Flux rss
Necesitan su ayuda
Ataques de secuencia de comandos entre sitios (XSS)

Ataques de inyección SQL

Ingeniería social
Bookmark Favorito / Compartir
Attacchi da iniezione di comandi SQL Ataques por injeção de encomendas SQL Angriffe durch die Einschleusung von SQL Befehlen Attaques par injection de commandes SQL SQL injection attacks

Inyección SQL

Los ataques de inyección SQL atacan los sitios web que dependen de bases de datos relacionadas.

En este tipo de páginas Web, los parámetros se pasan a la base de datos como una consulta de SQL. Si un diseñador no verifica los parámetros que se pasan en la consulta de SQL, un hacker puede modificar la consulta para acceder a toda la base de datos e incluso modificar su contenido.

Algunos caracteres posibilitan coordinar varias consultas de SQL o ignorar el resto de la consulta. Al insertar este tipo de carácter en la consulta, un hacker puede ejecutar potencialmente la consulta que elija.

Ante la siguiente consulta, que espera un nombre de usuario como parámetro: 

SELECT * FROM usuarios WHERE nombre="$nombre";

Un intruso sólo necesita escribir un nombre, por ejemplo, "toto" O 1=1 O nombre="titi" para que la consulta quede de la siguiente manera: 

SELECT * FROM usuarios WHERE nombre="toto" OR 1=1 OR nombre="titi";

Con la consulta anterior siempre se realiza la cláusula WHERE, lo que significa que devolverá registros que corresponden a todos los usuarios.

Procedimientos almacenados

Además, algunos sistemas de administración de bases de datos, como por ejemplo Microsoft SQL Server, poseen procedimientos almacenados que posibilitan ejecutar comandos de administración. Estos procedimientos son potencialmente peligrosos ya que permiten que un usuario malintencionado ejecute comandos de sistema que puedan causar una posible intrusión.

Contramedidas

Estas son algunas reglas que pueden ayudarle a protegerse contra ataques de inyección SQL:

  • Verifique el formato de los datos de entrada y, en particular, si hay caracteres especiales;
  • No deje que se vean mensajes de error explícitos que muestren la consulta o parte de la consulta de SQL;
  • Elimine las cuentas de usuario que no se usen y especialmente las predeterminadas;
  • No acepte cuentas sin contraseñas;
  • Mantenga al mínimo los privilegios de las cuentas que se usan;
  • Elimine los procedimientos almacenados.


Última actualización el jueves, 16 de octubre de 2008, 15:43:31 .Este documento intitulado « Ataques de inyección SQL » de Kioskea (es.kioskea.net) esta puesto a diposición bajo la licencia Creative Commons. Puede copiar, modificar bajo las condiciones puestas por la licencia, siempre que esta nota sea visible.
Manuales de SQL Hola, aver si me pueden enviar una direccion donde existan manuales bien practicos de sql ya que recien me inicio en esto. Gracias Configuración: Windows XP Internet Explorer 6.0 es.kioskea.net/forum/affich-133898-manuales-de-sql
Ataques de secuencia de comandos entre páginas Web (XSS) Inyección de código malintencionado Los ataques por secuencias de comandos entre páginas Web (también conocidos como XSS o CSS) son ataques dirigidos a los páginas Web que muestran de forma dinámica el contenido de los usuarios sin verificar ni... es.kioskea.net/contents/attaques/cross-site-scripting.php3
Ataque SYN Ataque SYN El "ataque SYN" (también denominado "inundación TCP/SYN") consiste en saturar el tráfico de la red (denegación de servicio) para aprovechar el mecanismo de negociación de tres vías del protocolo TCP. Dicho mecanismo permite que cualquier... es.kioskea.net/contents/attaques/attaque-syn.php3
Gestión de parámetros SQLSQL presenta un cierto número de parámetros al nivel de Oracle que es posible visualizarlos mediante el comando: SHOW ALL Para modificar el de valor de un parámetro basta utilizar el comando: SET NOMBRE_PARAM VALOR PD: El artículo original... es.kioskea.net/faq/sujet-2948-gestion-de-parametros-sql
Salvar una impresora de inyección de tintaEste truco está dirigido a los que poseen una impresora de inyección de tinta en la que el cabezal y el cartucho de tinta están separados. Si los buses están bien obstruidos Si aun después de haberlos limpiado más de 50 veces, no pasa nada, y los... es.kioskea.net/faq/sujet-1597-salvar-una-impresora-de-inyeccion-de-tinta
Resultados de Ataques de inyección SQL
Visual studio y sql server 2005Hola, necesito ayuda de manera urgente, necesito aprender a conectar visual studio con sql server 2005 ocupando c#, quiero algun tutorial o algun ejemplo como un form de empleados o clientes y que se llenen los datos en el form, para luego dichos... es.kioskea.net/forum/affich-73886-visual-studio-y-sql-server-2005
CREAR BASE DE DATOS CON CODIGO EN SQLHola, quisiera saber la sintasis para crear bases de datos y tablas con codigo en sql 2005 para conectarla con visual studio .net 2005 y 2008. te agradeceria mucho la ayuda. ATT: virginia Configuración: Windows Vista Internet Explorer 7.0 es.kioskea.net/forum/affich-37666-crear-base-de-datos-con-codigo-en-sql
C sharp conexion bd sql serverHola, amigosss porfa necesito un ejemplo de ABM con Csharp (aplicacion windows) y una conexion a bas de datos (sql server 2005) Configuración: Windows XP Firefox 3.0.6 es.kioskea.net/forum/affich-122472-c-sharp-conexion-bd-sql-server
Resultados de Ataques de inyección SQL
Descargar Driver impresora color inyección de tinta HP Deskjet 3920Driver impresora color inyección de tinta HP Deskjet 3920. Para Windows XP/2000. Descárgalo, es GRATIS. Para encontrar el driver(archivo) fácilmente, crear una carpeta con el mismo nombre del modelo y guardarlo en esa carpeta. Hacer doble... es.kioskea.net/telecharger/telecharger-1773-driver-impresora-color-inyeccion-de-tinta-hp-deskjet-3920
Descargar Driver de impresora de inyección de tinta de Canon PIXMA iP1300 (Vista)Ahora tienes el driver de la impresora de inyección de tinta de Canon PIXMA iP1300. Para Windows Vista. Descárgalo, es GRATIS. Guarda tu driver en una carpeta (crea una carpeta con nombre igual al modelo), para tenerlo siempre ubicado, cuando lo... es.kioskea.net/telecharger/telecharger-5433-driver-de-impresora-de-inyeccion-de-tinta-de-canon-pixma-ip1300-vista
Descargar Driver de impresora de Canon inyección de tinta PIXMA iP4600Ahora tienes el driver de la impresora de Canon inyección de tinta PIXMA iP4600. Para Windows Vista/XP/2000. Descárgalo, es GRATIS. Guarda tu driver en una carpeta (crea una carpeta con nombre igual al modelo), para tenerlo siempre ubicado,... es.kioskea.net/telecharger/telecharger-1809-driver-de-impresora-de-canon-inyeccion-de-tinta-pixma-ip4600
Resultados de Ataques de inyección SQL
Israel sube videos de sus ataques en Gaza a sitio web YouTubeLa página de inicio de YouTube, en un ordenador de Hong Kong, el 2 de agosto de 2006. El ejército israelí creó su propio canal en el sitio web de difusión de videos YouTube, al que subió imágenes de su ofensiva de ataques aéreos contra Hamas en la... es.kioskea.net/actualites/israel-sube-videos-de-sus-ataques-en-gaza-a-sitio-web-youtube-11093-actualite.php3
Facebook combate el ataque de piratas informáticos contra sus usuariosEl logotipo del sitio de socialización en internet Facebook, que reinvindica 200 millones de miembros, en la pantalla de un ordenador, en una imagen de archivo. Los responsables de Facebook intentaban el viernes bloquear un ataque de piratas... es.kioskea.net/actualites/facebook-combate-el-ataque-de-piratas-informaticos-contra-sus-usuarios-11526-actualite.php3
La OTAN refuerza su respuesta contra los ataques cibernéticosVarios jóvenes probando videojuegos de ordenador en una visita a la Convención de Videojuegos celebrada el 23 de agosto de 2007 en la localidad alemana de Leipzig. La OTAN ha creado equipos especiales encargados de actuar en caso de ataques... es.kioskea.net/actualites/la-otan-refuerza-su-respuesta-contra-los-ataques-ciberneticos-10212-actualite.php3
Resultados de Ataques de inyección SQL
Ataque ping de la muerteAtaque ping de la muerte El ataque ping de la muerte es uno de los ataques de red más antiguos. El principio de este ataque consiste simplemente en crear un datagrama IP cuyo tamaño total supere el máximo autorizado (65.536 bytes). Cuando un paquete... es.kioskea.net/contents/attaques/attaque-ping-de-la-mort.php3
Ataques por desbordamiento de búferIntroducción al ataque por desbordamiento de búfer "Los ataques por desbordamiento de búfer" (también denominado saturación de búfer) están diseñados para activar la ejecución de un código arbitrario en un programa al enviar un caudal de datos mayor... es.kioskea.net/contents/attaques/buffer-overflow.php3
Introducción a los ataquesIntroducción a los ataques Cualquier equipo conectado a una red informática puede ser vulnerable a un ataque. Un "ataque" consiste en aprovechar una vulnerabilidad de un sistema informático (sistema operativo, programa de software o sistema del... es.kioskea.net/contents/attaques/attaques.php3
Resultados de Ataques de inyección SQL