Documente Academic
Documente Profesional
Documente Cultură
Cordial saludo
Esta evidencia consiste en interactuar con los demás participantes del proceso
formativo, socializando alrededor de los documentos presentados sobre pruebas
de penetración y Hacking ético, además completamente consultando sobre
Hacking database y SQL-Injection. En el foro “Socialización de pruebas de
Seguridad”, cada Aprendiz debe participar haciendo sus aportes de manera
respetuosa, amable y consiente, siguiendo el siguiente procedimiento:
saludos!
Mensaje no leído
Marcar como no leído
Mensaje no marcado
Definir indicador
Hace 17 días
YEISON ALEJANDRO VALENCIA HOLGUIN
RE: Socialización de Pruebas de Seguridad
Contraer
- pues puede ser bueno en algunas cosas pero en otras no, porque se podria
evitar muchas amenazas informaticas y se podria ayudar al gobierno con esas
solicitudes como lo estaba haciendo el hacker sepulveda.
para ser consultas o llamadas con el equipo anfitrion se podria hacer un ping a la
IP requerida.
Mensaje no leído
Marcar como no leído
Mensaje no marcado
Definir indicador
Hace 14 días
AHARON ALEXANDER AGUAS NAVARRO
RE: Socialización de Pruebas de Seguridad
Contraer
Mensaje no leído
Marcar como no leído
Mensaje no marcado
Definir indicador
Hace 14 días
¿Qué es SQL-Injection?
La inyección SQL es una técnica de inyección de código que puede destruir su base
de datos.
La inyección SQL es una de las técnicas de piratería web más comunes.
La inyección SQL es la colocación de código malicioso en las declaraciones SQL, a
través de la entrada de la página web.
Tomado de: https://www.w3schools.com/sql/sql_injection.asp
db.Execute(txtSQL,txtUserId);
El motor SQL verifica cada parámetro para asegurarse de que sea correcto para su
columna y se trate literalmente, y no como parte del SQL que se ejecutará.
Mensaje no leído
Marcar como no leído
Mensaje no marcado
Definir indicador
Hace 14 días
R// Un hacker ético, también conocido como hacker de sombrero blanco, es un experto en
seguridad de la información que intenta penetrar sistemáticamente en un sistema
informático, red, aplicación u otro recurso informático en nombre de sus propietarios, y con
su permiso, para encontrar seguridad vulnerabilidades que un hacker malicioso podría
explotar potencialmente.
R// La razón principal por la cual las computadoras son inseguras es que la mayoría de los
compradores no están dispuestos a pagar, en dinero, características o tiempo de
comercialización, para que la seguridad se incorpore a los productos y servicios que desean.
Como resultado, estamos atrapados con protocolos de Internet pirateables, computadoras
que están plagadas de vulnerabilidades y redes que son fácilmente penetrables.
Hemos aceptado esta tenue situación porque, durante mucho tiempo, la seguridad
informática se ha centrado principalmente en los datos. Los datos bancarios almacenados
por las instituciones financieras pueden ser importantes, pero nadie muere cuando es
robado. Independientemente de cuán malos sean estos hacks, históricamente ha sido más
barato aceptar los resultados que solucionar los problemas. Pero la naturaleza de cómo
usamos las computadoras está cambiando, y eso conlleva mayores riesgos de seguridad.
¿Qué es SQL-Injection?
R// La inyección SQL es una vulnerabilidad de seguridad web que permite que un atacante
interfiera con las consultas que una aplicación realiza en su base de datos. En general,
permite a un atacante ver datos que normalmente no pueden recuperar. Esto puede incluir
datos que pertenecen a otros usuarios o cualquier otro dato al que la aplicación pueda
acceder. En muchos casos, un atacante puede modificar o eliminar estos datos, causando
cambios persistentes en el contenido o el comportamiento de la aplicación.
R// La única forma segura de prevenir los ataques de inyección SQL es la validación de
entrada y las consultas parametrizadas, incluidas las declaraciones preparadas. El código de
la aplicación nunca debe usar la entrada directamente. El desarrollador debe desinfectar
todas las entradas, no solo las entradas del formulario web, como los formularios de inicio
de sesión. Deben eliminar posibles elementos de código malicioso, como comillas simples.
También es una buena idea desactivar la visibilidad de los errores de la base de datos en sus
sitios de producción. Los errores de la base de datos se pueden usar con la inyección SQL
para obtener información sobre su base de datos.
Mensaje no leído
Marcar como no leído
Mensaje no marcado
Definir indicador
Hace 13 días
Mensaje no leído
Marcar como no leído
Mensaje no marcado
Definir indicador
Hace 12 días
Hacking ético es una forma de referirse al acto de una persona, o mejor conocido como hacker,
que utiliza sus conocimientos de informática y seguridad para encontrar vulnerabilidades o fallas de
seguridad en el sistema, con el objetivo de reportarlas en la organización para que se tomen todas
las medidas necesarias que posibilite prevenir una catástrofe cibernética, como el robo de
información. Los profesionales que se dedican al Hacking ético, practican una serie de pruebas o
test denominados Test de penetración, cuyo objetivo es poder burlar las diferentes vallas de
seguridad que tiene la red para diferentes organizaciones, con la única intención de probar su
efectividad, o por el contrario, demostrar la vulnerabilidad de aquel sistema.
En Colombia, en los últimos años se han presentado situaciones muy renombradas
relacionadas con el Hacking ?
A sus 27 años, ‘Oroboruo’, nombre en el mundo cibernético de la persona que atacó la página web
de la Registraduría previo a las votaciones del plebiscito, vulneró en 3.196 oportunidades a 1.374
dominios, muchos de ellos del gobierno, a los que les inyectaba códigos maliciosos y también los
desconfiguraba. La guarida desde donde ‘Oroboruo’ realizaba sus ataques cibernéticos era su
casa, en el barrio Buenas Aires, en Medellín, donde llegaron las autoridades de la Policía para
capturarlo.
Fuente: https://www.eltiempo.com/
Qué es SQL-Injection?
El sql injection es un tipo de ataque a una base de datos en el cual, por la mala filtración de las
variables se puede inyectar un código creado por el atacante al propio código fuente de la base de
datos.
Mensaje no leído
Marcar como no leído
Mensaje no marcado
Definir indicador
Hace 12 días
De aquí que han llegado al país empresas con que ofrecen los servicios de Hacker ético y
soluciones se bloqueó y prevención de ataques desde el momento cero de la creación.
• ¿Qué es SQL-Injection?
Una de las formas es usar el "ORM" de los Framework de desarrollo para separar la capa
de acceso a datos y prevenir esta modalidad de ataques.
también, el lograr detallar los usuarios a conectarse y que objetos y procesos van a realizar
(podría a llegar a ser complicidad su implementación, pero aporta un alto nivel en
seguridad)
Pero en general creo que este se debe mitigar desde la construcción del software que
realmente es la interfaz usadas para la ejecución de estos tipos de ataques.
Hace 11 días
El muy sonado caso del haker "sepulveda" en mi concepto es un caso mas de distraccion,
pues es una persona que en lo que escuche no es conocido en el medio informatico o por
sus caulidades como experto informatico, de igual forma un haker con avanzadas
destrezas lo primero que busca es evitar ser encontrado para lo cual utiliza multiples
estrategias, para el caso "sepulveda" fue encontrado facilmente
¿Qué es SQL-Injection?
SQL-Injection es una metodologia utilizada para capturar trazas de codigo enviado desde
aplicaciones las cuales generalmente son aplicaciones Web y que por lo general son mal
construidas, Ej si una aplicacion dentro del codigo utiliza nombres de base de datos o
nombres de tablas y campos y es facilmente capturable es muy facil de decifrar la
estructura y asi poder enviar un ataque, de igual forma se encuentran aplicaciones que
incluso delatan la cadena de conexion con usuario y password, este es un error aun mas
grave pues al interceptar esta cadena un haker ya tiene todo lo nesesario para acceder a la
base de datos
-->Cifrado de trafico
-->Utilizacion de certificados SSL
-->Utilizacion de las mejores practicas en desarrollo de aplicaciones
-->Utilizacion de sinonimos para ofuscar nombres de objetos en la base de datos
-->Encripcion de codigo T-SQL a nivel de base de datos, EL Procedimientos amlacenados
enciptados en la base de datos