Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Taller 3 - Inyección SQL - Certificado Digital
Taller 3 - Inyección SQL - Certificado Digital
Introducción
El siguiente taller está dividido en 2 partes, la primera de estas partes hace referencia a Inyección
SQL y la segunda parte tiene que ver sobre los certificados digitales. La inyección SQL es una petición
de algún tipo de acción sobre una base de datos, es decir, que es un método de infiltración de código
intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de las
entradas para realizar operaciones sobre una base de datos, la más habitual es la petición de
nombre de usuario y contraseña en una página web. Una persona puede utilizar los cuadros de
introducción de datos para enviar sus propias peticiones, es decir, inyectar SQL en la base de datos.
De esta forma las personas pueden crear, leer, actualizar, modificar o eliminar información
guardada en la base de datos. La inyección SQL es una de las formas de ciberataque más peligrosas
y a su vez más antiguas. Hoy en día las inyecciones SQL están más vigentes que nunca, ya que ahora
existen programas de inyección SQL automatizados, esto quiere decir, que las personas pueden
atacar y robar con más facilidad.
Los certificados digitales son un fichero informático firmado electrónicamente por un prestador de
servicios de certificación, considerado por otras entidades como una autoridad para este tipo de
contenido, que vincula unos datos de verificación de firma a un firmante. Es considerado como un
estándar de seguridad global que permite la transferencia de datos cifrados entre un navegador y
un servicio web. Es muy utilizado por diversas empresas e individuos para disminuir el riesgo de
robo y manipulación de información confidencial.
(UPV, 2019)
(AVAST, 2019)
Objetivos
Solución al Taller
Parte 1
Aquí podemos observar el sitio web al que deberemos ingresar por medio de inyección SQL en el
cuadro que tiene un login para ingresar.
2.Obtener ingreso a través de la interfaz de autenticación sin hacer uso de las credenciales de
acceso (de forma no autorizada)
Imagen 2. Login
Lo primero que se hizo fue copiar la siguiente inyección ‘ OR ‘ ‘=’ y escribirla en el apartado ‘name’
y ‘password’. Esta inyección permitió el acceso de una forma fácil a la base de datos porque siempre
será verdadero que vacío es igual a vacío.
Aquí se puede observar que se ha logrado ingresar correctamente a la base de datos como un
usuario ya existente, gracias a la inyección SQL.
3.Listar los usuarios almacenados en la base de datos del sitio web mediante el uso de
sentencias SQL por inyección.
4.Averiguar la contraseña del usuario ‘Jake’ mediante el uso de sentencias SQL por inyección.
Parte 2
1.Ingresar al sitio web de cualquier servicio que tenga habilitado el protocolo HTTP seguro (HTTPS)
con un certificado digital.
Se escogió la organización Bancolombia, la cual, como podemos ver en la parte donde se ingresa la
URL tiene un candadito que permite saber que posee un certificado digital, además de ‘https’.
2.Dar clic en la parte izquierda y observar las propiedades y características del certificado.
3.Documentar el significado del propósito que se muestra en la información del certificado.
En la figura anterior, podemos ver diferentes campos que trae el certificado de Bancolombia, entre
ellos está la duración del certificado, por qué entidad es emitido el certificado y para quién es
emitido. En la parte derecha de la figura, está de una forma más específica los elementos del
formato de un certificado, el primero de estos elementos es la versión que contiene el número de
la versión del certificado codificado (V1, V2 o V3), el número de serie del certificado se observa un
número asignado por la autoridad certificadora y debe ser único, el algoritmo de firma, en este
campo se identifica el algoritmo empleado para firmar el certificado.
4.Responder:
Primero, se le envía un aviso a la empresa o persona física de que el tiempo de validez del certificado
está próximo a terminar, luego de esto, la persona debe renovar el certificado digital, pero si el
certificado digital ha sido revocado por cualquier motivo, no puede ser activado de nuevo y deberá
solicitar un certificado nuevo.
¿Qué sucede si el servicio no tiene habilitada la conexión por medio de protocolo HTTPS?
Si el servidor envía bajo el protocolo HTTP puede ser interceptado por un tercero, ya que este
protocolo no cifra la información. En cambio, el protocolo HTTPS envía la información cifrada,
resultando prácticamente imposible que nadie pueda saber que datos se están intercambiando
entre tu ordenador y un servidor.
¿Qué entidades están autorizadas para la emisión de un certificado digital? Nombre al menos 5
entidades conocidas y cinco requerimientos que haya certificado.
ONAC Es una corporación sin ánimo de lucro, regida por el derecho privado, constituida en 2007
y que por disposición estatutaria se organizó bajo las leyes colombianas dentro del marco del Código
Civil y las normas sobre ciencia y tecnología.
5.Si quisiera expedir un certificado digital, ¿qué necesita tener en cuenta? Investigue sobre las
autoridades de certificación (CA) y cómo configurar un servidor Windows Server 2012 R2 como CA
(OSI, 2019)
(Talens-Oliag, 2019)
Referencias
AVAST. (25 de Marzo de 2019). Inyección SQL. Obtenido de https://www.avast.com/es-es/c-sql-
injection
OSI. (26 de Marzo de 2019). ¿Qué pasa si una página web no utiliza https? Obtenido de
https://www.osi.es/es/actualidad/blog/2014/02/28/que-pasa-si-una-pagina-web-no-
utiliza-https