Sie sind auf Seite 1von 6

REPUBLICA DE COLOMBIA

SERVICIO NACIONAL DE APRENDIZAJE - SENA

GESTIÓN Y SEGURIDAD DE BASES DE DATOS

CENTRO DE SERVICIOS FINANCIEROS

AA11-Ev4- FORO TEMATICO. “PRUEBAS DE SEGURIDAD”

Presentado a:

Señor Tutor Javier Mauricio Álvarez Vargas

Por alumno:

Martin Cartagena Polo


Curso número: (1881778)

Celular / Wattsupp: 304-404-18-52


Skype: mcartagenapolo
Correo: martincartagenapolo@yahoo.com
www.youtube.com/guapucheros
www.facebook.com/lavozdelosguapucheros
1.- ¿Qué es ser un hacker ético?

Persona que por sus avanzados conocimientos en el área de informática tiene


un desempeño extraordinario en el tema y son capaces de realizar actividades
desafiantes e ilícitas desde un ordenador.
Existen dos tipos de hackers principales: Los Black Hat y los White Hat
Los Black Hat o ciber delincuente, son aquellos hackers de sombrero negro
que realizan actividades ilícitas para vulnerar y extraer información confidencial,
principalmente con un fin monetario.

2.- En Colombia, en los últimos años se han presentado situaciones muy


renombradas relacionadas con el Hacking. ¿Qué opina al respecto?

Con la aparición de las nuevas tecnologías también se han desarrollado formas


de estafa, robos o ataques a través de internet. En los últimos años, algunos de
los llamados 'hackers' han caído luego de los seguimientos policiales a sus ciber
delitos.
Uno de los incidentes más reportados, es la suplantación de identidades, que en
lo corrido del 2016 acumulo 420 casos y en el 2015 cerró con 744.
El segundo en el modus operandi del cibercriminal es el phishing,
estrategia que los delincuentes utilizan páginas falsas con logos de una
entidad. En estos casos, toman posesión de la web y envían a correos de las
víctimas; solicitud de actualización de datos.
Opinión personal:
“A pesar de la poca regulación legal en Colombia para los delitos en la
web, los casos más sonados han sido judicializados por parte de las
autoridades. Con lo cual el mensaje para los ciber delincuentes ha sido del
que la hace la paga, por muy pilo que sea”.
3.- ¿Qué mecanismos pueden prevenir la inyección de SQL?

Inyección SQL
Método de infiltración de código intruso que se vale de una vulnerabilidad
informática presente en una aplicación en el nivel de validación de las entradas
para realizar operaciones sobre una base de datos.
El origen de la vulnerabilidad radica en la incorrecta comprobación o filtrado de
las variables utilizadas en un programa que contiene, o bien genera, código SQL.
Es, de hecho, un error de una clase más general de vulnerabilidades que puede
ocurrir en cualquier lenguaje de programación o script que esté embebido dentro
de otro.
Se conoce como Inyección SQL, indistintamente, al tipo de vulnerabilidad, al
método de infiltración, al hecho de incrustar código SQL intruso y a la porción de
código incrustado.
¿Qué es el ataque por inyección SQL?
Consiste en la inserción de código SQL por medio de los datos de entrada desde
la parte del cliente hacia la aplicación. Como consecuencias de estos ataques y
dependiendo de los privilegios que tenga el usuario de la base de datos bajo el
que se ejecutan las consultas, se podría acceder no sólo a las tablas
relacionadas con la aplicación, sino también a otras tablas pertenecientes a otras
bases de datos alojadas en ese mismo servidor.

Medidas a tomar para protegerse de las inyecciones SQL


A la hora de desarrollar una aplicación, es muy complicado crear una
herramienta totalmente segura a las primeras de cambio. La falta de tiempo y la
intervención de varios programadores para su desarrollo, son factores que
juegan en contra de la seguridad. A pesar de estos inconvenientes, siempre se
pueden tomar medidas de seguridad que nos ayuden a desarrollar aplicaciones
más robustas, ajenas a este tipo de problemas.
Veamos a continuación algunos consejos para evitar sufrir el ataque por
inyección de código SQL en nuestros desarrollos:

a) Escapar los caracteres especiales utilizados en las consultas SQL


Estamos haciendo referencia a añadir la barra invertida “\” delante de las
cadenas utilizadas en las consultas SQL para evitar que estas corrompan la
consulta. Algunos de estos caracteres especiales que es aconsejable escapar
son las comillas dobles (“), las comillas simples (‘) o los caracteres \x00 o \x1a
ya que son considerados como peligrosos pues pueden ser utilizados durante
los ataques. Los lenguajes de programación ofrecen mecanismos para escapar
estos caracteres. En el caso de PHP podemos optar por la función
mysql_real_scape_string(), que toma como parámetro una cadena y la modifica
evitando todos los caracteres especiales, devolviéndola totalmente segura para
ser ejecutada dentro de la instrucción SQL.

b) Delimitar los valores de las consultas


Aunque el valor de la consulta sea un entero, es aconsejable delimitarlo
siempre entre comillas simples. Una instrucción SQL del tipo: SELECT nombre
FROM usuarios WHERE id_user = $id

Será mucho más fácilmente inyectable que: SELECT nombre FROM usuarios
WHERE id_user = ‘$id’ Donde $id es un número entero.

c) Verificar siempre los datos que introduce el usuario


Es aconsejable tomar medidas de seguridad y realizar la comprobación de que
realmente se trata del tipo de dato que estamos esperando. Para realizar esto,
los lenguajes de programación ofrecen funciones que realizan esta acción, como
pueden ser ctype_digit() para saber si es un número o ctype_alpha () para saber
si se trata de una cadena de texto en el caso del lenguaje PHP.

También es aconsejable comprobar la longitud de los datos para descartar


posibles técnicas de inyección SQL, ya que si por ejemplo estamos esperando
un nombre, una cadena extremadamente larga puede suponer que estén
intentando atacarnos por este método. En el caso de PHP, podemos utilizar la
función strlen() para ver el tamaño de la cadena.
d) Asignar mínimos privilegios al usuario que conectará con la base de
datos

El usuario que utilicemos para conectarnos a la base de datos desde nuestro


código debe tener los privilegios justos para realizar las acciones que
necesitemos. No utilizar nunca un usuario root con acceso a todas las bases de
datos ya que de esta forma estaremos dando facilidades a los hackers para que
puedan acceder a toda la información.

e) Programar bien
Aunque pueda parecer una tontería, no hay mejor medida para evitar este tipo
de ataques que realizar una buena programación, poniendo en práctica las
necesidades básicas y el interés para desarrollar una aplicación totalmente
segura. Además de las medidas que podemos tomar a la hora de implementar
el código, siempre podemos acudir a auditorías de código para asegurarnos de
que no hemos dejado ningún tipo de puertas abiertas, aunque suelen ser
procesos caros realizados por terceras empresas.
BIBLIOGRAFIA: (WEBGRAFIA)

https://www.recluit.com/que-es-un-hacker-etico/#.XcBms_kzbIU

https://www.google.com/search?q=Asignar+m%C3%ADnimos+privilegios+al+usuario
+que+conectar%C3%A1+con+la+base+de+datos&rlz=1C1RLNS_esCO864CO864&sx
srf=ACYBGNThWYBFo7GuMtC8uQ-
_qtoRuvPjDg:1572892470784&source=lnms&tbm=isch&sa=X&ved=0ahUKEwj1s_aH
mdHlAhUDqlkKHRjDBcEQ_AUIEigB&biw=1366&bih=576#imgrc=1QbSTinZrsGB
UM:

https://pressroom.hostalia.com/white-papers/ataques-inyeccion-sql/

CONCLUSIONES:
Aprovechando el escenario del foro temático nos acercamos a conceptos
planteados por los compañeros y por el pensamiento de varios expertos en
temas de seguridad, aunque resaltando más que el pensamiento de los
profesionales tendencia en estos ámbitos; la posibilidad de retroalimentarnos y
generar las medidas del caso para evitar ser víctimas y plantear protocolos de
seguridad acordes a los requerimientos cuando manejamos bases de datos.

Martin Cartagena Polo

Das könnte Ihnen auch gefallen