UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas Tecnología e Ingeniería Nombre Seguridad en bases de datos. 233009 Hoja de ruta Guía de componente practico Entorno de aprendizaje practico OBJETIVO. Realizar ataque por inyección de código SQL, Sniffing, DNS Spoofing y troyano. Identificar los posibles ataques a los cuales se puede exponer un sistema de información. Conocer técnicas para detectar los posibles ataques a los sistemas de información. Realizar adecuadamente métricas de seguridad que solidifiquen los buenos procesos y prácticas en las bases de datos de cualquier organización. METODOLOGÍA. Las sesiones son desarrolladas en forma teórica-practica, el desarrollo de las actividades de aprendizaje está basado en el aprendizaje individual y colaborativo como una estrategia de aprendizaje y de trabajo de grupo que es usado en los cursos que se ofertan en el campus virtual de la UNAD. MOMENTO 2: 1. Ataque por inyección de código SQL. Descargue e instale la máquina virtual Virtualbox. Para descargar la máquina virtual lo puede hacer desde la páginahttps://www.virtualbox.org/wiki/Downloads. Link de videos de como descargar e instalar Virtualbox: www.youtube.com/watch?v=ORRixrwkc3Y http://www.youtube.com/watch?v=VFYqm6Gva3k http://carloszuluaga.wikidot.com/instalacion:virtualbox-windows-xp http://www.youtube.com/watch?v=nQiR5_iGVJI http://www.youtube.com/watch?v=MFBzloUSE2c Descargue BadStore, para descargar Badstore lo puede hacer desde la página web http://www.badstore.net y presionamos donde dice DOWNLOADTHE DEMO (necesitaremos registrarnos para poder descargar). Una vez instalada la máquina virtual se procede a la configuración para instalar BadStore. Descargue un programa para realizar ataque por inyección de código SQL se sugiere SQLMAP (http://sqlmap.org/) o Nmap(http://nmap.org/download.html), para documentación sobre el manejo del software y del tema, existen infinidades de vídeos en Youtube que podrán ser de ayuda. http://www.youtube.com/watch?feature=player_embedded&v=_wwYuilkn8M http://paraisolinux.com/que-es-y-como-usar-nmap/ UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas Tecnología e Ingeniería Nombre Seguridad en bases de datos. 233009 Hoja de ruta Guía de componente practico Entorno de aprendizaje practico Realizar un ataque a la base de datos de Badstore, con lo cual se debe obtener toda la información sobre la base de datos por ejemplo servidor de BD y versión, nombre de la base de datos, nombre de las tablas, información de las tablas, información de las columnas, etc. Realizar una presentación o video sobre el ataque realizado. En el artículo IEEE se debe evidenciar el desarrollo de la práctica, suministrando de forma detallada cada uno de los pasos y comandos utilizados en el desarrollo de la actividad. Por ejemplo para conocer el nombre de la base de datos se evidencia con los comandos así: C:\sqlmap-0.9\sqlmap>sqlmap.py -u http://pagina.vulnerable.com/listproducts.php?cat=1 --current-db 2. Ataque con inyección de código SQL a sitio web. Realizar un ataque a la base de datos del sitio http://testphp.vulnweb.com, con lo cual se debe obtener toda la información sobre la base de datos por ejemplo servidor de BD y versión, nombre de la base de datos, nombre de las tablas, información de las tablas, información de las columnas, etc. En el artículo se debe evidenciar el desarrollo de la práctica, suministrando de forma detallada cada uno de los pasos y comandos utilizados en el desarrollo de la actividad. Por ejemplo para conocer el nombre de la base de datos se evidencia con los comandos así: C:\sqlmap-0.9\sqlmap>sqlmap.py -u http://pagina.vulnerable.com/listproducts.php?cat=1 --current-db 3. Ataque por Sniffing. Para esta práctica se debe descargar el software Wireshark desde el sitio web http://www.wireshark.org/download.html, este está catalogada como una de las mejor herramientas para el análisis de datos de transmisión de redes. Solo se hará una mínima práctica de sus bondades como herramienta hacking y/o de auditoría. Toda la práctica sirve para descubrir que las aplicaciones por lo general envían cierta información en texto plano, como usuario y contraseña de la Base de datos y consultas SQL. La práctica consiste en la instalación del software Wireshark, luego con el software en ejecución tomar una observación prolongada, generando tráfico ftp, telnet, http, icmp, entre otro, observar que se muestran los passwords en claro y observarlas capacidades para obtener datos estadísticos por parte de Wireshark. Para ampliar la información sobre Wireshark visite: http://blog.underc0de.org/2013/07/sniffing-con-wireshark.html. Arranque un navegador Internet y realice algunos accesos con él a cualquier dirección web, preferiblemente donde se requiere la utilización de usuario y contraseña, también sería importante que se realizara un envío y recepción de información para ver el comportamiento del software. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas Tecnología e Ingeniería Nombre Seguridad en bases de datos. 233009 Hoja de ruta Guía de componente practico Entorno de aprendizaje practico Una vez terminado el proceso de captura inicie el análisis de los paquetes e identifique que tipo de información se puede obtener a través de este tipo de ataque. Producto. Un presentación o video sobre cada ataque realizado, estos productos se publicaran en un una red en la web (puede ser en Slideshare, Slideboom, youtube, Vimeo, PowToom o en donde considere se le facilita y permite su consulta de manera libre). Un artículo en formato IEEE, el documento debe ser presentado en Word, donde se desarrolle con profesionalismo el tema sobre el tipo de ataque inyección de código SQL y Sniffing, en este se debe incluir el link de las presentaciones o videos. MOMENTO 4. 1. Ataque DNS Spoofing. Como practica aprovechando la instalación que tenemos realizada se va a ejecutar un ataque de DNS Spoofing sobre Kali Linux. Link descarga Kali linux http://www.kali.org/ Link de apoyo DNS Spoofing http://www.flu-project.com/dns-spoofing.html http://blogs.eset-la.com/laboratorio/2012/06/18/dns-spoofing/ 2. Ataque troyano. En este punto se va utilizar un troyano, virtualizar 2 máquinas con Windows xp, después descargaran los archivos que componen el virus troyano puede ser Little Witch, Optix Pro o Net-Devil (Favor tener precaución con el uso de los archivo descargados; documentarse bien antes de hacer cualquier operación con los archivos), estos son troyanos cliente servidor, leer manuales de configuración y uso que viene con troyano y hacerlo funcionar. Producto. Un presentación o video sobre cada ataque realizado, estos productos se publicaran en un una red en la web (puede ser en Slideshare, Slideboom, youtube, Vimeo, PowToom o en donde considere se le facilita y permite su consulta de manera libre). Un artículo en formato IEEE, el documento debe ser presentado en Word, donde se desarrolle con profesionalismo el tema sobre el tipo de ataque DNS Spoofing y troyano, en este se debe incluir el link de las presentaciones o videos.