Diapositiva 1

Inyeccin de SQLSQL InjectionInyeccin SQL: es una vulnerabilidad informtica en el nivel de la validacin de las entradas a la base de datos de una aplicacin.

El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con cdigo SQL.SQL InjectionLa meta de una inyeccin de SQL es insertar datos, leer informacin, borrar informacin o incluso ejecutar comandos del sistema operativo donde esta la BD.Que es? UN ERROR de programacin

Quien es el responsable?90% el programador10% el lenguaje backend

Razones: Descuidos, displicencias, ignoranciaSQL InjectionPor qu se le llama inyeccin de SQL?

Este tipo de ataque va dirigido a modificar una instruccin SQL valindose de los errores de programacin de la aplicacin.SQL InjectionUSUARIOPASSWORDNOMBRECORREOTELEFONOsandralkjhSandra Gonzalezsandra@sitec.com555-112233alexqwertyAlejandro Martinezalex@sitec.com555-243546dianaasdfgDiana Moralesdiana@sitec555-125689moiseszxcvbMoises Alvarezmoises@sitec.com555-102938SELECT * FROM usuarios where usuario = "alex

Resultado:2, 'alex', 'qwerty', 'Alejandro Martinez', 'alex@sitec.com', '555-243546'SQL InjectionSELECT * FROM usuarios where usuario = "alex" or 1=1;

1, 'sandra', 'lkjh', 'Sandra Gonzalez', 'sandra@sitec.com', '555-112233'2, 'alex', 'qwerty', 'Alejandro Martinez', 'alex@sitec.com', '555-2435463, 'diana', 'asdfg', 'Diana Morales', 'diana@sitec.com', '555-1256894, 'moises', 'zxcvb', 'Moises Alvarez', 'moises@sitec.com', '555-102938'SQL InjectionTipos de ataque:Aplicaciones basadas en WEBValidacin de usuario/passwordInyeccin de cdigo por mtodo GETInyeccin de cdigo por mtodo POST

Ejemplos de ataques