Taller 3 – Inyección SQL y Certificados Digitales

Hernán Álvarez & Eider Ojeda.

Universidad Pontificia Bolivariana
Santander
Seguridad Informática
Marzo 2018.
Tabla de Contenido
Introducción ........................................................................................................................................ 2
Objetivos ............................................................................................................................................. 3
Solución al Taller ................................................................................................................................. 3
Parte 1 ............................................................................................................................................. 3
Parte 2 ............................................................................................................................................. 4

Introducción

El siguiente taller está dividido en 2 partes, la primera de estas partes hace referencia a Inyección
SQL y la segunda parte tiene que ver sobre los certificados digitales. La inyección SQL es una petición
de algún tipo de acción sobre una base de datos, es decir, que es un método de infiltración de código
intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de las
entradas para realizar operaciones sobre una base de datos, la más habitual es la petición de
nombre de usuario y contraseña en una página web. Una persona puede utilizar los cuadros de
introducción de datos para enviar sus propias peticiones, es decir, inyectar SQL en la base de datos.
De esta forma las personas pueden crear, leer, actualizar, modificar o eliminar información
guardada en la base de datos. La inyección SQL es una de las formas de ciberataque más peligrosas
y a su vez más antiguas. Hoy en día las inyecciones SQL están más vigentes que nunca, ya que ahora
existen programas de inyección SQL automatizados, esto quiere decir, que las personas pueden
atacar y robar con más facilidad.

Los certificados digitales son un fichero informático firmado electrónicamente por un prestador de
servicios de certificación, considerado por otras entidades como una autoridad para este tipo de
contenido, que vincula unos datos de verificación de firma a un firmante. Es considerado como un
estándar de seguridad global que permite la transferencia de datos cifrados entre un navegador y
un servicio web. Es muy utilizado por diversas empresas e individuos para disminuir el riesgo de
robo y manipulación de información confidencial.

(UPV, 2019)

(AVAST, 2019)
Objetivos

 Evidenciar el comportamiento de los servicios de información con interfaces de

autenticación, cuando son sometidos a sentencias SWL de inyección
 Identificar las características de un certificado digital, una firma electrónica y una firma
digital en el contexto de los sistemas de información web.


Solución al Taller

Parte 1

1.Ingresar al sitio web

Imagen 1. Sitio web

Aquí podemos observar el sitio web al que deberemos ingresar por medio de inyección SQL en el
cuadro que tiene un login para ingresar.
2.Obtener ingreso a través de la interfaz de autenticación sin hacer uso de las credenciales de
acceso (de forma no autorizada)

Imagen 2. Login

Lo primero que se hizo fue copiar la siguiente inyección ‘ OR ‘ ‘=’ y escribirla en el apartado ‘name’
y ‘password’. Esta inyección permitió el acceso de una forma fácil a la base de datos porque siempre
será verdadero que vacío es igual a vacío.

Imagen 3. Acceso a Login

Aquí se puede observar que se ha logrado ingresar correctamente a la base de datos como un
usuario ya existente, gracias a la inyección SQL.

3.Listar los usuarios almacenados en la base de datos del sitio web mediante el uso de
sentencias SQL por inyección.

4.Averiguar la contraseña del usuario ‘Jake’ mediante el uso de sentencias SQL por inyección.

Parte 2
1.Ingresar al sitio web de cualquier servicio que tenga habilitado el protocolo HTTP seguro (HTTPS)
con un certificado digital.

Se escogió la organización Bancolombia, la cual, como podemos ver en la parte donde se ingresa la
URL tiene un candadito que permite saber que posee un certificado digital, además de ‘https’.

2.Dar clic en la parte izquierda y observar las propiedades y características del certificado.
3.Documentar el significado del propósito que se muestra en la información del certificado.

En la figura anterior, podemos ver diferentes campos que trae el certificado de Bancolombia, entre
ellos está la duración del certificado, por qué entidad es emitido el certificado y para quién es
emitido. En la parte derecha de la figura, está de una forma más específica los elementos del
formato de un certificado, el primero de estos elementos es la versión que contiene el número de
la versión del certificado codificado (V1, V2 o V3), el número de serie del certificado se observa un
número asignado por la autoridad certificadora y debe ser único, el algoritmo de firma, en este
campo se identifica el algoritmo empleado para firmar el certificado.

4.Responder:

¿Cuál es el tiempo de validez de un certificado digital?

Si es una persona física (autónomos) caduca a los 4 años

Si es de un representante (empresas) caduca a los 2 años

¿Qué sucede cuando se termina este tiempo de validez del certificado?

Primero, se le envía un aviso a la empresa o persona física de que el tiempo de validez del certificado
está próximo a terminar, luego de esto, la persona debe renovar el certificado digital, pero si el
certificado digital ha sido revocado por cualquier motivo, no puede ser activado de nuevo y deberá
solicitar un certificado nuevo.

¿Qué sucede si el servicio no tiene habilitada la conexión por medio de protocolo HTTPS?

Si el servidor envía bajo el protocolo HTTP puede ser interceptado por un tercero, ya que este
protocolo no cifra la información. En cambio, el protocolo HTTPS envía la información cifrada,
resultando prácticamente imposible que nadie pueda saber que datos se están intercambiando
entre tu ordenador y un servidor.

¿Qué entidades están autorizadas para la emisión de un certificado digital? Nombre al menos 5
entidades conocidas y cinco requerimientos que haya certificado.

Certicamara Entidad de Certificación Digital Abierta de carácter esencialmente Empresarial, que

tiene como propósito fundamental proporcionar las herramientas necesarias para que los
empresarios y demás usuarios de Internet del país puedan realizar Negocios Electrónicos con
seguridad Jurídica.

ONAC Es una corporación sin ánimo de lucro, regida por el derecho privado, constituida en 2007
y que por disposición estatutaria se organizó bajo las leyes colombianas dentro del marco del Código
Civil y las normas sobre ciencia y tecnología.

FNMT Empresa de servicio público dedicada a la fabricación de monedas, billetes, timbres,

documentos oficiales y prestador de servicios de certificación.

5.Si quisiera expedir un certificado digital, ¿qué necesita tener en cuenta? Investigue sobre las
autoridades de certificación (CA) y cómo configurar un servidor Windows Server 2012 R2 como CA

(OSI, 2019)

(Talens-Oliag, 2019)

Referencias
AVAST. (25 de Marzo de 2019). Inyección SQL. Obtenido de https://www.avast.com/es-es/c-sql-
injection
OSI. (26 de Marzo de 2019). ¿Qué pasa si una página web no utiliza https? Obtenido de
https://www.osi.es/es/actualidad/blog/2014/02/28/que-pasa-si-una-pagina-web-no-
utiliza-https

Talens-Oliag, S. (26 de Marzo de 2019). Introducción a los certificados digitales. Obtenido de

https://www.uv.es/sto/articulos/BEI-2003-11/certificados_digitales.html

UPV. (25 de Marzo de 2019). Certificado Digital. Obtenido de

https://www.upv.es/contenidos/CD/info/711545normalc.html