ESCUELA SUPERIOR POLITÉCNICA DE CHIMBORAZO

FACULTAD DE INFORMÁTICA Y ELECTRÓNICA

ESCUELA DE INGENIERIA EN SISTEMAS

APLICACIÓN DEL ALGORITMO SHA 1 PARA ENCRIPTACIÓN DE CLAVE

EN REGISTRO, IMPLEMENTACIÓN DE CERTIFICADO SSL Y EVITAR EL
ATAQUE SQL INJECTION EN UNA APLICACIÓN WEB

Doménica Falconí, dome.95@hotmail.es

Andrea Cando, andreitac-1995@hotmail.com
Alex Fernando Vinueza Armas, alexvinu@live.com

RESUMEN

En el presente documento abordaremos varias vulnerabilidades a las que puede estar

propensa una aplicación web, con el uso de un algoritmo criptográfico llamado SHA 1
diseñado por la NSA hoy en día la familia del SHA tiene sus sucesores como los SHA 2 y
se espera el SHA 3, un algoritmo usado para la encriptación de claves de registro sucesor
del método MD5 que ya está en desuso, abordaremos también los ataques de SQL
INJECTION, dicho ataques que se centran en explotar la vulnerabilidad en las entradas a la
base de datos, e ingresar al sistema sin haber sido registrado e inyectar código malicioso y
por últimos veremos los certificados SSL que son un archivo pequeño el cual se encarga de
dos funciones específicas, la autentificación y verificación de la persona o empresa que se
puede ver en el candado en la parte superior y el cifrado de datos que busca que solo el
destinatario pueda leer lo que se ha enviado y así evitar que se intercepte dicha información.

INTRODUCCIÓN matemáticos y se están cambiando a

SHA-1 se encarga de la encriptación de la
clave de registro de una aplicación para
evitar que la información que pudiese ser
robada no puede ser entendida por dicho
atacante, el SSL busca evitar el robo de la
información en curso o en tránsito para
que no pueda ser interceptada y llegue a
su destinatario, la INJECTION SQL es un
método que vulnera el registro a la BD e
ingresa a la misma inyectando un pedazo
de código indetectable en La aplicación
para dañar o robar información de la
misma.
El algoritmo SHA 1 es un método
criptográfico asimétrico sucesor de SHA 0
y este sucesor del método MD5 que ya
está en desuso o tapa las vulnerabilidades
de este método, este parte de una
información de entrada de longitud
indeterminada y obtiene como respuesta
o salida un código SHA-1, el que produce
un código hash de 160 bits para
longitudes máximas de 264 bit aunque
SHA-1 ya se está mostrando en desuso ya
que este tiene fallas en sus algoritmos
SHA-2, Los ataques SQL Injection
explotan una vulnerabilidad en la
validación de las entradas a la base de
datos de una aplicación. Una inyección
SQL consiste en inyectar un código SQL
invasor dentro de otro código SQL para
alterar su funcionamiento normal
haciendo que se ejecute el código invasor
en la base de datos, dicha vulnerabilidad
puede ser evitada con la inserción de
código php ya establecidos para este
caso, SSL significa "Secure Sockets
Layer". SSL Definición, Secure Sockets
Layer es un protocolo diseñado para
permitir que las aplicaciones para
transmitir información de ida y de manera
segura hacia atrás. algunas aplicaciones
que están configurados para ejecutarse
SSL incluyen navegadores web como
Internet Explorer y Firefox, los programas
de correo como Outlook, Mozilla
Thunderbird, Mail.app de Apple, y SFTP
(Secure File Transfer Protocol)
programas, etc Estos programas son
capaces de recibir de forma automática
SSL conexiones.
OBJETIVOS
valor de dispersión de
GENERAL
dicha concatenación.
- Evitar el robo de información en
2. A envía a B el valor de
tránsito, el ingreso de código
malicioso a la base de datos y dispersión y el mensaje.
encriptar claves de acceso por un
posible robo de información. 3. B concatena la clave

ESPECIFICOS secreta al mensaje que

recibió y calcula el valor de
- Conocer el funcionamiento y
aplicación del SHA-1 en una dispersión de la
aplicación.
- Evitar el ingreso no autorizado a concatenación.
una base de datos con código en 4. B compara el valor de
la misma.
- Activar y crear los certificados SSL dispersión que obtuvo con
y así evitar la posible intercepción el que le envió A, si éstos
de información en curso.
coinciden, B puede tener
MARCO TEÓRICO
la confianza de que el
FUNCIONES HASH
mensaje no ha sido
Las funciones hash, son funciones modificado.
matemáticas tienen una secuencia de bits  Creación del código MAC
de tamaño fijo llamada valor hash. (Message Authentication Code),

En una función hash unidireccional, permite comprobar que el

conocida también como función resumen, mensaje posea integridad,

es imposible encontrar dos mensajes además de permitir la

originales con el mismo valor hash, autenticación de la persona que

llamado huella digital. envié, siendo que este debe tener

como conocimiento previo la clave
La principal aplicación de los algoritmos
de destinatario.
hash es la creación de códigos de
verificación: SHA1

 Creación del código MIC

Fue un algoritmo creado por NICS en
(Message Integrity Code): nos
1995 SHA-1.
permite verificar si un mensaje ha
Tiene como entrada una longitud máxima
sido, teniendo previamente las
de 264 bits que se dividen en bloques de
claves respectivas.
512 bits, con un resultado de 160 bits.
1. A concatena al mensaje la
clave secreta y calcula el
 Este proceso se realiza en 5 pasos, que
son los siguientes:
1. Se debe realizar un relleno al mensaje de
entrada, tal que la longitud de este llegue
a ser igual a log=448 mod 512, aunque no
tenga la longitud debe realizarse el
relleno.
2. Se le añade un bloque de 64 bit haciendo
alusión a la longitud original del mensaje La entrada a cada ronda consta del bloque
sin el relleno. de 512 bits que se esté procesando (Yq) y
3. Existe una memoria temporal MD, de 160 los 160 bits de la memoria MD, cada
bits la cual guarda los resultados bloque de 512 bits actualizará el valor de
intermedios y finales de la función de la memoria temporal. Cada ronda también
dispersión. La MD consta de 5 entradas hace uso de la constante aditiva Kt,
(A, B, C,D,E) de 32 bits con los siguientes donde indica uno de los 80
valores predefinidos pasos a lo largo de las cuatro rondas.
A=67452301
B=EFCDAB89
C=98BADCFE
D=10325476
E= C3D2E1F0
4. Se procesa el mensaje por bloques de 512
bits, cada uno pasa por un módulo que
consta de 4 rondas con 20 pasos cada 5. Luego de todo este proceso, el
tamaño de la salida del bloque
una. Las rondas ocupan una función será de 160 bits.
lógica primitiva diferente (f1, f2, f3 y f4). SSL
"Secure Sockets Layer" es un sistema
diseñado para permitir que las
aplicaciones puedan enviar información
encriptada y que de igual manera regrese,
evitando de este modo que pueda ser
leída por terceros. Este es un protocolo
que permite asegurar una alta confianza
en el comercio electrónico.
“SSL implementa un protocolo de tratado
para establecer una comunicación segura
y confiable a nivel de socked (nombre de
máquina más puerto), de forma
transparente al usuario y a las
aplicaciones que lo usan. “[1]
Función de un certificado ssl
“Un Certificado SSL opera como una
credencial en la industria electrónica. De
esta manera, realiza la identificación de un
dominio específico y un servidor web. La
validez de esta credencial depende de la
confianza en la Autoridad de Certificación
que la emitió. “ [2]
En general, con tres elementos
esenciales: 1) Protocolo de
comunicaciones, 2) Certificado como un
conjunto de pruebas para establecer la
identidad y 3) Tercero confiable o
Autoridad de Certificación que da fe sobre
la legitimidad de las pruebas de identidad.
[3]
Seguridad Online
El certificado SSL es la tecnología que
ofrece la solución en seguridad online, es
indispensable comprarla si es que vas a
crear una tienda virtual, debido a que
garantizas a los clientes que tu web es
segura tanto navegar por ella y también
comprar con normalidad.
Crear confianza con el cliente
Estamos en la era donde la seguridad es
vulnerable constantemente y los clientes
suelen desconfiar cuando se trata de
comprar. Por lo tanto, resguardar la
información de los usuarios será
indispensable, sobre todo si es que se van
a realizar transacciones, ya que el
certificado protegerá los datos.
SSL garantiza la integridad de las
comunicaciones en las redes mediante
Certificados Digitales que implican
procesos de encriptación, autenticación y
verificación. Es decir, proporciona
autenticación de las partes que participan
en las transacciones en línea y encripta
las sesiones de comunicación.
Principales usos de SSL
El principal uso del protocolo SSL, es el de
proteger la información personal utilizada
para el comercio electrónico.
También, es utilizado para proteger la
privacidad de los usuarios de ciertas
plataformas de e-mail y servidores de
correo, como Gmail, evitando que
atacantes informáticos puedan interceptar
información importante de sus usuarios.
Además, es ampliamente utilizado en los
formularios de datos de las páginas web
para proteger los datos de los usuarios y
evitar que sean utilizados para robo de
identidad o fraudes electrónicos.
Por qué contratar un Certificado SSL
En la actualidad, las conexiones seguras
por internet ya no solo es parte de las
personas que están metidas en este
mundo. Sino que conectarse a internet es
muy fácil para todas las personas, revisar
archivos en el ordenador de sobremesa,
recibir un mensaje o cualquier otra cosa
nos conecta al mundo virtual. Son
millones de usuarios que están
conectados todos los días, ya sea por el
trabajo o su entretenimiento. Es así que
cuando la persona decide crear una
página web, y al contratar su servidor
hosting será necesario que brinde una
conexión segura a sus usuarios o clientes.
Si es que cuentas con una página web o
tienda virtual donde los usuarios van a
ingresar información personal o 1024
confidencial, es importante contratar un
certificar SSL para que el usuario pueda
navegar por tu web con toda seguridad,
así también podrás asegurar que tu sitio
web es oficial. Contar con un certificado
de este tipo es como la seguridad de un
banco, ingresas tu contraseña, pagas con
tu tarjeta y todo sin ningún problema ni
robo de información, es decir que nadie
podrá hackear los datos de las personas
que están en tu web. [4]
Configurar un certificado SSL en
XAMPP
Esta es la forma de configurar un
certificado SSL dentro de un entorno local
de desarrollo, en este caso puntual es
XAMPP V3.2.2 corriendo en Windows 10
aunque pueden habilitarse también en
WAMMP con diferentes direcciones.
#1: Configurar las variables de entorno
Click derecho en Equipo > seleccionar
Propiedades y en la ventana que se abre,
en la columna izquierda encontraremos un
link a Configuración avanzada del sistema
En la ventana que se abre, dentro de la
solapa Opciones avanzadas, hacer click
sobre el botón Variables de entorno, se
abrirá una nueva ventana.
Allí deberemos agregar una nueva
variable de entorno cuyo nombre debe
ser: OPENSSL_CONF y su valor la ruta
donde se encuentra el archivo
openssl.cnf, en mi caso es:
C:\xampp\apache\conf\openssl.cnf
Aceptamos y cerramos todas las ventanas
#2: Crear el certificado SSL y su clave
Abrir la consola (tecla Win + r) y cambiar
el directorio a la carpeta bin de nuestro
Apache.
cd C:\xampp\apache\bin
Creamos una clave privada con el
siguiente comando, nos pedirá un
password, recordarlo.
openssl genrsa -des3 -out server.key
Explicación
 openssl -> Establece que vamos a
trabajar con OpenSSL.
 genrsa -> Indica que se va a
generar una clave RSA.
 -des3 -> Define el tipo de
encriptación (yo usaré AES con un
bloque de 256 bits, pero se
pueden utilizar los siguientes
cifrados: -aes128 | -aes192 | -
aes256 | -camellia128 | -
camellia192 | -camellia256 | -des |
-des3 | -idea).
 -out [nombre del archivo] ->
Establece donde guardará y el
nombre de salida del archivo que
contiene la private key.
 1024 -> Define el largo en bits de
la clave (se puede usar 1024 o
2048, si no se define, usa 512 bits
por defecto).
Quitamos la contraseña de la clave
privada y creamos una copia de seguridad
del archivo, nos pedirá la contraseña
ingresada anteriormente.
copy server.key server.key.org
openssl rsa -in server.key.org -out
server.key
Creamos un certificado con la clave
generada, este comando pedirá
información para su codificación
openssl req -new -x509 -nodes -sha1 -
days 365 -key server.key -out server.crt -
config
C:\xampp\apache\bin\conf\openssl.cnf
Explicación
  req -> Realiza la petición
para crear un certificado
PKCS#10 (un estándar, ver RFC
2986).
 -new -> Genera un nuevo
certificado, en caso de no usarlo
se generaría una clave privada
RSA con la configuración hecha
en el archivo de configuración.
 -key [nombre del archivo] ->
Especifica el archivo del cual
vamos a leer la clave privada
(local.key), también acepta claves
privadas con el formato de
PKCS#8.
 -config [nombre del archivo] ->
Permite una configuración
alternativa. En este caso usamos
la que viene por defecto en
XAMPP.
 -out [nombre del archivo] ->
Establece donde guardará y el
nombre de salida del archivo del
CSR.
# 3. Almacenando los certificados
Creamos una carpeta llamada OpenSSL
dentro de nuestra instalación de WAMP,
adentro creamos las siguientes
subcarpetas:
 certs
 crl
 newcerts
 private
Copiamos los siguientes archivos de
C:\xampp\apache\bin\ a
C:\xampp\OpenSSL\certs\
 server.crt
 server.key
Copiamos los siguientes archivos de
C:\xampp\apache\bin\ a Actualizar el valor para SSLCertificateFile:
C:\xampp\OpenSSL\private\
server.key.org
#4: Configuración en el archivo
httpd.conf
Abrir el archivo httpd.conf. Lo podemos
hacer desde el panel del XAMPP, dentro
del menú Apache o abrirlo desde el
directorio
C:\Xampp\apache\conf\
Descomentar la línea (borrar ;):
LoadModule ssl_module
modules/mod_ssl.so
Descomentar la linea: LoadModule
setenvif_module
modules/mod_setenvif.so
Decomentar la linea: Include
conf/extra/httpd-ssl.conf y moverla dentro
del bloque <IfModule
ssl_module>…</IfModule>
#5: Configuración en el archivo php.ini
Abrir el archivo php.ini. Lo podemos hacer
desde el panel del XAMPP.
Quitar el comentario (borrar ;) de la linea
que dice: extension=php_openssl.dll
#6: Configuración en el archivo httpd-
ssl.conf
Abrir el archivo httpd-ssl.conf. Lo
podemos hacer desde el panel del WAMP,
dentro del menú Apache.
Encontrar las directivas para el virtual host
y dejarlas como se muestra muestro
abajo:
DocumentRoot "c:/xampp/htdocs"
ServerName localhost:443
ServerAdmin nuestro_mail@mail.com
ErrorLog "c:/wamp/logs/ssl_ErrorLog.txt"
TransferLog
"c:/wamp/logs/ssl_TransferLog.txt"
SSLCertificateFile
"c:/xampp/OpenSSL/certs/server.crt"
Actualizar el valor para
SSLCertificateKeyFile:
SSLCertificateKeyFile
"c:/wamp/OpenSSL/certs/server.key"
# 7. Verificar si está habilitado el SSL
En la consola escribir el siguiente
comando, si nos muestra Syntax OK está
todo correcto, solo restaría reiniciar el
Apache.
httpd –t
En caso de que tengamos algún error nos
dará detalle del mismo y deberemos
corregirlo hasta que esté todo correcto.
Hecho esto deberíamos habilitar el
certificado para lo cual buscamos nuestro
certificado:
 en Chrome entramos a entrada, especialmente la que viene del
configuraciones y nos
desplazamos hasta
configuraciones avanzadas.
 Buscamos administrar
HHTPS/SSL y entramos en
administrar certificados
 Ingresamos a entidades de
certificados de raíz e importamos
nuestro certificado aceptamos y
listo el certificado estará en verde
en el localhost
SQL INJECTION
Una inyección SQL en una técnica en la
que un atacante crea o altera comandos
para exponer información que es oculta,
sobrescribirla o alterarla, o lo que resulta
aún peor, ejecutar comando que ponen en
riesgo el sistema en el equipo que
hospeda la base de datos.
“Esto se logra cuando un atacante toma la
entrada del usuario y la combina con
parámetros estáticos para elaborar una
consulta SQL.” (1)
A pesar de que pueda parecer lógico que
un atacante debe tener al menos algún
conocimiento de arquitecturas de bases
de datos para poder realizar un ataque
con éxito, la obtención de esta información
suele ser muy sencilla. Por ejemplo,
cuando la base de datos forma parte de
un software de código abierto o disponible
públicamente con una instalación
predefinida, dicha información se
encuentra completamente libre y
utilizable. Esta información podría haber
sido divulgada en proyectos de código
cerrado (incluso si está codificada,
ofuscada o compilada), o incluso por el
propio código mediante la visualización de
mensajes de error. Otros métodos
incluyen el uso de nombres frecuentes de
tablas y columnas. Por ejemplo, un
formulario de inicio de sesión que utiliza
una tabla 'usuarios' con los nombres de
columna 'id', 'username', y 'password'.
“Estos ataques se basan principalmente
en explotar el código que no ha sido
escrito teniendo en cuenta la seguridad.
Nunca se ha de confiar en ningún tipo de
lado del cliente, aun cuando esta venga de
un cuadro de selección, un campo oculto
o una cookie. El primer ejemplo muestra
cómo una inofensiva consulta puede
causar desastres.” (2)
Se dice que existe o se produjo una
inyección SQL cuando, de alguna manera,
se inserta o "inyecta" código SQL invasor
dentro del código SQL programado, a fin
de modificar el funcionamiento normal del
programa y lograr así que se ejecute la
porción de código "invasor" incrustado, en
la base de datos.
La vulnerabilidad se puede producir
automáticamente cuando un programa
"arma descuidadamente" una sentencia
SQL en tiempo de ejecución, o bien
durante la fase de desarrollo, cuando el
programador ejecuta de forma
desprotegida la sentencia SQL. En
cualquier caso, siempre que el
programador necesite y haga uso de
parámetros a ingresar por parte del
usuario, a efectos de consultar una base
de datos, dentro de los parámetros es
donde se puede incorporar el código SQL
intruso. De esa forma, al ejecutarse esa
consulta por la base de datos, el código
SQL inyectado también se ejecutará y
podría hacer un sinnúmero de cosas,
como, por ejemplo: insertar registros,
modificar o eliminar datos, autorizar
accesos e, incluso, ejecutar código
malicioso.
Entonces, una Inyección SQL sucede
cuando se inserta o "inyecta" un código
SQL "invasor" dentro de otro código SQL
"nativo" para alterar su funcionamiento
normal, y hacer que se ejecute
maliciosamente el código "asaltante" en la
base de datos y su entorno.
Una vulnerabilidad de tipo SQL Injection
puede ser explotada tanto a través del
método GET como del método POST. La
práctica más común es hacerlo a través
del primero, sin (3)embargo, hacerlo a
través del método POST puede llegar a
devolver los mismos resultados. En el
mundo de la seguridad informática
quienes descubren o investigan
vulnerabilidades suelen hacer scripts que
automatiz (4)an la explotación de las
mismas, para el caso de SQL Injection las
más comunes son:
 Sqlmap: Tal vez la más famosa,
desarrollada en python por
Bernardo Damele y Miroslav
Stampar.
 Havij: Desarrollada por la
empresa ITSecTeam.
 SqlNinja: Desarrollada en Perl,
usada para explotar aplicaciones
web que usan como back-end a
Microsoft Sql Server. (3)
¿Qué tipos de ataques existen?
 Existen muchos tipos de ataques
y se crean nuevos con mucha
frecuencia, entre los más
comunes y clásicos es aquel que
permite la validación de una
condición de consulta como
verdadera. Esto se logra a través
del simple:
[‘OR ‘1’=’1]
 Con esta simple instrucción, si la
sección de código donde se
realiza la consulta no se encuentra
desarrollada con las medidas de
seguridad adecuadas, esta
consulta resultará en una
condición verdadera y la consulta
original arrojará todos los
resultados. Suponiendo que se
tiene una consulta como la
siguiente:
SELECT * FROM usuarios WHERE
usuario=’$usuario’ AND
password=’$password’;
 Con la consulta anterior, los
parámetros inyectables
son ‘$usuario’ y ‘$password’. Si se
aplica la inyección antes
especificada sobre ambos
parámetros, la consulta original se
transformará en la siguiente:
SELECT * FROM usuarios WHERE
usuario=’ OR ‘1’=’1‘ AND password=’ OR
‘1’=’1‘;
 Así mismo, la consulta arrojará
todos los resultados y por
consecuencia el
ciberdelincuente conocerá toda la
información alojada en esa tabla.
Esto se debe a que “1=1” es
siempre verdadero. Tal como
dijimos anteriormente, esta es una
de las inyecciones más clásicas y
es fácilmente solucionable.
MEDIDAS A TOMAR PARA EVITAR
ATAQUES POR INYECCIÓN SQL
Cuando se desarrolla una aplicación, es
imposible crear una herramienta
totalmente segura. La falta de tiempo y la
intervención de varios programadores
para su desarrollo, son factores que
juegan en contra de la seguridad. A pesar
de estos inconvenientes, si tomamos en
cuenta ciertas medidas de seguridad
lograremos desarrollar aplicaciones más
robustas, ajenas a este tipo de problemas.
Vamos amostrar algunos consejos para
evitar el ataque por inyección de código
SQL en nuestros desarrollos:
a) Escapar los caracteres
especiales utilizados en las consultas
SQL
Al hablar de “escapar caracteres” estamos
haciendo referencia a añadir la barra
invertida “\” delante de las cadenas
utilizadas en las consultas SQL para evitar
que estas corrompan la consulta. Algunos
de estos caracteres especiales que es
aconsejable escapar son las comillas
dobles (“), las comillas simples (‘) o los
caracteres \x00 o \x1a ya que son
considerados como peligrosos pues
pueden ser utilizados durante los ataques.
Los distintos lenguajes de programación
ofrecen mecanismos para lograr escapar
estos caracteres. En el caso de PHP
podemos optar por la función
mysql_real_scape_string(), que toma
como parámetro una cadena y la modifica
evitando todos los caracteres especiales,
devolviéndola totalmente segura para ser
ejecutada dentro de la instrucción SQL.
b) Delimitar los valores de las
consultas
Aunque el valor de la consulta sea un
entero, es aconsejable delimitarlo siempre
entre comillas simples. Una instrucción
SQL del tipo:
SELECT nombre FROM usuarios WHERE
id_user = $id
Será mucho más fácilmente inyectable
que:
SELECT nombre FROM usuarios WHERE
id_user = ‘$id’
Donde $id es un número entero.
c) Verificar siempre los datos que
introduce el usuario
Si en una consulta estamos a la espera de
recibir un entero, no confiemos en que sea
así, sino que es aconsejable tomar
medidas de seguridad y realizar la
comprobación de que realmente se trata
del tipo de dato que estamos esperando.
Para realizar esto, los lenguajes de
programación ofrecen funciones que
realizan esta acción, como pueden ser
ctype_digit() para saber si es un número o
ctype_alpha () para saber si se trata de
una cadena de texto en el caso del
lenguaje PHP.
También es aconsejable comprobar la
longitud de los datos para descartar
posibles técnicas de inyección SQL, ya
que si por ejemplo estamos esperando un
nombre, una cadena extremadamente
larga puede suponer que estén intentando
atacarnos por este método. En el caso de
PHP, podemos utilizar la función strlen()
para ver el tamaño de la cadena.
d) Asignar mínimos privilegios al
usuario que conectará con la base de
datos
El usuario que utilicemos para
conectarnos a la base de datos desde
nuestro código debe tener los privilegios
justos para realizar las acciones que
necesitemos. No utilizar nunca un usuario
root con acceso a todas las bases de
datos ya que de esta forma estaremos
dando facilidades a los hackers para que
puedan acceder a toda la información.
e) Programar bien
Aunque pueda parecer una tontería, no
hay mejor medida para evitar este tipo de
ataques que realizar una buena
programación, poniendo en práctica las
necesidades básicas y el interés para
desarrollar una aplicación totalmente
segura.
Además de las medidas que podemos
tomar a la hora de implementar el código,
siempre podemos acudir a auditorías de
código para asegurarnos de que no
hemos dejado ningún tipo de puertas
abiertas, aunque suelen ser procesos
caros realizados por terceras empresas.
(5)
RESULTADOS Y DISCUSIÓN
Hoy en día la seguridad informática es un
aspecto muy importante al momento de
crear una aplicación web que contenga
información personal de una persona que
fuera a utilizar dicha aplicación.
La seguridad viene desde la creación de
la aplicación pues éticamente dicha
aplicación tendría que tener aplicada un
método criptográfico como en este caso
SHA1, a la información de relevancia para
que si hubiese un ataque informático la
información sea imposible de entenderla,
tomando en cuenta que se pudiese
efectuar un robó en el curso de la
información o ataque de hombre en el
medio se debe brindar dicha garantía al
usuario con un certificado SSL, que logra
dicha seguridad, y por último y el más
conocido una inyección sql que logra
entrar al sistema usando una búsqueda
que siempre será verdadera en usuario o
password, así mismo por ser la más
conocida ya se han tomado las
respectivas seguridades y se han creado
códigos php para evitar dicha inyección.
CONCLUSIONES
SHA1 se considera el mejor algoritmo de
esta familia y es el que se aplica en la
mayoría de las aplicaciones de firma
electrónica, sin embargo hoy en día se
está migrando ya a SHA2.
Es muy habitual aplicar SHA1 seguido de
RSA para realizar una firma electrónica de
un documento, o bien el algoritmo DSA
específico para firma electrónica que
también utiliza SHA1 internamente.
RECOMENDACIONES
 En las aplicaciones web es muy
recomendable la implementación
de políticas de seguridad misma
que se expuso en nuestra
aplicación en PHP.
 Aplicar seguridad para no tener
robo de información
Referencias
SSL
[1]
https://www.certstopshop.com/blog/que-
significa-ssl-y-para-que-me-sirve
[2]
https://www.certsuperior.com/SSLComoFun
ciona.aspx
[3]
https://www.certsuperior.com/SSLComoFun
ciona.aspx
[4]
https://www.profesionalreview.com/2016/02
/24/para-que-sirve-un-certificado-ssl/
https://support.google.com/adwords/answer
/2580401?hl=es-419
SQL INJECTION
1. php. [En línea] [Citado el: 28 de 01 de
2016.]
http://php.net/manual/es/security.databas
e.sql-injection.php. 1.
2. [En línea] [Citado el: 28 de 01 de 2016.]
https://www.redeszone.net/seguridad-
informatica/inyeccion-sql-manual-basico/.
4.
3. cristab. [En línea] [Citado el: 27 de 01
de 2016.]
http://www.cristalab.com/tutoriales/como-
funciona-sql-injection-seguro-eres-
vulnerable-c113268l/. 2.
4. welivesecurity. [En línea] [Citado el: 27
de 01 de 2016.]
http://www.welivesecurity.com/la-
es/2013/04/26/funcionamiento-de-una-
inyeccion-sql/. 4.
5. pressroom. [En línea] [Citado el: 28 de
01 de 2016.]
http://pressroom.hostalia.com/white-
papers/ataques-inyeccion-sql. 5.
Biblioteca Virtual ESPOCH (ebrary)
http://site.ebrary.com/lib/espoch/detail.ac
tion?docID=10862475&p00=seguridad+inf
ormatica