mario y carlos 9 1

SEGURIDAD EN BASE DE

DATOS

La seguridad en las base de datos es un

mecanismo fundamental ya que todo de

sistema informatizado esta expuesto a

cualquier tipo de amenazas de daño,

enormes y desastrosas como pequeñas y

leves pero que de una manera u otra causan

perdida de confidencialidad.


DATOS

AMENAZAS

Se deben considerar las amenazas para cada

tipo de empresa donde se implementara el

sistema de base de datos, ya que pueden

haber amenazas particulares a las que se este

mas expuesto.

ATAQUE A UNA BASE DE DATOS

MYSQL CON INJECTION SQL

• Buscar una pagina vulnerable, para aplicar el ataque de «Injection Sql», esto lopodemos hacer ingresando en google y buscando «allinurl:noticias.php?id= »

• Abrimos la herramienta Sqli Helper y pegamos la Url de la pagina que queremosvulnerar en la parte del target, luego damos clic en Inject, para probar

• Posteriormente el programa comienza a chequear los datos de la

página en donde podemos determinar que tipo y versión de base de

datos tiene

• Luego damos click en «Get Database», seleccionamos unos de los

elementos que nos aparecen en el cuadro de «Database Name», y

luego damos click en la opción «Get Tables»

• Luego de dar click en «Get Tables», podemos observar que el

programa nos obtiene el nombre de las tablas pertenecientes a la base

seleccionada

• Señalamos una de las tablas y luego damos click en «Get Columns», y

nos aparece un cuadro con los nombre de cada una de las columnas de

esa tabla, en este caso hemos seleccionado la tabla user para obtener

el login y pass del usuario

• Finalmente seleccionamos las columnas de las cuales queremos

obtener los datos y damos click en «Dump Now», y así obtenemos el

nombre de usuario y la contraseña para poder manipular la pagina a

nuestro gusto


DATOS

CONTRAMEDIDAS

Las contramedidas que se toman para

enfrentar las amenazas pueden ser físicas

y administrativas

CONTROLES INFORMATIZADOS

PARA ENTORNOS

MULTIUSUARIOSAutorización es como el poder administrativo

que se necesita para acceder legítimamentea un sistema

La autenticación es la validación de identidaddel usuario.


DATOS Controles de acceso

Existen dos tipos de controles: Control de accesosdiscrecional (DAC).- emplea un mecanismo de SQLconocido con el nombre de control de accesosdiscrecional.

Control de acceso obligatorio (MAC).- se basa enpolíticas de nivel de sistema que no pueden sermodificadas por usuarios individuales.


DATOS Vistas

Este mecanismo de vistas proporciona un sistema

de seguridad potente y flexible, al ocultar partes

de la base de datos a ciertos usuarios.

Son relaciones virtuales que no existen en

realidad en la base de datos


DATOS Copias de seguridad

Tener respaldos de la BD actualizados para cuando se

produzcan errores de perdida de datos, para garantizar la

integridad física de los datos.

Integridad

La seguridad en un SGDB se trata de impedir la distorsión de la

DB, mediante esta se pretende proteger la base de datos

contra operaciones que introduzcan inconsistencias en los

datos

Cifrado

Es ocultar los caracteres legibles de una clave


DATOS Tecnología RAID

Matriz redundante dediscosindependientes

Es un tipo detecnología que se loestablece para quefuncioneredundantementeen los fallos que sevaya presentando


DATOSSEGURIDAD EN SGBD DE MICROSOFT OFFICE ACCESS

Se basa en la configuración de una contraseña general para losdiferentes usuarios y un permiso a nivel de privilegios paracada usuario

EN SGBD DE ORACLE

Entre los privilegios que pueden accederse en Oracle estarían los derechos a: Conectarse a la base de datos (crear una sesión)

Crear una tabla


DATOS Seguridad de un SGBD en entornos webDebemos incluir para este tipo de seguridad: los servidores proxy,

cortafuegos, algoritmos de compendio de mensajes y firmas

digitales, certificados digitales, kerberos, Secure Sockets Layer

(SSL) y secure HTTP (S-HTTP), secure electronic Transactions

(SET), etc.

mario y carlos 9 1

Economy & Finance