Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

OBJETIVO. Realizar ataque por inyección de código SQL

Anuncio 
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería Nombre
Seguridad en bases de datos.
233009
Hoja de ruta
Guía de componente practico
Entorno de aprendizaje practico
OBJETIVO.
 Realizar ataque por inyección de código SQL, Sniffing, DNS Spoofing y troyano.
 Identificar los posibles ataques a los cuales se puede exponer un sistema de
información.
 Conocer técnicas para detectar los posibles ataques a los sistemas de información.
 Realizar adecuadamente métricas de seguridad que solidifiquen los buenos procesos y
prácticas en las bases de datos de cualquier organización.
METODOLOGÍA.
Las sesiones son desarrolladas en forma teórica-practica, el desarrollo de las actividades de
aprendizaje está basado en el aprendizaje individual y colaborativo como una estrategia de
aprendizaje y de trabajo de grupo que es usado en los cursos que se ofertan en el campus
virtual de la UNAD.
MOMENTO 2:
1. Ataque por inyección de código SQL.

Descargue e instale la máquina virtual Virtualbox. Para descargar la máquina virtual
lo puede hacer desde la páginahttps://www.virtualbox.org/wiki/Downloads.
Link de videos de como descargar e instalar Virtualbox:
www.youtube.com/watch?v=ORRixrwkc3Y
http://www.youtube.com/watch?v=VFYqm6Gva3k
http://carloszuluaga.wikidot.com/instalacion:virtualbox-windows-xp
http://www.youtube.com/watch?v=nQiR5_iGVJI
http://www.youtube.com/watch?v=MFBzloUSE2c

Descargue BadStore, para descargar Badstore lo puede hacer desde la página web
http://www.badstore.net y presionamos donde dice DOWNLOADTHE DEMO (necesitaremos
registrarnos para poder descargar).

Una vez instalada la máquina virtual se procede a la configuración para instalar
BadStore.

Descargue un programa para realizar ataque por inyección de código SQL se sugiere
SQLMAP (http://sqlmap.org/) o Nmap(http://nmap.org/download.html), para documentación
sobre el manejo del software y del tema, existen infinidades de vídeos en Youtube que
podrán ser de ayuda.
http://www.youtube.com/watch?feature=player_embedded&v=_wwYuilkn8M
http://paraisolinux.com/que-es-y-como-usar-nmap/
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería Nombre
Seguridad en bases de datos.
233009
Hoja de ruta
Guía de componente practico
Entorno de aprendizaje practico

Realizar un ataque a la base de datos de Badstore, con lo cual se debe obtener toda
la información sobre la base de datos por ejemplo servidor de BD y versión, nombre de la
base de datos, nombre de las tablas, información de las tablas, información de las columnas,
etc.

Realizar una presentación o video sobre el ataque realizado.

En el artículo IEEE se debe evidenciar el desarrollo de la práctica, suministrando de
forma detallada cada uno de los pasos y comandos utilizados en el desarrollo de la actividad.
Por ejemplo para conocer el nombre de la base de datos se evidencia con los comandos así:
C:\sqlmap-0.9\sqlmap>sqlmap.py -u http://pagina.vulnerable.com/listproducts.php?cat=1 --current-db
2. Ataque con inyección de código SQL a sitio web.
Realizar un ataque a la base de datos del sitio http://testphp.vulnweb.com, con lo cual se
debe obtener toda la información sobre la base de datos por ejemplo servidor de BD y
versión, nombre de la base de datos, nombre de las tablas, información de las tablas,
información de las columnas, etc.
En el artículo se debe evidenciar el desarrollo de la práctica, suministrando de forma
detallada cada uno de los pasos y comandos utilizados en el desarrollo de la actividad. Por
ejemplo para conocer el nombre de la base de datos se evidencia con los comandos así:
C:\sqlmap-0.9\sqlmap>sqlmap.py -u http://pagina.vulnerable.com/listproducts.php?cat=1 --current-db
3. Ataque por Sniffing.
Para esta práctica se debe descargar el software Wireshark desde el sitio web
http://www.wireshark.org/download.html, este está catalogada como una de las mejor
herramientas para el análisis de datos de transmisión de redes. Solo se hará una mínima
práctica de sus bondades como herramienta hacking y/o de auditoría. Toda la práctica sirve
para descubrir que las aplicaciones por lo general envían cierta información en texto plano,
como usuario y contraseña de la Base de datos y consultas SQL.
La práctica consiste en la instalación del software Wireshark, luego con el software en
ejecución tomar una observación prolongada, generando tráfico ftp, telnet, http, icmp, entre
otro, observar que se muestran los passwords en claro y observarlas capacidades para
obtener datos estadísticos por parte de Wireshark.
Para ampliar la información sobre Wireshark visite:
http://blog.underc0de.org/2013/07/sniffing-con-wireshark.html.
Arranque un navegador Internet y realice algunos accesos con él a cualquier dirección web,
preferiblemente donde se requiere la utilización de usuario y contraseña, también sería
importante que se realizara un envío y recepción de información para ver el comportamiento
del software.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería Nombre
Seguridad en bases de datos.
233009
Hoja de ruta
Guía de componente practico
Entorno de aprendizaje practico
Una vez terminado el proceso de captura inicie el análisis de los paquetes e identifique que
tipo de información se puede obtener a través de este tipo de ataque.
Producto.

Un presentación o video sobre cada ataque realizado, estos productos se publicaran
en un una red en la web (puede ser en Slideshare, Slideboom, youtube, Vimeo, PowToom o
en donde considere se le facilita y permite su consulta de manera libre).

Un artículo en formato IEEE, el documento debe ser presentado en Word, donde se
desarrolle con profesionalismo el tema sobre el tipo de ataque inyección de código SQL y
Sniffing, en este se debe incluir el link de las presentaciones o videos.
MOMENTO 4.
1. Ataque DNS Spoofing.
Como practica aprovechando la instalación que tenemos realizada se va a ejecutar un
ataque de DNS Spoofing sobre Kali Linux.
Link descarga Kali linux
http://www.kali.org/
Link de apoyo DNS Spoofing
http://www.flu-project.com/dns-spoofing.html
http://blogs.eset-la.com/laboratorio/2012/06/18/dns-spoofing/
2. Ataque troyano.
En este punto se va utilizar un troyano, virtualizar 2 máquinas con Windows xp, después
descargaran los archivos que componen el virus troyano puede ser Little Witch, Optix Pro o
Net-Devil (Favor tener precaución con el uso de los archivo descargados;
documentarse bien antes de hacer cualquier operación con los archivos), estos son
troyanos cliente servidor, leer manuales de configuración y uso que viene con troyano y
hacerlo funcionar.
Producto.

Un presentación o video sobre cada ataque realizado, estos productos se publicaran
en un una red en la web (puede ser en Slideshare, Slideboom, youtube, Vimeo, PowToom o
en donde considere se le facilita y permite su consulta de manera libre).

Un artículo en formato IEEE, el documento debe ser presentado en Word, donde se
desarrolle con profesionalismo el tema sobre el tipo de ataque DNS Spoofing y troyano, en
este se debe incluir el link de las presentaciones o videos.
Documentos relacionados
OBJETIVO. Identificar los posibles ataques a los cuales se
OBJETIVO. Identificar los posibles ataques a los cuales se
Cómo defenderse de los ataques verbales
Cómo defenderse de los ataques verbales
20 y Prouespeculacio están sufriendo desde ayer un ataque DDOS
20 y Prouespeculacio están sufriendo desde ayer un ataque DDOS
ACTIVIDADES SEGURIDAD INFORMÁTICA (2ª PARTE)
ACTIVIDADES SEGURIDAD INFORMÁTICA (2ª PARTE)
MECANISMOS DE SEGURIDAD
MECANISMOS DE SEGURIDAD
PDF - 147.4 KB - Declaración expresando preocupación por ataque informático a (...)
PDF - 147.4 KB - Declaración expresando preocupación por ataque informático a (...)
Ataque de pánico y trabajo
Ataque de pánico y trabajo
Descargar
Anuncio
Anuncio