SlideShare ist ein Scribd-Unternehmen logo

Seguridad en bases de datos

Als PPTX, PDF herunterladen
Angel Gom
Angel Gom
Bildung
1 von 17
SEGURIDAD EN BASES DE DATOS
INTRODUCCIÓN A LA SEGURIDAD  Información almacenada en la base de datos debe estar protegida contra accesos no autorizados, la destrucción o alteración de datos con fines indebidos y contra la introducción accidental de inconsistencia.
Términos de bases de datos
VIOLACIONES DE LA SEGURIDAD E INTEGRIDAD La pérdida de consistencia se debe: Anomalías en la Error lógico que Caídas de Anomalías a la distribución viola transacciones base de datos computadores transacciones Para respeta protecciones de base de datos Es más fácil prevenir la pérdida de consistencia de datos que prevenir el acceso mal intencionado a la base de datos
Formas de acceso indebido Lectura de datos sin autorización (robo de información). Modificación de datos sin autorización. Destrucción no autorizada de los datos
Niveles de seguridad para una base de datos: Físico El lugar donde se encuentran los sistemas debe estar protegido Humano Debe tener cuidado al conceder autorizaciones Sistema operativo Seguridad contra ataques exteriores Sistemas de bases de datos Garantizar que no se violen las restricciones de autorización
¿Que son las inyecciones de código SQL?  Es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos.  Consiste en la modificación de las consultas a nuestra base de datos a partir de los parámetros pasados por URL al script en PHP.
¿Dónde se origina este problema?  Por el incorrecto chequeo o filtrado de las variables.
¿Como saber si tu sitio puede ser hackeado con SQL Injection?  Simplemente agregale "/*" o una simple tilde, si te tira un error, tu sitio es vulnerable. Vamos a poner un ejemplo: Tu sitio es "http://www.tupagina.com/index.php?id=1" Lo comprobamos de la siguiente manera: "http://www.tupagina.com/index.php?id=1/*" o tambien asi: "http://www.tupagina.com/index.php?id=1'" como tambien de esta manera: "http://www.tupagina.com/index.php?id=1)" Si al colocar cualquiera de estas opciones da un error, tu sitio es vulnerable, por el contrario si tu sitio sigue mostrandose igual, tanto tu SQL como tu plantilla php estan correctamente configurados.
¿Como realiza un hacker la inyección?  Simplemente verifica que el sitio sea vulnerable con las tecnicas que mencioné anteriormente, si lo es comienza el proceso de prueba. tu sitio es : "http://www.tupagina.com/index.php?id=1" asi que se comienza con el chequeo de tablas asi "-1 order by 1" hasta dar con el error "-1 order by 16" una vez alli ya sabemos que las tablas son menos de 16 mostrando el siguiente error "Unknown column '17' in 'order clause".
¿En que consiste? Validar el acceso de un usuario registrado utilizando SQL: $sql = "SELECT * FROM usr WHERE id = '" . $id ; $sql .= "' AND pwd = '" . $pwd . "'" ; Cuando se tienen valores para el nombre de usuario (id) y la contraseña del usuario (pwd) se tendrá una consulta normal a la base de datos que nos devolverá los datos del usuario si la contraseña es correcta: SELECT * FROM usr WHERE id = 'root' AND pwd = '4358'
 Si intentamos modificar la consulta poniendo cómo contraseña ' OR '' = ' SELECT * FROM usr WHERE id = 'root' AND pwd = ' ' OR '' = ' '  Como '' siempre es igual a '', habremos modificado la consulta para que nos devuelva siempre los datos del usuario aunque la contraseña sea incorrecta, y el visitante malintencionado se podrá conectar como cualquier usuario.
 el visitante malintencionado podra conseguir contraseñas, borrar, anñadir y modificar datos de nuestra base de datos... por eso es importanto que nos aseguremos que nuestro sitio es seguro en este aspecto.
¿Que debo hacer?  En el caso de que tu servidor haya dado resultado positivo, será porque no se preocupa de cambiar la comilla simple por ' , y en este caso, deberemos ser nosotros los que manualmente lo cambiemos de todas las variables pasadas tanto por URL como vía formulario:
inyeccion.php  // Evitamos la inyeccion SQL // Modificamos las variables pasadas por URL foreach( $_GET as $variable => $valor ){ $_GET [ $variable ] = str_replace ( "'" , "'" , $_GET [ $variable ]); } // Modificamos las variables de formularios foreach( $_POST as $variable => $valor ){ $_POST [ $variable ] = str_replace ( "'" , "'" , $_POST [ $variable ]); }
Incluiremos este script en todas las páginas realicemos consultas a la base de datos:  // Evitamos la inyeccion SQL include 'inyeccion.php' ; // // Contenido de la página PHP //

Empfohlen

Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datosguestb40a1b0
 
SEGURIDAD DE BASE DE DATOS
SEGURIDAD DE BASE DE DATOSSEGURIDAD DE BASE DE DATOS
SEGURIDAD DE BASE DE DATOSAngel Feijo
 
Seguridad de la base de datos
Seguridad de la base de datosSeguridad de la base de datos
Seguridad de la base de datososandcr
 
Seguridad de base de datos
Seguridad de base de datosSeguridad de base de datos
Seguridad de base de datoscristian9908
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datosJose Alvarado Robles
 
Seguridad en el almacenamiento de las bases de datos
Seguridad en el almacenamiento de las bases de datosSeguridad en el almacenamiento de las bases de datos
Seguridad en el almacenamiento de las bases de datosjosecuartas
 
Seguridades en bases de datos
Seguridades en bases de datosSeguridades en bases de datos
Seguridades en bases de datosJuan Carlos
 
Seguridad Base De Datos
Seguridad Base De DatosSeguridad Base De Datos
Seguridad Base De Datosangela zambrano
 

Empfohlen

Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datosguestb40a1b0
 
SEGURIDAD DE BASE DE DATOS
SEGURIDAD DE BASE DE DATOSSEGURIDAD DE BASE DE DATOS
SEGURIDAD DE BASE DE DATOSAngel Feijo
 
Seguridad de la base de datos
Seguridad de la base de datosSeguridad de la base de datos
Seguridad de la base de datososandcr
 
Seguridad de base de datos
Seguridad de base de datosSeguridad de base de datos
Seguridad de base de datoscristian9908
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datosJose Alvarado Robles
 
Seguridad en el almacenamiento de las bases de datos
Seguridad en el almacenamiento de las bases de datosSeguridad en el almacenamiento de las bases de datos
Seguridad en el almacenamiento de las bases de datosjosecuartas
 
Seguridades en bases de datos
Seguridades en bases de datosSeguridades en bases de datos
Seguridades en bases de datosJuan Carlos
 
Seguridad Base De Datos
Seguridad Base De DatosSeguridad Base De Datos
Seguridad Base De Datosangela zambrano
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datosLuis Silva
 
Proteccion a la base de datos
Proteccion a la base de datosProteccion a la base de datos
Proteccion a la base de datosSergio Olivares
 
Las diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datosLas diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datosImperva
 
Integridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De DatosIntegridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De DatosDrakonis11
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datosJuan Quiroga
 
exposicion integridad y seguridad de las bases de datos
exposicion integridad y seguridad de las bases de datosexposicion integridad y seguridad de las bases de datos
exposicion integridad y seguridad de las bases de datosFernandoRamirez
 
Seguridad app web
Seguridad app webSeguridad app web
Seguridad app webPatriciaU
 
Seguridad en Base de Datos
Seguridad en Base de DatosSeguridad en Base de Datos
Seguridad en Base de Datosmyriam sarango
 
Seguridad Base de datos
Seguridad Base de datos Seguridad Base de datos
Seguridad Base de datos nataliaynecheevrry
 
Seguridad de base de datos
Seguridad de base de datos Seguridad de base de datos
Seguridad de base de datos paola403
 
Seguridad e integridad de datos
Seguridad e integridad de datosSeguridad e integridad de datos
Seguridad e integridad de datosGustavo Hdz
 
Unidad iv -_seguridad
Unidad iv -_seguridadUnidad iv -_seguridad
Unidad iv -_seguridadWhaleejaa Wha
 
CUESTIONES 19
CUESTIONES 19CUESTIONES 19
CUESTIONES 19majitoer
 
Seguridad En Sistemas Operativos
Seguridad En Sistemas OperativosSeguridad En Sistemas Operativos
Seguridad En Sistemas OperativosSebastián Bortnik
 
Ingrid 9-1
Ingrid 9-1Ingrid 9-1
Ingrid 9-1yenitatis
 
SEGUIRIDAD DE BASE DE DATOS
SEGUIRIDAD DE BASE DE DATOSSEGUIRIDAD DE BASE DE DATOS
SEGUIRIDAD DE BASE DE DATOSArgenis Riofrío
 
Seguridad de bases de datos
Seguridad de bases de datosSeguridad de bases de datos
Seguridad de bases de datosJuan Gusman Mejia
 
Seguridad
SeguridadSeguridad
SeguridadEmprendimiento Shalah
 
Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Juan Anaya
 
Cuestiones de repaso capitulo 19
Cuestiones de repaso capitulo 19Cuestiones de repaso capitulo 19
Cuestiones de repaso capitulo 19Fabricio Sanchez
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De DatosWilliam Suárez
 
que spss
que spssque spss
que spsskayhelonza
 

Weitere ähnliche Inhalte

Was ist angesagt?

Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datosLuis Silva
 
Proteccion a la base de datos
Proteccion a la base de datosProteccion a la base de datos
Proteccion a la base de datosSergio Olivares
 
Las diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datosLas diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datosImperva
 
Integridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De DatosIntegridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De DatosDrakonis11
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datosJuan Quiroga
 
exposicion integridad y seguridad de las bases de datos
exposicion integridad y seguridad de las bases de datosexposicion integridad y seguridad de las bases de datos
exposicion integridad y seguridad de las bases de datosFernandoRamirez
 
Seguridad app web
Seguridad app webSeguridad app web
Seguridad app webPatriciaU
 
Seguridad en Base de Datos
Seguridad en Base de DatosSeguridad en Base de Datos
Seguridad en Base de Datosmyriam sarango
 
Seguridad de base de datos
Seguridad de base de datos Seguridad de base de datos
Seguridad de base de datos paola403
 
Seguridad e integridad de datos
Seguridad e integridad de datosSeguridad e integridad de datos
Seguridad e integridad de datosGustavo Hdz
 
Unidad iv -_seguridad
Unidad iv -_seguridadUnidad iv -_seguridad
Unidad iv -_seguridadWhaleejaa Wha
 
CUESTIONES 19
CUESTIONES 19CUESTIONES 19
CUESTIONES 19majitoer
 
Seguridad En Sistemas Operativos
Seguridad En Sistemas OperativosSeguridad En Sistemas Operativos
Seguridad En Sistemas OperativosSebastián Bortnik
 
SEGUIRIDAD DE BASE DE DATOS
SEGUIRIDAD DE BASE DE DATOSSEGUIRIDAD DE BASE DE DATOS
SEGUIRIDAD DE BASE DE DATOSArgenis Riofrío
 
Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Juan Anaya
 
Cuestiones de repaso capitulo 19
Cuestiones de repaso capitulo 19Cuestiones de repaso capitulo 19
Cuestiones de repaso capitulo 19Fabricio Sanchez
 

Was ist angesagt? (20)

Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datos
 
Proteccion a la base de datos
Proteccion a la base de datosProteccion a la base de datos
Proteccion a la base de datos
 
Las diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datosLas diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datos
 
Integridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De DatosIntegridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De Datos
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datos
 
exposicion integridad y seguridad de las bases de datos
exposicion integridad y seguridad de las bases de datosexposicion integridad y seguridad de las bases de datos
exposicion integridad y seguridad de las bases de datos
 
Seguridad app web
Seguridad app webSeguridad app web
Seguridad app web
 
Seguridad en Base de Datos
Seguridad en Base de DatosSeguridad en Base de Datos
Seguridad en Base de Datos
 
Seguridad Base de datos
Seguridad Base de datos Seguridad Base de datos
Seguridad Base de datos
 
Seguridad de base de datos
Seguridad de base de datos Seguridad de base de datos
Seguridad de base de datos
 
Seguridad e integridad de datos
Seguridad e integridad de datosSeguridad e integridad de datos
Seguridad e integridad de datos
 
Unidad iv -_seguridad
Unidad iv -_seguridadUnidad iv -_seguridad
Unidad iv -_seguridad
 
CUESTIONES 19
CUESTIONES 19CUESTIONES 19
CUESTIONES 19
 
Seguridad En Sistemas Operativos
Seguridad En Sistemas OperativosSeguridad En Sistemas Operativos
Seguridad En Sistemas Operativos
 
Ingrid 9-1
Ingrid 9-1Ingrid 9-1
Ingrid 9-1
 
SEGUIRIDAD DE BASE DE DATOS
SEGUIRIDAD DE BASE DE DATOSSEGUIRIDAD DE BASE DE DATOS
SEGUIRIDAD DE BASE DE DATOS
 
Seguridad de bases de datos
Seguridad de bases de datosSeguridad de bases de datos
Seguridad de bases de datos
 
Seguridad
SeguridadSeguridad
Seguridad
 
Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.
 
Cuestiones de repaso capitulo 19
Cuestiones de repaso capitulo 19Cuestiones de repaso capitulo 19
Cuestiones de repaso capitulo 19
 

Andere mochten auch

Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De DatosWilliam Suárez
 
Definicion de variables seguridad informatica
Definicion de variables seguridad informaticaDefinicion de variables seguridad informatica
Definicion de variables seguridad informaticaMario Ortiz
 
3. elementos del lenguaje. variables y estructuras de datos
3. elementos del lenguaje. variables y estructuras de datos3. elementos del lenguaje. variables y estructuras de datos
3. elementos del lenguaje. variables y estructuras de datosPablo Pacheco
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
Bases De Datos Orientadas A Objetos2
Bases De Datos Orientadas A Objetos2Bases De Datos Orientadas A Objetos2
Bases De Datos Orientadas A Objetos2Cristina Huerta
 
Elementos del lenguaje variables y estructuras de datos
Elementos del lenguaje variables y estructuras de datosElementos del lenguaje variables y estructuras de datos
Elementos del lenguaje variables y estructuras de datosjnarchie
 
Tipos de datos, identificadores, variables y constantes 97 2003
Tipos de datos, identificadores, variables y constantes 97 2003Tipos de datos, identificadores, variables y constantes 97 2003
Tipos de datos, identificadores, variables y constantes 97 2003Joseluis Cruz Ramirez
 
Variables estadisticas
Variables estadisticasVariables estadisticas
Variables estadisticasfrangargil
 
Algoritmos de entrada, proceso y salida
Algoritmos de entrada, proceso y salidaAlgoritmos de entrada, proceso y salida
Algoritmos de entrada, proceso y salidaIsrael Alfonso
 
Algoritmo variables, constantes, tipos de datos y asignacion
Algoritmo variables, constantes, tipos de datos y asignacionAlgoritmo variables, constantes, tipos de datos y asignacion
Algoritmo variables, constantes, tipos de datos y asignacionBoris Salleg
 
Las variables en una investigacion cientifica
Las variables en una investigacion cientificaLas variables en una investigacion cientifica
Las variables en una investigacion cientificaprofesorrene
 
05 recodificar una variable de una base de datos
05 recodificar una variable de una base de datos05 recodificar una variable de una base de datos
05 recodificar una variable de una base de datosJorge Ramón Zarco Laveaga
 

Andere mochten auch (20)

Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
que spss
que spssque spss
que spss
 
Definicion de variables seguridad informatica
Definicion de variables seguridad informaticaDefinicion de variables seguridad informatica
Definicion de variables seguridad informatica
 
3. elementos del lenguaje. variables y estructuras de datos
3. elementos del lenguaje. variables y estructuras de datos3. elementos del lenguaje. variables y estructuras de datos
3. elementos del lenguaje. variables y estructuras de datos
 
Estadística
EstadísticaEstadística
Estadística
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
Tipos de-variables
Tipos de-variablesTipos de-variables
Tipos de-variables
 
Erwin. priones
Erwin. prionesErwin. priones
Erwin. priones
 
Bases De Datos Orientadas A Objetos2
Bases De Datos Orientadas A Objetos2Bases De Datos Orientadas A Objetos2
Bases De Datos Orientadas A Objetos2
 
Elementos del lenguaje variables y estructuras de datos
Elementos del lenguaje variables y estructuras de datosElementos del lenguaje variables y estructuras de datos
Elementos del lenguaje variables y estructuras de datos
 
Muestreo
MuestreoMuestreo
Muestreo
 
INTEGRIDAD DE DATOS
INTEGRIDAD DE DATOSINTEGRIDAD DE DATOS
INTEGRIDAD DE DATOS
 
Tipos de datos, identificadores, variables y constantes 97 2003
Tipos de datos, identificadores, variables y constantes 97 2003Tipos de datos, identificadores, variables y constantes 97 2003
Tipos de datos, identificadores, variables y constantes 97 2003
 
Variables
VariablesVariables
Variables
 
Variables estadisticas
Variables estadisticasVariables estadisticas
Variables estadisticas
 
Algoritmos de entrada, proceso y salida
Algoritmos de entrada, proceso y salidaAlgoritmos de entrada, proceso y salida
Algoritmos de entrada, proceso y salida
 
Tipos De Datos
Tipos De DatosTipos De Datos
Tipos De Datos
 
Algoritmo variables, constantes, tipos de datos y asignacion
Algoritmo variables, constantes, tipos de datos y asignacionAlgoritmo variables, constantes, tipos de datos y asignacion
Algoritmo variables, constantes, tipos de datos y asignacion
 
Las variables en una investigacion cientifica
Las variables en una investigacion cientificaLas variables en una investigacion cientifica
Las variables en una investigacion cientifica
 
05 recodificar una variable de una base de datos
05 recodificar una variable de una base de datos05 recodificar una variable de una base de datos
05 recodificar una variable de una base de datos
 

Ähnlich wie Seguridad en bases de datos

Seguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioSeguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioCarlos Soriano
 
Inyeccion sql
Inyeccion sqlInyeccion sql
Inyeccion sqlobispo28
 
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...Jesús Daniel Mayo
 
Cómo realizar un test de intrusión a una aplicación Web
Cómo realizar un test de intrusión a una aplicación WebCómo realizar un test de intrusión a una aplicación Web
Cómo realizar un test de intrusión a una aplicación WebEduardo Jalon
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 
Reporte de Seguridad
Reporte de SeguridadReporte de Seguridad
Reporte de Seguridadkiensoiyo
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016Gonzalo Vigo
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones webJose Mato
 
Reporte de seguridad
Reporte de seguridadReporte de seguridad
Reporte de seguridadJorge García
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Andrés Gómez
 
Privacidad En La Red
Privacidad En La RedPrivacidad En La Red
Privacidad En La Redxhelazz
 
Privacidad En La Red miguel laviña y carlos tomey
Privacidad En La Red miguel laviña y carlos tomeyPrivacidad En La Red miguel laviña y carlos tomey
Privacidad En La Red miguel laviña y carlos tomeyxhelazz
 
Privacidad En La Red
Privacidad En La RedPrivacidad En La Red
Privacidad En La Redxhelazz
 
Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0José Moreno
 
Hacking de servidores web OMHE
Hacking de servidores web OMHEHacking de servidores web OMHE
Hacking de servidores web OMHEHéctor López
 

Ähnlich wie Seguridad en bases de datos (20)

Seguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuarioSeguridad en la web no confíes en el usuario
Seguridad en la web no confíes en el usuario
 
Inyeccion sql
Inyeccion sqlInyeccion sql
Inyeccion sql
 
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
Evidencia Informe amenaza a las bases de datos - Gestión de la Seguridad Info...
 
Cómo realizar un test de intrusión a una aplicación Web
Cómo realizar un test de intrusión a una aplicación WebCómo realizar un test de intrusión a una aplicación Web
Cómo realizar un test de intrusión a una aplicación Web
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
 
Reporte de Seguridad
Reporte de SeguridadReporte de Seguridad
Reporte de Seguridad
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones web
 
Reporte de seguridad
Reporte de seguridadReporte de seguridad
Reporte de seguridad
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1
 
ciberataques
ciberataquesciberataques
ciberataques
 
Privacidad En La Red
Privacidad En La RedPrivacidad En La Red
Privacidad En La Red
 
Privacidad En La Red miguel laviña y carlos tomey
Privacidad En La Red miguel laviña y carlos tomeyPrivacidad En La Red miguel laviña y carlos tomey
Privacidad En La Red miguel laviña y carlos tomey
 
Privacidad En La Red
Privacidad En La RedPrivacidad En La Red
Privacidad En La Red
 
Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0Seguridad Base de Datos sql injection v1.0
Seguridad Base de Datos sql injection v1.0
 
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyecto
 
WebAttack - Presentación
WebAttack - PresentaciónWebAttack - Presentación
WebAttack - Presentación
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas web
 
Hacking de servidores web OMHE
Hacking de servidores web OMHEHacking de servidores web OMHE
Hacking de servidores web OMHE
 

Kürzlich hochgeladen

BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICABIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICAÁngel Encinas
 
Qué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaQué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaDecaunlz
 
origen y desarrollo del ensayo literario
origen y desarrollo del ensayo literarioorigen y desarrollo del ensayo literario
origen y desarrollo del ensayo literarioELIASAURELIOCHAVEZCA1
 
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptxLA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptxlclcarmen
 
Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Lourdes Feria
 
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdfMiNeyi1
 
2024 KIT DE HABILIDADES SOCIOEMOCIONALES.pdf
2024 KIT DE HABILIDADES SOCIOEMOCIONALES.pdf2024 KIT DE HABILIDADES SOCIOEMOCIONALES.pdf
2024 KIT DE HABILIDADES SOCIOEMOCIONALES.pdfMiguelHuaman31
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxYadi Campos
 
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdfNUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdfUPTAIDELTACHIRA
 
Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfProyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfpatriciaines1993
 
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Katherine Concepcion Gonzalez
 
Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024IES Vicent Andres Estelles
 
ACTIVIDAD DIA DE LA MADRE FICHA DE TRABAJO
ACTIVIDAD DIA DE LA MADRE FICHA DE TRABAJOACTIVIDAD DIA DE LA MADRE FICHA DE TRABAJO
ACTIVIDAD DIA DE LA MADRE FICHA DE TRABAJOBRIGIDATELLOLEONARDO
 
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxFernando Solis
 
Dinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes dDinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes dstEphaniiie
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESOluismii249
 
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSOCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSYadi Campos
 
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docxEliaHernndez7
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...JAVIER SOLIS NOYOLA
 

Kürzlich hochgeladen (20)

Tema 11. Dinámica de la hidrosfera 2024
Tema 11. Dinámica de la hidrosfera 2024Tema 11. Dinámica de la hidrosfera 2024
Tema 11. Dinámica de la hidrosfera 2024
 
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICABIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
 
Qué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaQué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativa
 
origen y desarrollo del ensayo literario
origen y desarrollo del ensayo literarioorigen y desarrollo del ensayo literario
origen y desarrollo del ensayo literario
 
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptxLA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
 
Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...
 
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
 
2024 KIT DE HABILIDADES SOCIOEMOCIONALES.pdf
2024 KIT DE HABILIDADES SOCIOEMOCIONALES.pdf2024 KIT DE HABILIDADES SOCIOEMOCIONALES.pdf
2024 KIT DE HABILIDADES SOCIOEMOCIONALES.pdf
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
 
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdfNUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
 
Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfProyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdf
 
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
 
Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024
 
ACTIVIDAD DIA DE LA MADRE FICHA DE TRABAJO
ACTIVIDAD DIA DE LA MADRE FICHA DE TRABAJOACTIVIDAD DIA DE LA MADRE FICHA DE TRABAJO
ACTIVIDAD DIA DE LA MADRE FICHA DE TRABAJO
 
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptx
 
Dinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes dDinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes d
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
 
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSOCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
 
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
 

Seguridad en bases de datos

  • 2. INTRODUCCIÓN A LA SEGURIDAD  Información almacenada en la base de datos debe estar protegida contra accesos no autorizados, la destrucción o alteración de datos con fines indebidos y contra la introducción accidental de inconsistencia.
  • 4. VIOLACIONES DE LA SEGURIDAD E INTEGRIDAD La pérdida de consistencia se debe: Anomalías en la Error lógico que Caídas de Anomalías a la distribución viola transacciones base de datos computadores transacciones Para respeta protecciones de base de datos Es más fácil prevenir la pérdida de consistencia de datos que prevenir el acceso mal intencionado a la base de datos
  • 5. Formas de acceso indebido Lectura de datos sin autorización (robo de información). Modificación de datos sin autorización. Destrucción no autorizada de los datos
  • 6. Niveles de seguridad para una base de datos: Físico El lugar donde se encuentran los sistemas debe estar protegido Humano Debe tener cuidado al conceder autorizaciones Sistema operativo Seguridad contra ataques exteriores Sistemas de bases de datos Garantizar que no se violen las restricciones de autorización
  • 7.
  • 8. ¿Que son las inyecciones de código SQL?  Es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos.  Consiste en la modificación de las consultas a nuestra base de datos a partir de los parámetros pasados por URL al script en PHP.
  • 9. ¿Dónde se origina este problema?  Por el incorrecto chequeo o filtrado de las variables.
  • 10. ¿Como saber si tu sitio puede ser hackeado con SQL Injection?  Simplemente agregale "/*" o una simple tilde, si te tira un error, tu sitio es vulnerable. Vamos a poner un ejemplo: Tu sitio es "http://www.tupagina.com/index.php?id=1" Lo comprobamos de la siguiente manera: "http://www.tupagina.com/index.php?id=1/*" o tambien asi: "http://www.tupagina.com/index.php?id=1'" como tambien de esta manera: "http://www.tupagina.com/index.php?id=1)" Si al colocar cualquiera de estas opciones da un error, tu sitio es vulnerable, por el contrario si tu sitio sigue mostrandose igual, tanto tu SQL como tu plantilla php estan correctamente configurados.
  • 11. ¿Como realiza un hacker la inyección?  Simplemente verifica que el sitio sea vulnerable con las tecnicas que mencioné anteriormente, si lo es comienza el proceso de prueba. tu sitio es : "http://www.tupagina.com/index.php?id=1" asi que se comienza con el chequeo de tablas asi "-1 order by 1" hasta dar con el error "-1 order by 16" una vez alli ya sabemos que las tablas son menos de 16 mostrando el siguiente error "Unknown column '17' in 'order clause".
  • 12. ¿En que consiste? Validar el acceso de un usuario registrado utilizando SQL: $sql = "SELECT * FROM usr WHERE id = '" . $id ; $sql .= "' AND pwd = '" . $pwd . "'" ; Cuando se tienen valores para el nombre de usuario (id) y la contraseña del usuario (pwd) se tendrá una consulta normal a la base de datos que nos devolverá los datos del usuario si la contraseña es correcta: SELECT * FROM usr WHERE id = 'root' AND pwd = '4358'
  • 13.  Si intentamos modificar la consulta poniendo cómo contraseña ' OR '' = ' SELECT * FROM usr WHERE id = 'root' AND pwd = ' ' OR '' = ' '  Como '' siempre es igual a '', habremos modificado la consulta para que nos devuelva siempre los datos del usuario aunque la contraseña sea incorrecta, y el visitante malintencionado se podrá conectar como cualquier usuario.
  • 14.  el visitante malintencionado podra conseguir contraseñas, borrar, anñadir y modificar datos de nuestra base de datos... por eso es importanto que nos aseguremos que nuestro sitio es seguro en este aspecto.
  • 15. ¿Que debo hacer?  En el caso de que tu servidor haya dado resultado positivo, será porque no se preocupa de cambiar la comilla simple por ' , y en este caso, deberemos ser nosotros los que manualmente lo cambiemos de todas las variables pasadas tanto por URL como vía formulario:
  • 16. inyeccion.php  // Evitamos la inyeccion SQL // Modificamos las variables pasadas por URL foreach( $_GET as $variable => $valor ){ $_GET [ $variable ] = str_replace ( "'" , "'" , $_GET [ $variable ]); } // Modificamos las variables de formularios foreach( $_POST as $variable => $valor ){ $_POST [ $variable ] = str_replace ( "'" , "'" , $_POST [ $variable ]); }
  • 17. Incluiremos este script en todas las páginas realicemos consultas a la base de datos:  // Evitamos la inyeccion SQL include 'inyeccion.php' ; // // Contenido de la página PHP //