas.
Desarrollo de aplicaciones web distribuidas.Jomicast
 
Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Juan Anaya
 
What is SQL Injection Attack | How to prevent SQL Injection Attacks? | Cybers...
What is SQL Injection Attack | How to prevent SQL Injection Attacks? | Cybers...What is SQL Injection Attack | How to prevent SQL Injection Attacks? | Cybers...
What is SQL Injection Attack | How to prevent SQL Injection Attacks? | Cybers...Edureka!
 
Sockets y canales
Sockets y canalesSockets y canales
Sockets y canalesJuan Anaya
 

Recommandé

Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali LinuxActividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali LinuxFrancisco Medina
 
Sql injection attack
Sql injection attackSql injection attack
Sql injection attackRaghav Bisht
 
Sqlmap
SqlmapSqlmap
SqlmapInstitute of Information Security (IIS)
 
Ejemplos acid
Ejemplos acidEjemplos acid
Ejemplos acidJefer Lee Parra
 
Desarrollo de aplicaciones web distribuidas.
Desarrollo de aplicaciones web distribuidas.Desarrollo de aplicaciones web distribuidas.
Desarrollo de aplicaciones web distribuidas.Jomicast
 
Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Juan Anaya
 
What is SQL Injection Attack | How to prevent SQL Injection Attacks? | Cybers...
What is SQL Injection Attack | How to prevent SQL Injection Attacks? | Cybers...What is SQL Injection Attack | How to prevent SQL Injection Attacks? | Cybers...
What is SQL Injection Attack | How to prevent SQL Injection Attacks? | Cybers...Edureka!
 
Sockets y canales
Sockets y canalesSockets y canales
Sockets y canalesJuan Anaya
 
Hacking Etico de Carlos Tori
Hacking Etico de Carlos ToriHacking Etico de Carlos Tori
Hacking Etico de Carlos ToriMar Rubio Rubio
 
MVC
MVCMVC
MVCJoan Sebastián Ramírez Pérez
 
sql server
sql serversql server
sql serverPcentro
 
4. listas de control de acceso
4. listas de control de acceso4. listas de control de acceso
4. listas de control de accesoEduardo Lange
 
SQL Injection
SQL InjectionSQL Injection
SQL InjectionSayed Ahmad Naweed
 
Ejemplo rup
Ejemplo rupEjemplo rup
Ejemplo rupangel2365
 
SQL INJECTION
SQL INJECTIONSQL INJECTION
SQL INJECTIONMentorcs
 
SQL Injection
SQL Injection SQL Injection
SQL Injection Adhoura Academy
 
phpMyAdmin con Xampp
phpMyAdmin con XamppphpMyAdmin con Xampp
phpMyAdmin con XamppLeccionesWeb
 
seminar report on Sql injection
seminar report on Sql injectionseminar report on Sql injection
seminar report on Sql injectionJawhar Ali
 
Pruebas Unitarias
Pruebas Unitarias Pruebas Unitarias
Pruebas Unitarias Emerson Garay
 
Ejercicio práctico aplicaciones móviles
Ejercicio práctico aplicaciones móvilesEjercicio práctico aplicaciones móviles
Ejercicio práctico aplicaciones móvilesEnrique Vargas
 
Normas y Estándares de calidad para el desarrollo de Software
Normas y Estándares de calidad para el desarrollo de SoftwareNormas y Estándares de calidad para el desarrollo de Software
Normas y Estándares de calidad para el desarrollo de SoftwareEvelinBermeo
 
Mapa conceptual - Institutos Reguladores Calidad de Software
Mapa conceptual - Institutos Reguladores Calidad de SoftwareMapa conceptual - Institutos Reguladores Calidad de Software
Mapa conceptual - Institutos Reguladores Calidad de SoftwareKarloz Dz
 
Sql injection - security testing
Sql injection - security testingSql injection - security testing
Sql injection - security testingNapendra Singh
 
Unidad 1.2 A IntroduccióN A Los Proceso De Software Modelos Tradicionales
Unidad 1.2 A IntroduccióN A Los Proceso De Software Modelos TradicionalesUnidad 1.2 A IntroduccióN A Los Proceso De Software Modelos Tradicionales
Unidad 1.2 A IntroduccióN A Los Proceso De Software Modelos TradicionalesSergio Sanchez
 
Ingenieria de requisitos
Ingenieria de requisitosIngenieria de requisitos
Ingenieria de requisitosJoamarbet
 
Sql injection with sqlmap
Sql injection with sqlmapSql injection with sqlmap
Sql injection with sqlmapHerman Duarte
 
Especificación y resultados de las pruebas de software
Especificación y resultados de las pruebas de softwareEspecificación y resultados de las pruebas de software
Especificación y resultados de las pruebas de softwareJesús E. CuRias
 
Extracción de Requerimientos
Extracción de RequerimientosExtracción de Requerimientos
Extracción de Requerimientoscamposer
 
Articulo ieee ataque_i
Articulo ieee ataque_iArticulo ieee ataque_i
Articulo ieee ataque_ialexander valencia valderrama
 
Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0José Moreno
 

Contenu connexe

Tendances

Hacking Etico de Carlos Tori
Hacking Etico de Carlos ToriHacking Etico de Carlos Tori
Hacking Etico de Carlos ToriMar Rubio Rubio
 
sql server
sql serversql server
sql serverPcentro
 
4. listas de control de acceso
4. listas de control de acceso4. listas de control de acceso
4. listas de control de accesoEduardo Lange
 
SQL INJECTION
SQL INJECTIONSQL INJECTION
SQL INJECTIONMentorcs
 
phpMyAdmin con Xampp
phpMyAdmin con XamppphpMyAdmin con Xampp
phpMyAdmin con XamppLeccionesWeb
 
seminar report on Sql injection
seminar report on Sql injectionseminar report on Sql injection
seminar report on Sql injectionJawhar Ali
 
Ejercicio práctico aplicaciones móviles
Ejercicio práctico aplicaciones móvilesEjercicio práctico aplicaciones móviles
Ejercicio práctico aplicaciones móvilesEnrique Vargas
 
Normas y Estándares de calidad para el desarrollo de Software
Normas y Estándares de calidad para el desarrollo de SoftwareNormas y Estándares de calidad para el desarrollo de Software
Normas y Estándares de calidad para el desarrollo de SoftwareEvelinBermeo
 
Mapa conceptual - Institutos Reguladores Calidad de Software
Mapa conceptual - Institutos Reguladores Calidad de SoftwareMapa conceptual - Institutos Reguladores Calidad de Software
Mapa conceptual - Institutos Reguladores Calidad de SoftwareKarloz Dz
 
Sql injection - security testing
Sql injection - security testingSql injection - security testing
Sql injection - security testingNapendra Singh
 
Unidad 1.2 A IntroduccióN A Los Proceso De Software Modelos Tradicionales
Unidad 1.2 A IntroduccióN A Los Proceso De Software Modelos TradicionalesUnidad 1.2 A IntroduccióN A Los Proceso De Software Modelos Tradicionales
Unidad 1.2 A IntroduccióN A Los Proceso De Software Modelos TradicionalesSergio Sanchez
 
Ingenieria de requisitos
Ingenieria de requisitosIngenieria de requisitos
Ingenieria de requisitosJoamarbet
 
Sql injection with sqlmap
Sql injection with sqlmapSql injection with sqlmap
Sql injection with sqlmapHerman Duarte
 
Especificación y resultados de las pruebas de software
Especificación y resultados de las pruebas de softwareEspecificación y resultados de las pruebas de software
Especificación y resultados de las pruebas de softwareJesús E. CuRias
 
Extracción de Requerimientos
Extracción de RequerimientosExtracción de Requerimientos
Extracción de Requerimientoscamposer
 

Tendances (20)

Hacking Etico de Carlos Tori
Hacking Etico de Carlos ToriHacking Etico de Carlos Tori
Hacking Etico de Carlos Tori
 
MVC
MVCMVC
MVC
 
sql server
sql serversql server
sql server
 
4. listas de control de acceso
4. listas de control de acceso4. listas de control de acceso
4. listas de control de acceso
 
SQL Injection
SQL InjectionSQL Injection
SQL Injection
 
Ejemplo rup
Ejemplo rupEjemplo rup
Ejemplo rup
 
SQL INJECTION
SQL INJECTIONSQL INJECTION
SQL INJECTION
 
SQL Injection
SQL Injection SQL Injection
SQL Injection
 
phpMyAdmin con Xampp
phpMyAdmin con XamppphpMyAdmin con Xampp
phpMyAdmin con Xampp
 
seminar report on Sql injection
seminar report on Sql injectionseminar report on Sql injection
seminar report on Sql injection
 
Pruebas Unitarias
Pruebas Unitarias Pruebas Unitarias
Pruebas Unitarias
 
Ejercicio práctico aplicaciones móviles
Ejercicio práctico aplicaciones móvilesEjercicio práctico aplicaciones móviles
Ejercicio práctico aplicaciones móviles
 
Normas y Estándares de calidad para el desarrollo de Software
Normas y Estándares de calidad para el desarrollo de SoftwareNormas y Estándares de calidad para el desarrollo de Software
Normas y Estándares de calidad para el desarrollo de Software
 
Mapa conceptual - Institutos Reguladores Calidad de Software
Mapa conceptual - Institutos Reguladores Calidad de SoftwareMapa conceptual - Institutos Reguladores Calidad de Software
Mapa conceptual - Institutos Reguladores Calidad de Software
 
Sql injection - security testing
Sql injection - security testingSql injection - security testing
Sql injection - security testing
 
Unidad 1.2 A IntroduccióN A Los Proceso De Software Modelos Tradicionales
Unidad 1.2 A IntroduccióN A Los Proceso De Software Modelos TradicionalesUnidad 1.2 A IntroduccióN A Los Proceso De Software Modelos Tradicionales
Unidad 1.2 A IntroduccióN A Los Proceso De Software Modelos Tradicionales
 
Ingenieria de requisitos
Ingenieria de requisitosIngenieria de requisitos
Ingenieria de requisitos
 
Sql injection with sqlmap
Sql injection with sqlmapSql injection with sqlmap
Sql injection with sqlmap
 
Especificación y resultados de las pruebas de software
Especificación y resultados de las pruebas de softwareEspecificación y resultados de las pruebas de software
Especificación y resultados de las pruebas de software
 
Extracción de Requerimientos
Extracción de RequerimientosExtracción de Requerimientos
Extracción de Requerimientos
 

Similaire à Actividad No. 1.11: SQL Injection con sqlmap en Kali Linux

Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0José Moreno
 
Actividad No. 1.8: Análisis del protocolo MySQL
Actividad No. 1.8: Análisis del protocolo MySQLActividad No. 1.8: Análisis del protocolo MySQL
Actividad No. 1.8: Análisis del protocolo MySQLFrancisco Medina
 
Actividad No. 1.7: Creación de usuarios en MySQL
Actividad No. 1.7: Creación de usuarios en MySQLActividad No. 1.7: Creación de usuarios en MySQL
Actividad No. 1.7: Creación de usuarios en MySQLFrancisco Medina
 
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes Francisco Medina
 
Actividad No. 1.9: Auditoria de contraseñas en MySQL
Actividad No. 1.9: Auditoria de contraseñas en MySQLActividad No. 1.9: Auditoria de contraseñas en MySQL
Actividad No. 1.9: Auditoria de contraseñas en MySQLFrancisco Medina
 
Bases de Datos Distribuidas con Sql Server 2012
Bases de Datos Distribuidas con Sql Server 2012Bases de Datos Distribuidas con Sql Server 2012
Bases de Datos Distribuidas con Sql Server 2012Antonio Ortiz
 
Manual de instalcion my sql
Manual de instalcion my sqlManual de instalcion my sql
Manual de instalcion my sqlhugofermaga
 
Instalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuInstalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuDavid Vevelas
 
Paper injection sql_santiago_hidalgo_diego_jaramillo_victor_olalla_becket_toa...
Paper injection sql_santiago_hidalgo_diego_jaramillo_victor_olalla_becket_toa...Paper injection sql_santiago_hidalgo_diego_jaramillo_victor_olalla_becket_toa...
Paper injection sql_santiago_hidalgo_diego_jaramillo_victor_olalla_becket_toa...Becket Toapanta
 
Evaluación de Ataques tipo Inyección SQL a Ciegas a las Aplicaciones Web util...
Evaluación de Ataques tipo Inyección SQL a Ciegas a las Aplicaciones Web util...Evaluación de Ataques tipo Inyección SQL a Ciegas a las Aplicaciones Web util...
Evaluación de Ataques tipo Inyección SQL a Ciegas a las Aplicaciones Web util...beckett1
 
Actividad No. 1.6: Creación de bases de datos en MySQL
Actividad No. 1.6: Creación de bases de datos en MySQLActividad No. 1.6: Creación de bases de datos en MySQL
Actividad No. 1.6: Creación de bases de datos en MySQLFrancisco Medina
 
Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"Alonso Caballero
 
Actividad No. 1.13: Configuración acceso seguro al servidor de base de datos ...
Actividad No. 1.13: Configuración acceso seguro al servidor de base de datos ...Actividad No. 1.13: Configuración acceso seguro al servidor de base de datos ...
Actividad No. 1.13: Configuración acceso seguro al servidor de base de datos ...Francisco Medina
 
Actividad 1 Programación Net III
Actividad 1 Programación Net IIIActividad 1 Programación Net III
Actividad 1 Programación Net IIIJANETNuez5
 
Actividad No. 1.12: Crackeo de contraseña de MySQL
Actividad No. 1.12: Crackeo de contraseña de MySQLActividad No. 1.12: Crackeo de contraseña de MySQL
Actividad No. 1.12: Crackeo de contraseña de MySQLFrancisco Medina
 
Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Carlos Alderete
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendicesTensor
 

Similaire à Actividad No. 1.11: SQL Injection con sqlmap en Kali Linux (20)

Articulo ieee ataque_i
Articulo ieee ataque_iArticulo ieee ataque_i
Articulo ieee ataque_i
 
Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0
 
Actividad No. 1.8: Análisis del protocolo MySQL
Actividad No. 1.8: Análisis del protocolo MySQLActividad No. 1.8: Análisis del protocolo MySQL
Actividad No. 1.8: Análisis del protocolo MySQL
 
Actividad No. 1.7: Creación de usuarios en MySQL
Actividad No. 1.7: Creación de usuarios en MySQLActividad No. 1.7: Creación de usuarios en MySQL
Actividad No. 1.7: Creación de usuarios en MySQL
 
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
 
Actividad No. 1.9: Auditoria de contraseñas en MySQL
Actividad No. 1.9: Auditoria de contraseñas en MySQLActividad No. 1.9: Auditoria de contraseñas en MySQL
Actividad No. 1.9: Auditoria de contraseñas en MySQL
 
Bases de Datos Distribuidas con Sql Server 2012
Bases de Datos Distribuidas con Sql Server 2012Bases de Datos Distribuidas con Sql Server 2012
Bases de Datos Distribuidas con Sql Server 2012
 
Manual de instalcion my sql
Manual de instalcion my sqlManual de instalcion my sql
Manual de instalcion my sql
 
Instalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntuInstalacion de Postrgre sql en ubuntu
Instalacion de Postrgre sql en ubuntu
 
Paper injection sql_santiago_hidalgo_diego_jaramillo_victor_olalla_becket_toa...
Paper injection sql_santiago_hidalgo_diego_jaramillo_victor_olalla_becket_toa...Paper injection sql_santiago_hidalgo_diego_jaramillo_victor_olalla_becket_toa...
Paper injection sql_santiago_hidalgo_diego_jaramillo_victor_olalla_becket_toa...
 
Evaluación de Ataques tipo Inyección SQL a Ciegas a las Aplicaciones Web util...
Evaluación de Ataques tipo Inyección SQL a Ciegas a las Aplicaciones Web util...Evaluación de Ataques tipo Inyección SQL a Ciegas a las Aplicaciones Web util...
Evaluación de Ataques tipo Inyección SQL a Ciegas a las Aplicaciones Web util...
 
Actividad No. 1.6: Creación de bases de datos en MySQL
Actividad No. 1.6: Creación de bases de datos en MySQLActividad No. 1.6: Creación de bases de datos en MySQL
Actividad No. 1.6: Creación de bases de datos en MySQL
 
Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"Webinar Gratuito: "Inyección SQL"
Webinar Gratuito: "Inyección SQL"
 
Actividad No. 1.13: Configuración acceso seguro al servidor de base de datos ...
Actividad No. 1.13: Configuración acceso seguro al servidor de base de datos ...Actividad No. 1.13: Configuración acceso seguro al servidor de base de datos ...
Actividad No. 1.13: Configuración acceso seguro al servidor de base de datos ...
 
Actividad 1 Programación Net III
Actividad 1 Programación Net IIIActividad 1 Programación Net III
Actividad 1 Programación Net III
 
Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)
 
Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)Aplicaciones Web Seguras (Anti-SQLi)
Aplicaciones Web Seguras (Anti-SQLi)
 
Actividad No. 1.12: Crackeo de contraseña de MySQL
Actividad No. 1.12: Crackeo de contraseña de MySQLActividad No. 1.12: Crackeo de contraseña de MySQL
Actividad No. 1.12: Crackeo de contraseña de MySQL
 
Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendices
 

Plus de Francisco Medina

Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaFrancisco Medina
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadFrancisco Medina
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadFrancisco Medina
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosFrancisco Medina
 
Por qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en InternetPor qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en InternetFrancisco Medina
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaFrancisco Medina
 
2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad Informática2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad InformáticaFrancisco Medina
 
Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1Francisco Medina
 
Caso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y ShellshockCaso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y ShellshockFrancisco Medina
 
Tema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las ComunicacionesTema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las ComunicacionesFrancisco Medina
 
Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2Francisco Medina
 
Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2Francisco Medina
 
Presentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de DatosPresentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de DatosFrancisco Medina
 
Módulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado EstructuradoMódulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado EstructuradoFrancisco Medina
 
Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.Francisco Medina
 

Plus de Francisco Medina (20)

Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
 
2021 1 T4-Criptografía
2021 1 T4-Criptografía2021 1 T4-Criptografía
2021 1 T4-Criptografía
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de Riesgos
 
Por qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en InternetPor qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en Internet
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
 
Conociendo la Dark Web
Conociendo la Dark WebConociendo la Dark Web
Conociendo la Dark Web
 
2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad Informática2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad Informática
 
Tema 1. Active Directory
Tema 1. Active DirectoryTema 1. Active Directory
Tema 1. Active Directory
 
Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1
 
Caso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y ShellshockCaso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y Shellshock
 
Tema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las ComunicacionesTema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las Comunicaciones
 
2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad
 
Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2
 
Tema 1. Seguridad Física
Tema 1. Seguridad FísicaTema 1. Seguridad Física
Tema 1. Seguridad Física
 
Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2
 
Presentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de DatosPresentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de Datos
 
Módulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado EstructuradoMódulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado Estructurado
 
Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.
 

Dernier

La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.amayarogel
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADauxsoporte
 
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptxTECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptxKarlaMassielMartinez
 
plande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfplande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfenelcielosiempre
 
Sesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docxSesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docxMaritzaRetamozoVera
 
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSOCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSYadi Campos
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...JAVIER SOLIS NOYOLA
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMarjorie Burga
 
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOSTEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOSjlorentemartos
 
Neurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdfNeurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdfDemetrio Ccesa Rayme
 
Ley 21.545 - Circular Nº 586.pdf circular
Ley 21.545 - Circular Nº 586.pdf circularLey 21.545 - Circular Nº 586.pdf circular
Ley 21.545 - Circular Nº 586.pdf circularMooPandrea
 
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfCurso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfFrancisco158360
 
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.Alejandrino Halire Ccahuana
 
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfEjercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfMaritzaRetamozoVera
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...JAVIER SOLIS NOYOLA
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxlclcarmen
 
Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxFelicitasAsuncionDia
 
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 

Dernier (20)

La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDAD
 
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
 
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptxTECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
 
plande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfplande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdf
 
Sesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docxSesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docx
 
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSOCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grande
 
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOSTEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
 
Neurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdfNeurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdf
 
Ley 21.545 - Circular Nº 586.pdf circular
Ley 21.545 - Circular Nº 586.pdf circularLey 21.545 - Circular Nº 586.pdf circular
Ley 21.545 - Circular Nº 586.pdf circular
 
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfCurso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
 
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
 
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfEjercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
 
Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptx
 
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
 
Fe contra todo pronóstico. La fe es confianza.
Fe contra todo pronóstico. La fe es confianza.Fe contra todo pronóstico. La fe es confianza.
Fe contra todo pronóstico. La fe es confianza.
 

Actividad No. 1.11: SQL Injection con sqlmap en Kali Linux

  • 1. Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Diplomado  Diseño,  Construcción  y  Administración  de  Redes  de  Datos   Módulo  6.  Seguridad  de  Bases  de  Datos     Elaboró:  Francisco  Medina  López     1   Actividad   No.   1.11:   SQL   Injection   con   sqlmap  en  Kali  Linux   Antecedentes     SQL  Injection  (SQLi)  es  el  ataque  vía  web  que  aprovecha  errores  en  la  validación  de   datos   introducidos   por   el   usuario,   y   que   permiten   a   un   atacante,   tener   control   de   cierta  aplicación.     El   origen   de   la   vulnerabilidad   radica   en   la   incorrecta   revisión   y/o   filtrado   de   las   variables  utilizadas  en  un  programa  que  contiene,  o  bien  genera,  código  SQL.  Es,  de   hecho,  un  error  de  una  clase  más  general  de  vulnerabilidades  que  puede  ocurrir  en   cualquier  lenguaje  de  programación  o  script  que  esté  embebido  dentro  de  otro.     Kali   Linux   es   una   distribución   de   Linux   avanzada   para   pruebas   de   penetración   y   auditorías  de  seguridad.  Es  una  completa  re-­‐construcción  de  BackTrack  Linux  que  se   adhiere  completamente  a  los  estándares  de  desarrollo  de  Debian.     SQLmap  es  una  herramienta  escrita  en  Python  que  se  encarga  de  realizar  peticiones  a   los  parámetros  de  una  URL  que  se  le  indiquen,  ya  sea  mediante  una  petición  GET  o   POST  buscando  que  la  aplicación  sea  vulnerable  a  una  posible  SQL  Injection  y  poder   explotarla.  Es  capaz  de  explotar  todo  tipo  de  SQLi  como  union-­‐base,  time-­‐base-­‐blind,   base-­‐blind-­‐injection,  heavy-­‐queries  entre  otros.     Requerimientos     Equipo   de   cómputo   con   el   sistema   operativo   Kali   Linux   correctamente   configurado   para  tener  acceso  a  la  Internet.     Servidor  web  objetivo  cuya  dirección  IP  será  proporcionada  por  el  instructor.  Para  el   caso   de   los   ejemplos   mostrados   en   este   documento   se   usará   la   dirección   IP   10.211.55.15  la  cual  deberá  ser  reemplazada  por  la  indicada  por  el  instructor.      
  • 2. Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Diplomado  Diseño,  Construcción  y  Administración  de  Redes  de  Datos   Módulo  6.  Seguridad  de  Bases  de  Datos     Elaboró:  Francisco  Medina  López     2   Instrucciones     1. Inicia  tu  equipo  de  cómputo  con  el  sistema  operativo  Kali  Linux  y  configura  los   parámetros  de  red  para  tener  acceso  a  la  Internet.   2. Abre  una  terminal  usando  el  ícono   ,  ubicado  en  el  panel  superior.         3. Ejecuta  el  siguiente  comando  en  la  terminal  (Recuerda  cambiar  la  dirección  IP   por  la  del  servidor  web  objetivo  indicada  por  el  instructor):     sqlmap  -­‐u  "http://10.211.55.15/cat.php?id=3"  -­‐-­‐dbs      
  • 3. Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Diplomado  Diseño,  Construcción  y  Administración  de  Redes  de  Datos   Módulo  6.  Seguridad  de  Bases  de  Datos     Elaboró:  Francisco  Medina  López     3   La  URL  /cat.php?id=3  fue  obtenida  por  el  escáner  de  vulnerabilidades  web   VEGA   en   la   Actividad   No.   1.10:   Análisis   de   vulnerabilidades   con   VEGA   en   Kali   Linux.     4. SQLmap  tratará  de  identificar  el  manejador  de  base  de  datos  utilizado  por  la   aplicación   web   ejecutándose   en   el   servidor   web   objetivo.   En   este   caso   determina  que  se  esta  utilizando  un  servidor  MySQL.  Presionar  la  tecla  Y  y  dar   Enter.           5. En   el   paso   siguiente,   SQLmap   nos   pregunta   si   deseamos   incluir   todas   las   pruebas  para  MySQL,  tecleamos  Enter  para  continuar.          
  • 4. Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Diplomado  Diseño,  Construcción  y  Administración  de  Redes  de  Datos   Módulo  6.  Seguridad  de  Bases  de  Datos     Elaboró:  Francisco  Medina  López     4     6.  SQLmap   identifica   que   la   variable   ‘id’   usada   por   la   aplicación   web   es   vulnerable   a   SQL   Injection.   Tecleamos   Enter   para   indicar   que   no   queremos   probar   otra   variable.     En   este   momento   SQLmap   realiza   el   ataque   de   SQL   Injection  y  logra  determinar  el  sistema  operativo  del  servidor  web  objetivo,  la   versión  del  servidor  web  empleado,  la  versión  del  manejador  de  base  de   datos  MySQL  en  ejecución  y  nos  muestra  las  dos  bases  de  datos  disponibles   en  el  servidor.                                                  
  • 5. Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Diplomado  Diseño,  Construcción  y  Administración  de  Redes  de  Datos   Módulo  6.  Seguridad  de  Bases  de  Datos     Elaboró:  Francisco  Medina  López     5     7. Una  vez  obtenido  el  nombre  de  las  bases  de  datos  disponibles  en  el  servidor,   vamos  a  indicar  a  SQLmap  que  obtenga  las  tablas  que  conforman  la  base  de   datos  photoblog,  para  ellos  ejecutamos  el  siguiente  comando:     sqlmap  -­‐u  "http://10.211.55.15/cat.php?id=3"  -­‐D  photoblog  -­‐-­‐tables                                                 Podemos  observar  que  la  base  de  datos  photoblog  tiene  tres  tablas:   • categories   • pictures   • users      
  • 6. Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Diplomado  Diseño,  Construcción  y  Administración  de  Redes  de  Datos   Módulo  6.  Seguridad  de  Bases  de  Datos     Elaboró:  Francisco  Medina  López     6     8. Una  vez  identificadas  las  tablas,  podemos  inferir  que  las  credenciales  de  acceso   a  la  aplicación  se  encuentran  en  la  tabla  users.  Para  realizar  una  consulta  y   mostrar  el  contenido  de  dicha  tabla,  ejecutamos  el  siguiente  comando:     sqlmap   -­‐u   "http://10.211.55.15/cat.php?id=3"   -­‐D   photoblog   -­‐T   users  -­‐-­‐columns                                                 El  resultado  de  la  ejecución  del  comando,  nos  permite  conocer  los  campos  de  la   tabla  user  dentro  de  la  base  de  datos  photoblog.      
  • 7. Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Diplomado  Diseño,  Construcción  y  Administración  de  Redes  de  Datos   Módulo  6.  Seguridad  de  Bases  de  Datos     Elaboró:  Francisco  Medina  López     7   9. Conociendo  el  nombre  de  la  columnas  de  la  tabla  users,  es  posible  hacer  una   consulta  para  obtener  el  contenido  de  la  tabla.  Para  ellos  tecleamos  el  siguiente   comando:     sqlmap   -­‐u   "http://10.211.55.15/cat.php?id=3"   -­‐D   photoblog   -­‐T   users  -­‐C  login,password  -­‐-­‐dump         10. SQLmap  logra  identificar  un  campo  cifrado  que  contiene  las  contraseñas  de  las   cuentas  de  la  tabla  users.  Presionamos  la  tecla  Y  y  Enter.       11. SQLmap   permite   intentar   obtener   las   contraseñas   usando   un   diccionarios,   para  utilizarlo  presionamos  la  tecla  Enter.    
  • 8. Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Diplomado  Diseño,  Construcción  y  Administración  de  Redes  de  Datos   Módulo  6.  Seguridad  de  Bases  de  Datos     Elaboró:  Francisco  Medina  López     8   12. El   siguiente   paso   consiste   en   indicar   la   ruta   al   diccionario   a   utilizar,   presionamos  la  tecla  Enter  para  utilizar  el  diccionario  por  Default  incluido  en   SQLmap.         13. A  continuación,  SQLmap  nos  pregunta  si  deseamos  usar  prefijos  comúnmente   utilizados   en   las   contraseñas.   Presionamos   la   tecla   Y   y   después   Enter   para   indicar  que  SI  queremos  usar  los  prefijos.                                                   14. Terminado  el  proceso,  SQLmap  obtiene  el  nombre  de  usuario  y  la  contraseña   almacenada  en  la  tabla  users  de  la  base  de  datos  photoblog.      
  • 9. Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Diplomado  Diseño,  Construcción  y  Administración  de  Redes  de  Datos   Módulo  6.  Seguridad  de  Bases  de  Datos     Elaboró:  Francisco  Medina  López     9     15. Introducimos   los   datos   obtenidos   en   la   aplicación   web   photoblog   desde   un   navegador  web.