M2 com practico_arodri

GUÍA No. 1 - COMPONENTE PRACTICO

ANDRES ORLANDO RODRIGUEZ SANTACRUZCód. 98.396.027

TUTOR UNADMSc. JESUS EMIRO VEGA

Ingeniero de Sistemas

UNADESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E

INGENIERÍAESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA

SEGURIDAD EN BASES DE DATOS – Cód. No. 233009SEPTIEMBRE DE 2014

UNAD - Seguridad en Bases de Datos - Guía No. 1 componente práctico

2

OBJETIVOS

• Realizar ataque por inyección de código SQL, Sniffing, DNS Spoofing y troyano.

• Identificar los posibles ataques a los cuales se puede exponer un sistema de información.

• Conocer técnicas para detectar los posibles ataques a los sistemas de información.

• Realizar adecuadamente métricas de seguridad que solidifiquen los buenos procesos y prácticas en las bases de datos de cualquier organización.


3

Ataque por inyección de código SQL.


4

Paso No. 1. Descargue e instale la máquina virtual Virtualbox. Para descargar la máquina virtual lo puede hacer desde la página https://www.virtualbox.org/wiki/Downloads.

Paso No. 2: Descargue BadStore, para descargar Badstore lo puede hacer desde la página web http://www.badstore.net y presionamos donde dice DOWNLOADTHE DEMO (necesitaremos registrarnos para poder descargar).

Paso No. 3: Una vez instalada la máquina virtual se procede a la configuración para instalar BadStore.

Paso No. 4: Descargue el programa SQLMAP para realizar ataque por inyección de código SQL (URL: http://sqlmap.org/).

Paso No. 5: Realizar un ataque a la base de datos de Badstore, con lo cual se debe obtener toda la información sobre la base de datos por ejemplo servidor de BD y versión, nombre de la base de datos, nombre de las tablas, información de las tablas, información de las columnas, etc.

https://www.virtualbox.org/wiki/Downloads

http://sqlmap.org/


5

Paso No. 6: Con el fin de ejecutar a el ataque tipo inyección de código SQL a la base de datos BadStore, se instalará en el navegador web Mozilla Firefox versión 32.0.2. el complemento denominado TAMPER DATA.


6

Paso No. 7. Teniendo la base de datos BadStore configurada dentro de la máquina virtual, procedemos a verificar la dirección IP del adaptador de red, mediante el comando IFCONFIG.


7

Paso No. 8. Accedemos a la base de datos BadStore desde el navegador web Mozilla Firefox empleando dirección IP 192.168.56.101


8

Paso No. 9: Se realiza el ingreso de información al formulario de registro usuario. Luego se ejecuta el complemento Tamper Data y hacemos clic en el botón “Comenzar modificación”.


9

Paso No. 10: Se realiza el registro del usuario. Mediante el complemento Tamper Data, se cambia el rol de usuario al de administrador.


10

Paso No. 11: Ahora, ingresamos al sitio web con el rol de administrador usando la cambiando la URL de esta manera:

http://192.168.56.101/cgi-bin/badstore.cgi?action=register

http://192.168.56.101/cgi-bin/badstore.cgi?action=admin


11

Paso No. 12: En este caso, se tiene acceso a los reportes de ventas, adicionar y borrar usuarios de la base de datos, listar los usuarios, hacer una copia de seguridad y verificar las variables de entorno.


12

Paso No. 13: Como ejemplo de penetración a la base de datos Badstore, visualizamos la información del reporte de ventas para el día 29 de septiembre de 2014 a las 12:36 p.m.


13

Paso No. 14: Por último, accediendo a la tabla de las variables de entorno podemos precisar toda la información acerca del servidor de la base de datos.


14

Ataque con inyección de código SQL a sitio web.


15

Realizar un ataque a la base de datos del sitio http://testphp.vulnweb.com, con lo cual se debe obtener toda la información sobre la base de datos por ejemplo servidor de BD y versión, nombre de la base de datos, nombre de las tablas, información de las tablas, información de las columnas, etc.


16

Paso No. 1: Instalamos la versión 2.7 de Phyton en la misma unidad de disco que el s.w. sql map. Luego, iniciamos con el comando para identificar el nombre de la base de datos: sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 --dbs

Como resultado observamos que existen 2 base de datos denominadas acuart e information_schema.


17

Paso No. 2: Luego, iniciamos con el comando para identificar las tablas de la base de datos acuart:

sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 -D acuart --tables

Como resultado observamos que existen 8 tablas en la bases de datos denominada acuart.


18

Paso No. 3: Luego, iniciamos con comando para identificar las columnas de una tabla de la base de datos acuart, es esta caso seleccionamos la tabla artists.

sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 -D acuart -T artists –-columns

Como resultado observamos que existen 3 columnas en la tabla artists de la bases de datos acuart.


19

Paso No. 4: Luego, iniciamos con el comando para extraer los datos de la columna aname de la tabla artists de la base de datos acuart.

sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 -D acuart -T artists –C aname –-dump

Como resultado, observamos que existen los siguientes datos en la columna anime de la tabla artists de la bases de datos acuart.


20

Ataque por Sniffing


21

Paso No. 1: Para esta práctica se debe descargar el software Wireshark desde el sitio web http://www.wireshark.org/download.html, este está catalogada como una de las mejor herramientas para el análisis de datos de transmisión de redes.

Toda la práctica sirve para descubrir que las aplicaciones por lo general envían cierta información en texto plano, como usuario y contraseña de la Base de datos y consultas SQL.


22

Paso No. 2: La práctica consiste en la instalación del software Wireshark, luego con el software en ejecución tomar una observación prolongada, generando tráfico ftp, telnet, http, icmp, entre otro, observar que se muestran los passwords en claro y observarlas capacidades para obtener datos estadísticos por parte de Wireshark.


23

Paso No. 3: Arranque el navegador de Internet Mozilla Firefox y realice el acceso al campus virtual de la UNAD (URL: https://campus.unadvirtual.org/campus/) ingresando la información de usuario y contraseña. También se realiza un envío y recepción de información para ver el comportamiento del software.


24

Paso No. 4: Una vez terminado el proceso de captura, iniciamos el análisis de los paquetes identificando qué tipo de información se puede obtener a través de este tipo de ataque.

Como resultado del ataque, en esta ventana podemos observar de que IP a que IP se mueven los paquetes, mediante cual protocolo y ver el contenido del paquete.


25

Paso No. 5 - Filtros por IP: Ingresamos en el filtro: ip.addr == 190.66.14.221. En este caso, Wireshark nos muestra los paquetes correspondientes a esta dirección IP.


26

Paso No. 6 - Filtros por Protocolo: Con un sniffer, podemos obtener datos muy importantes, desde cookies hasta usuarios y contraseñas. Algunos de los filtros son: tcp, http, pop, dns, arp, ssl, etc. Como ejemplo, se filtrarán los paquetes del protocolo TCP y veremos los resultados en la ventana del S.W. Wireshark:


27

Paso No. 7 - Filtros por dominio o host: Al ingresar el filtro http.host == “campus.unadvirtual.org”, Wireshark nos presenta el resultado en la siguiente pantalla.

Engineering

M2 com practico_arodri