• Home

  • Documents

  • Los Diez Riesgos Más Importantes en Aplicaciones WEB Top 10-2010

If you can't read please download the document

Los Diez Riesgos Más Importantes en Aplicaciones WEB Top 10-2010

  • Upload
    shadi

  • View
    51

  • Download
    0

Embed Size (px)

DESCRIPTION

Los Diez Riesgos Más Importantes en Aplicaciones WEB Top 10-2010. A1-Inyección. Oscar William Monsalve Luis Alberto Suarez Jorge Eliecer Betancur Diana Marcela Usuga G. A1 – Inyección El atacante envía texto que se aprovecha de la sintaxis del interprete de destino - PowerPoint PPT Presentation

Citation preview

Presentacin de PowerPoint

Los Diez Riesgos Ms Importantes en Aplicaciones WEB Top 10-2010 A1-Inyeccin

Oscar William Monsalve Luis Alberto Suarez Jorge Eliecer Betancur Diana Marcela Usuga G.

A1 Inyeccin

El atacante enva texto que se aprovecha de la sintaxis del interprete de destino

Casi cualquier fuente de datos puede ser un vector de la inyeccin

Las fallas de inyeccin se producen cuando una aplicacin enva los datos no confiables a un interprete (SQL,LDAP,Xpath,etc)

Las fallas de inyeccin son muy frecuentes

Inyeccin de cdigo SQL

La inyeccin de cdigo SQL es una tcnica de ataque usada para explotar sitios web que construyen sentencias SQL a partir de entradas facilitadas por el usuario.

Inyeccin LDAP

La inyeccin LDAP es una tcnica de ataque usada para explotar sitios web que construyen sentencias LDAP a partir de datos de entrada suministrados por el usuario.

Inyeccin de cdigo SSI

La inyeccin de cdigo SSI (Server-side Include) es una tcnica de explotacin en la parte servidora que permite a un atacante enviar cdigo a una aplicacin web, que posteriormente ser ejecutado localmente por el servidor web.

Inyeccin Xpath

La inyeccin XPath es una tcnica de ataque utilizada para explotar sitios web que construyen consultas Xpath con datos de entrada facilitados por el usuario.

Como evitar

ASIGNACION DE MNIMOS PRIVILEGIOS.VALIDAR TODAS LAS ENTRADASEMPLEO DE PROCEDIMIENTOS ALMACENADOSUTILIZAR COMILLAS DOBLES EN LUGAR DE SIMPLES

Pruebas

Las pruebas de inyeccin se enfocaron en:

Ataques a ciegasUna comillaUna condicin verdadera

Una condicin verdadera' or 1=1 limit 1,1 -- a

Se ingresa en ambos campos la misma sentencia

Da la posibilidad de acceder a todos los perfiles como proveedor

Una comilla

Ingreso en la URL una comilla sencillaDebera aparecer un mensaje de error y en el caso de ser vulnerable los campos de usuario y contrasea

Ataques a ciegas (Blind SQL injection)

http://example/article.asp?ID=2+and+1=1

Trae la misma pagina porque la sentencia and 1=1 es verdadera pero si cambia 1=0 y genera error puede encontrar vulnerabilidad

http://example/article.asp?ID=2 and (select count (*) from login)

Inicio adivinado el nombre de la tabla y luego cada uno de los campos (*)

IdUserPaswoord

and (select lenght (paswoord)from login where id =3)

Hallamos la longitud del id =3

and (select lenght (paswoord)from login where id =3)=7

Hallamos la longitud del paswoord=7

and (select lenght (user)from login where id =3)=25

Hallamos la longitud del user=25

Fin de la presentacin GRACIAS !!


LOS DIEZ ESTUDIOS DE GRABACIÓN MÁS IMPORTANTES DE

LOS DIEZ ESTUDIOS DE GRABACIÓN MÁS IMPORTANTES DE

Documents
Técnicas de posicionamiento top of mind & top of heart

Técnicas de posicionamiento top of mind & top of heart

Documents
VD NotaTecnica Atraccion Inversionveeduriadistrital.gov.co/sites/default/files/files... · Mejores ciudades para hacer negocios en América Latina. Tabla 1. Top diez de las ciudades

VD NotaTecnica Atraccion Inversionveeduriadistrital.gov.co/sites/default/files/files... · Mejores ciudades para hacer negocios en América Latina. Tabla 1. Top diez de las ciudades

Documents
Top Grading

Top Grading

Documents
1.1 DIEZ PUNTOS IMPORTANTES - annardx.com

1.1 DIEZ PUNTOS IMPORTANTES - annardx.com

Documents
Línea Del Tiempo Del Desarrollo de La Caficultura y Los Diez Eventos Más Importantes

Línea Del Tiempo Del Desarrollo de La Caficultura y Los Diez Eventos Más Importantes

Documents
Posicion Dorsal Categoria Nombre Apellidos TOP …...Posicion Dorsal Categoria Nombre Apellidos TOP INTENTOS Top BONUS INTENTOS 1 67 JVF-B-SUB16 MIRIAM DIEZ LUENGO 14 24 16 28 Clasifica

Posicion Dorsal Categoria Nombre Apellidos TOP …...Posicion Dorsal Categoria Nombre Apellidos TOP INTENTOS Top BONUS INTENTOS 1 67 JVF-B-SUB16 MIRIAM DIEZ LUENGO 14 24 16 28 Clasifica

Documents
Top diez de las especies en peligro de extincion

Top diez de las especies en peligro de extincion

Education
REGLAMENTO HASTA 50% DE DESCUENTO EN … · rosticeria tip top matagalpa rosticeria tip top rubenia rosticeria tip top b.horizonte rosticeria tip top c.jardin rosticeria tip top (colinas)

REGLAMENTO HASTA 50% DE DESCUENTO EN … · rosticeria tip top matagalpa rosticeria tip top rubenia rosticeria tip top b.horizonte rosticeria tip top c.jardin rosticeria tip top (colinas)

Documents
Premiaciones Ranking PAR · 2020. 11. 16. · Top 5 Privadas más de 1000 Colaboradores. Top 5 Privadas más de 1000 colaboradores. Top 5 privadas Chile. Top 5 Privadas. Top 10 privadas

Premiaciones Ranking PAR · 2020. 11. 16. · Top 5 Privadas más de 1000 Colaboradores. Top 5 Privadas más de 1000 colaboradores. Top 5 privadas Chile. Top 5 Privadas. Top 10 privadas

Documents
Diez herramientas importantes para un tecnico de computadoras

Diez herramientas importantes para un tecnico de computadoras

Technology
Los diez volcanes activos mas importantes

Los diez volcanes activos mas importantes

Documents
Cuaderno Top

Cuaderno Top

Documents
Los Diez Riesgos Más Importantes en Aplicaciones WEB Top 10-2010 A1-Inyección Oscar William Monsalve Luis Alberto Suarez Jorge Eliecer Betancur Diana Marcela

Los Diez Riesgos Más Importantes en Aplicaciones WEB Top 10-2010 A1-Inyección Oscar William Monsalve Luis Alberto Suarez Jorge Eliecer Betancur Diana Marcela

Documents
Top secret

Top secret

Documents
estudio top

estudio top

Documents
Top Exporta

Top Exporta

Documents
Top Gasolineras

Top Gasolineras

Documents
Sistemas de bisagras CLIP top BLUMOTION / CLIP top – bisagras

Sistemas de bisagras CLIP top BLUMOTION / CLIP top – bisagras

Documents
Los diez iventos tecnologicos mas importantes

Los diez iventos tecnologicos mas importantes

Documents
Top ikastolak

Top ikastolak

Documents
Top Impacto!

Top Impacto!

Design
Top Lenguajes

Top Lenguajes

Documents
Diez importantes ventajas del sistema de tabiquería seca

Diez importantes ventajas del sistema de tabiquería seca

Engineering
Camiseta (top)

Camiseta (top)

Documents
OWASP TOP 10 Los diez riesgos más importantes en aplicaciones web

OWASP TOP 10 Los diez riesgos más importantes en aplicaciones web

Documents
Presentation Top

Presentation Top

Design
Ficha Top Rommem & Top Arnon

Ficha Top Rommem & Top Arnon

Documents
Top diez de las herramientas Tic para educadores

Top diez de las herramientas Tic para educadores

Education
PLIEGO DE CONDICIONES 11 TOP nuevo - …...Sika Top® 209, Sika Top® Seal 107, Sika Top Armatec 110 EpoCem ®, Sika Top 121 Masa para Espatular, Sika Top 122 Mortero de Reparación,

PLIEGO DE CONDICIONES 11 TOP nuevo - …...Sika Top® 209, Sika Top® Seal 107, Sika Top Armatec 110 EpoCem ®, Sika Top 121 Masa para Espatular, Sika Top 122 Mortero de Reparación,

Documents