Upload File

sql injection - charruacharrua.org/presentaciones/leandropintos_charruacon_sqli.pdf~# distintos...

  • Home
  • Documents
  • SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind
27
SQL Injection 1º Edición - 11 y 12 de Mayo Montevideo, Uruguay

Upload: others

Post on 19-Apr-2020

11 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind

SQLInjection

1ºEdición-11y12deMayoMontevideo,Uruguay

Page 2: SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind

• LeandroPintosa.k.al34r00t• Pentester@MkitArgentina• Colaboradoren:

~#Sobremí

SQLiynomorirenelintentoSQLInjection

@[email protected]

http://www.andsec.org/

mailto:[email protected]
http://www.andsec.org
Page 3: SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind

•Elcontenidoexpuestoenlasiguientepresentaciónes exclusivamente de carácter educativo para quelospresentesconozcanlagravedaddeunataquedeSQLInjectionycómoprotegersedelmismo.

•Loaprendidoenestacharlaesparaquelopuedanreplicar en sus laboratorios privados, y asíaprendercómoprotegersusaplicacionesweb.

SQLiynomorirenelintento

~#Disclaimer

SQLInjection

Page 4: SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind

• Presentación• ¿QuéesOWASP?• ¿QuéesSQLi?• Funcionamientodeunaaplicaciónweb• ¿Porquéocurrelainyección?• DistintostiposdeinyeccionesSQL• IntroducciónaconsultasSQL• Demotime;)• HerramientasparaataquesautomatizadosdeSQLi• Recomendaciones• SQLienelmundoreal• Conclusión

SQLiynomorirenelintento

~#Agenda

SQLInjection

Page 5: SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind

~#¿QuéesOWASP?• ProyectoabiertodeSeguridadenAplicacionesWeb

(OpenWebApplicationSecurityProject)• Sinfinesdelucro.• Proporcionamaterialcolaborativoalacomunidad.• Soportadaatravésdedonaciones.• Promueveeldesarrollosegurodesoftware.• Crea conciencia acerca de la seguridad enaplicacionesweb.

• OWASPTop10

https://www.owasp.org/index.php/Main_Page

SQLiynomorirenelintentoSQLInjection

https://www.owasp.org/index.php/Main_Page
Page 6: SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind

~#OWASPTop10

SQLiynomorirenelintentoSQLInjection

Page 7: SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind

~#¿QuéesSQLi?

Es una vulnerabilidad que permite a unusuario malintencionado realizar consultasSQLdeformaarbitrariaalabasededatospormediodelaaplicaciónweb.

SQLiynomorirenelintentoSQLInjection

Page 8: SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind

~#Funcionamientodeunaaplicaciónweb

SQLiynomorirenelintento

Funcionamientonormal

Servidor de Aplicaciones

Servidor de Base de Datos

El usuario realiza una petición (GET/ POST) a una pagina web.

La aplicación recibe la solicitud y realiza la consulta SQL a la Base de Datos

para obtener el resultado.

El usuario recibe el resultado mostrado por la aplicación web.

La Base de datos ejecuta la consulta SQL y devuelve el resultado a la aplicación web.

1 2

34

http://mipoc.com.ar/buscar.php?id=1

ID Articulo Precio

1 Mesa ARS500

SQLInjection

Page 9: SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind

~#Funcionamientodeunaaplicaciónweb

SQLiynomorirenelintento

Funcionamientomodificado

Servidor de Aplicaciones

Servidor de Base de Datos

La aplicación recibe la solicitud y realiza la consulta SQL a la Base de Datos.

El usuario malicioso logra obtener información arbitraria de la base de datos.

La Base de datos ejecuta la consulta SQL y devuelve el resultado requerido.

1 2

34

El usuario malicioso modifica el envío GET/POST, colocando en la URL sentencias SQL.

http://mipoc.com.ar/buscar.php?id=1+sentencia_SQL

ID Articulo Precio

1 Mesa ARS500

SQLInjection

Page 10: SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind

~#¿PorquéocurrelainyecciónSQL?

SQLiynomorirenelintento

Sedebeaquenoserealizauncorrectofiltradodevariables permitiendo el envío de consultas a labasededatosmediantelaaplicaciónweb.

SQLInjection

Page 11: SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind

~#DistintostiposdeinyeccionesSQL

SQLiynomorirenelintento

•InyecciónSQLaformulariodeLoginSe evidencia cuando se logra realizar una sentencia sql de talmanera que enviando una expresión lógica su resultado sea unresultadoseasiempreverdadera(TRUE).Deestamaneraobtenemosunusuariovalidodelabasededatos.

SQLInjection

Page 12: SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind

~#DistintostiposdeinyeccionesSQL

SQLiynomorirenelintento

•InyecciónSQLbasadaenerrores(ErrorBased)Se evidencia cuando el motor de la base de datos recibe unasentenciaquenolograprocesar,devolviendounmensajedeerror.

SQLInjection

Page 13: SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind

~#DistintostiposdeinyeccionesSQL

SQLiynomorirenelintento

•InyecciónSQLCiega(BlindSQLInjection)Seevidenciacuandounawebappmuestrauncomportamientodistintoalonormaldependiendodeltipodeconsultarealizadaalabasededatos.

• Boolean-BasedSQLiApartirdelcomportamientodelarespuestadelawebappselograextraerlainformaciónenbaseavaloresTrueoFalse.

• Time-BasedSQLiSe utiliza la lógica para extraer la información de la base dedatosdependiendodeltiempoderespuestadelaconsultarealizada.

SQLInjection

Page 14: SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind

IntroducciónaconsultasSQL

SQLiynomorirenelintentoSQLInjection

Page 15: SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind

~#ComandosbásicosautilizarenunservidorSQL

SQLiynomorirenelintento

SELECT Seleccionalosregistrosdentrodeunatabla.

FROM Establecelatabladelacualsevanaseleccionarlosregistros.

WHERE Establecelascondicionesquedebenreunirlosregistrosquesevanaseleccionar.

UNION Uneconsultasylasconcatenaenunúnicoresultado.

ORDERBY Ordenalosregistrosseleccionadosdeacuerdoconunordenespecifico.

LIMIT UtilizadaparalimitarlosregistrosqueseretornanenunaconsultaSELECT.

SQLInjection

Page 16: SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind

~#ParámetrosbásicosautilizarenunservidorSQL

SQLiynomorirenelintento

' SirveparaestablecercadenasdeltipoSTRING

; Sirveparaindicarlafinalizacióndeunasentencia.

-- Sirveparacomentarelrestodetextoenlasentencia.

+ Esutilizadoparagenerarespaciosenlaurl.

<,>,= Operadorescomparativosdedatos.

or,and Operadoreslogicos.

SQLInjection

Page 17: SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind

SQLiynomorirenelintentoSQLInjection

Page 18: SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind

~#AlgunasherramientasparaataquesautomatizadosdeSQLi

SQLiynomorirenelintento

http://sqlninja.sourceforge.net

http://www.sqlpowerinjector.com

http://sqlmap.org

https://github.com/BCable/sqlier

SQLInjection

http://sqlninja.sourceforge.net
http://www.sqlpowerinjector.com
http://sqlmap.org
https://github.com/BCable/sqlier
Page 19: SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind

SQLiynomorirenelintento

~#Recomendaciones• Verificarcorrectamenteelinputdelusuario• Aplicar filtros que eviten los caracteresespeciales

https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

SQLInjection

https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
Page 20: SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind

SQLiynomorirenelintento~#Recomendaciones

Ejemplo:

• addslashesFunción en PHP la cual devuelve un string con barrasinvertidas, escapando comillas simples, comillas dobles,barrainvertida,yelNUL(elbyteNULL).

SQLInjection

Page 21: SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind

SQLiynomorirenelintento~#Recomendaciones

Ejemplo:

• mysql_real_escape_stringEscapa caracteres especiales en una cadena para su uso enunasentenciaSQL.

• htmlentitiesConviertetodosloscaracteresaplicablesaentidadesHTML.

• preg_replaceRealizaunabúsquedaysustitucióndeunaexpresiónregular.

SQLInjection

Page 22: SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind

SQLiynomorirenelintento~#Recomendaciones

Ejemplo:

SQLInjection

Page 23: SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind

SQLiynomorirenelintento

~#SQLienelmundoreal

SQLInjection

Page 24: SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind

SQLiynomorirenelintento

~#SQLienelmundoreal

https://www.akamai.com/StateOfTheInternet/

SQLInjection

https://www.akamai.com/StateOfTheInternet/
Page 25: SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind

SQLiynomorirenelintento

~#Conclusión

• Buenasprácticasdedesarrolloseguro.• Analizarlaswebappsantesdesaliraproducción.• Análisisperiódicosalaswebappsestandoenproducción.

• Charlasalasgerenciasdedesarrollosobrelagravedaddeesteataque.

• Tomarconciencia.

SQLInjection

https://www.akamai.com/StateOfTheInternet/
Page 26: SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind

SQLiynomorirenelintentoSQLInjection

Page 27: SQL Injection - Charruacharrua.org/presentaciones/LeandroPintos_CharruaCon_SQLi.pdf~# Distintos tipos de inyecciones SQL SQLi y no morir en el intento • Inyección SQL Ciega (Blind

@leapintos [email protected]

mailto:[email protected]

Introduction to SQL. SQL What is SQL SQL Components Syntax & Conventions SQL Data Types INNER JOIN SELECT Statements

SQL Server Storage Engine. Software architect at Red Gate Software Responsible for SQL tools: ◦ SQL Compare, SQL Data Compare, SQL Packager ◦ SQL

MY SQL SQL PL/SQL

Transact-SQL - Yaroslavl State University · 2013-09-10 · Microsoft SQL Transact-SQL Microsoft Jet/Access Jet SQL MySQL SQL/PSM (SQL/Persistent Stored Module) Oracle PL/SQL (Procedural

COURS SQL SQL*Plus PL/SQL

New La Gusana Ciega · 2016. 6. 23. · La Gusana Ciega is a Mexican alternative rock band based in Mexico City, considered one of the most in˜uential acts in the national scene

SQL Within PL / SQL Chapter 4. 2 SQL Within PL / SQL SQL Statements DML in PL / SQL Pseudocolums Transaction Control

SQL & ADVANCED SQL

kit-barba-ciega...Title: kit-barba-ciega.pdf Author: Ana Created Date: 4/19/2020 6:37:20 PM

15/16 School-wide Behavior Plan Boca Ciega High …webfiles.pcsb.org/swbp/Boca_Ciega_High_School_SWBP.pdf · Boca Ciega High School 10/8/2015 Goal 1 Present Level of Performance

PUMA Reference Map - Census.gov...Tampa Bay Boca Ciega Bay Main Chnnl Devils Elbow East Bay North Lk Hayes Byu Boca Ciega Bay Mc Kay Bay Seneca Sound Hillsborough Bay 175 375 75 75

Inyecciones intravítreas. Efectividad y seguridad en ... · PDF filede Tecnologías y pResTaciones del sisTema nacional de salud. Inyecciones intravítreas. Efectividad y seguridad

Moving MS SQL Express Database to MS SQL Server. SQL Express Database to SQL Server.pdf · Moving MS SQL Express Database to MS SQL Server. Install Application Software & SQL Server

PL/SQL PL/SQL stands for Procedural Language/SQL. PL/SQL extends SQL by adding constructs found…

Sql no sql

DBI319. Demo SQL Server 2005 SP2 SQL Server 2008 SQL Server 2000 SP4 SQL Server 2008 R2 SQL Server 2008 SP2 SQL Server 2008 R2 SQL

The SQL Standard - NPTELnptel.ac.in/courses/106106095/pdf/4_The_SQL_Standard.pdf · The SQL Standard • SQL ... Embedded SQL and Dynamic SQL Specifies how SQL commands can be embedded

kit-barba-ciega · Title: kit-barba-ciega.pdf Author: Ana Created Date: 4/20/2020 7:24:42 PM

[MS-TSQLISO14]: SQL Server Transact-SQL ISO/IEC …€¦ · SQL Server Transact-SQL ISO/IEC 9075-14 Standards Support Document Transact-SQL Transact-SQL, (§D). . . . , , , , , ,

IBM in SQL...SQL PL/I 88 SQL PL/I 88 SQL PL/I 88 SQL PL/I 88 SQL PL/I WHENEVER 88 SQL PL/I 88 SQL PL/I 89 SQL PL/I 89

Practical Sql - Microsoft Sql Server T-SQL for Beginners

Inyecciones de toxina botulínica para el tratamiento de la disfonía

The SQL* Family: SQL*Plus, SQL Developer and SQLcl

SQL Rally 2012 - масштабируемость SQL Server и SQL Azure

Diabetes in Spain content publishing & distribution workflow Pancreatically Challenged! Diabetes Tipo 1, (mdi) múltiples inyecciones diarias desde 1998

440900914440900 - kutub-download.com · 440900914440900 2 : 1-Microsoft SQL Server 2-Visual Basic.NET Visual Basic.NET SQL SQL Server SQL Server Microsoft SQL Server SQL

SQL Server 2012 - SQL, Transact SQL

Noticiero Bilingüe news · Inyecciones para quemar grasa Supresores de apetito Programas personalizados Consejos de ejercicio y nutrición Terapia de reemplazo hormonal Atención

P0fi&a4, DISPOSlcaON N ít?~edadQ.ee ,,4.'Jt:7It.A. 7, · Novartis DESFERAL@ METASULFONATO DEDESFERRIOXAMINA Frasco-ampolla conlasustancia activasecapara inyecciones Venta bajoreceta

LOGO 1 Lab_02: Basic SQL. 2 Outline Database Tables SQL Statements Semicolon after SQL Statements? SQL DML and DDL SQL SELECT Statement SQL

lecture 5: SQL embedded SQL, external applications, SQL…kopecky/vyuka/dbs/lecture05bw.pdf · lecture 5: SQL – embedded SQL, external applications, SQL/XML course: Database Systems

Aplikativni SQL - poincare.matf.bg.ac.rspoincare.matf.bg.ac.rs/~gordana/SQLC.pdf · Aplikativni SQL • Interaktivni SQL • Aplikativni SQL – Statički SQL – Dinamički SQL •

Tampa Bay National Estuary Program Technical Publication ......Boca Ciega Bay, October 1995 14 Figure 3-6. Abundance of Tellina spp. (Bivalvia, Tellinidae), by station, in Boca Ciega

Fe Ciega: A Year of Pinot Noir

Boca Ciega JROTC SENIOR SLIDE SHOW 2007