Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • PHP

    Cargado por

    Jamer Moisés Delgado Pérez
    2 vistas22 páginas

    Título original

    Php

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    2 vistas22 páginas

    PHP

    Cargado por

    Jamer Moisés Delgado Pérez

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 22

    SEGURIDAD EN BASE DE DATOS

    La seguridad en las base de datos es un mecanismo


    fundamental ya que todo de sistema informatizado esta
    expuesto a cualquier tipo de amenazas de daño,
    enormes y desastrosas como pequeñas y leves pero que
    de una manera u otra causan perdida de
    confidencialidad.
    SEGURIDAD EN BASE DE DATOS
    AMENAZAS
    Se deben considerar las amenazas para cada tipo de
    empresa donde se implementara el sistema de base de
    datos, ya que pueden haber amenazas particulares a las
    que se este mas expuesto.
    ATAQUE A UNA BASE DE DATOS MYSQL
    CON INJECTION SQL
    • Buscar una pagina vulnerable, para aplicar el ataque de «Injection Sql», esto lo
    podemos hacer ingresando en google y buscando «allinurl:noticias.php?id= »
    • Abrimos la herramienta Sqli Helper y pegamos la Url de la pagina que queremos
    vulnerar en la parte del target, luego damos clic en Inject, para probar
    • Posteriormente el programa comienza a chequear los datos de la página
    en donde podemos determinar que tipo y versión de base de datos tiene
    • Luego damos click en «Get Database», seleccionamos unos de los elementos
    que nos aparecen en el cuadro de «Database Name», y luego damos click en
    la opción «Get Tables»
    • Luego de dar click en «Get Tables», podemos observar que el programa nos
    obtiene el nombre de las tablas pertenecientes a la base seleccionada
    • Señalamos una de las tablas y luego damos click en «Get Columns», y nos
    aparece un cuadro con los nombre de cada una de las columnas de esa tabla,
    en este caso hemos seleccionado la tabla user para obtener el login y pass del
    usuario
    • Finalmente seleccionamos las columnas de las cuales queremos obtener
    los datos y damos click en «Dump Now», y así obtenemos el nombre de
    usuario y la contraseña para poder manipular la pagina a nuestro gusto
    SEGURIDAD EN BASE DE DATOS
    CONTRAMEDIDAS
    Las contramedidas que se toman para enfrentar las
    amenazas pueden ser físicas y administrativas
    CONTROLES INFORMATIZADOS PARA
    ENTORNOS MULTIUSUARIOS
    Autorización es como el poder administrativo que
    se necesita para acceder legítimamente a un
    sistema

    La autenticación es la validación de identidad del


    usuario.
    SEGURIDAD EN BASE DE DATOS
    • Controles de acceso
    • Existen dos tipos de controles: Control de accesos discrecional
    (DAC).- emplea un mecanismo de SQL conocido con el nombre de
    control de accesos discrecional.

    • Control de acceso obligatorio (MAC).- se basa en políticas de nivel


    de sistema que no pueden ser modificadas por usuarios
    individuales.
    SEGURIDAD EN BASE DE DATOS
    • Vistas
    Este mecanismo de vistas proporciona un sistema de
    seguridad potente y flexible, al ocultar partes de la
    base de datos a ciertos usuarios.
    Son relaciones virtuales que no existen en realidad en
    la base de datos
    SEGURIDAD EN BASE DE DATOS
    • Copias de seguridad
    Tener respaldos de la BD actualizados para cuando se produzcan
    errores de perdida de datos, para garantizar la integridad física de
    los datos.
    • Integridad
    La seguridad en un SGDB se trata de impedir la distorsión de la DB,
    mediante esta se pretende proteger la base de datos contra
    operaciones que introduzcan inconsistencias en los datos
    • Cifrado
    Es ocultar los caracteres legibles de una clave
    SEGURIDAD EN BASE DE DATOS
    • Tecnología RAID
    Matriz redundante de
    discos independientes
    Es un tipo de tecnología
    que se lo establece para
    que funcione
    redundantemente en
    los fallos que se vaya
    presentando
    SEGURIDAD EN BASE DE DATOS
    SEGURIDAD EN SGBD DE MICROSOFT OFFICE ACCESS
    Se basa en la configuración de una contraseña general para los
    diferentes usuarios y un permiso a nivel de privilegios para cada
    usuario

    EN SGBD DE ORACLE
    • Entre los privilegios que pueden accederse en Oracle estarían los
    derechos a:
    – Conectarse a la base de datos (crear una sesión)
    – Crear una tabla
    SEGURIDAD EN BASE DE DATOS
    • Seguridad de un SGBD en entornos web
    Debemos incluir para este tipo de seguridad: los servidores proxy,
    cortafuegos, algoritmos de compendio de mensajes y firmas digitales,
    certificados digitales, kerberos, Secure Sockets Layer (SSL) y secure HTTP
    (S-HTTP), secure electronic Transactions (SET), etc.
    CONCLUSIONES
    • La base de datos a hecho avances significativos en
    el manejo de la seguridad de las bases de datos
    • Varias de las aplicaciones que manejamos en
    nuestro diario vivir que requieren confidencialidad
    necesitan modelos mas sofisticados de seguridad:
    Entidades bancarias, medicas, departamentos
    gubernamentales, inteligencia militar, etc.
    • Aunque la implementación de seguridad mas
    sofisticada no es tarea fácil, debemos hacer el
    esfuerzo por lograr que nuestros datos estén
    completamente seguros
    RECOMENDACIONES
    • Limitar el acceso a los usuarios y el numero de administradores de
    la base de datos.
    • Respaldar la información de la base de datos eventualmente.
    • Implementar métodos de autenticación para no dar libre acceso a
    la información.
    • Implementar seguridad a través de periféricos tanto a nivel de
    hardware como a nivel de software
    • Conocer de los diferentes ataques que puede sufrir una base de
    datos y tratar de prevenir estos con anticipación.
    • Mantener los servidores de datos bien protegidos en una sala de
    acceso restringido en donde los administradores puedan acceder
    mediante acceso remoto
    • Crear diversas normas y procedimientos que determinen
    exactamente quienes tienen acceso a la información a través de un
    marco jurídico
    BIBLIOGRAFIA
    • SISTEMAS DE BASES DE DATOS, Thomas M. Connolly, 4ta
    Edición, Capitulo 19 Seguridad.
    • http://es.kendincos.net/
    • http://foros.hackerss.com/index.php?showtopic=49
    • http://www.infor.uva.es/~jvegas/cursos/bd/oraseg/oraseg.ht
    ml#4
    • http://databaseandtech.wordpress.com/2008/03/15/como-
    activar-la-auditoria-de-una-base-de-datos-oracle/
    • http://csaruman.blogspot.com/2009/10/virus-
    informatico.html
    • http://mundopc.net/firewalls-politicas-de-seguridad-en-red/
    • http://www.iec.csic.es/criptonomicon/linux/introsegred.html
    Autores:

    Carlos Patricio Muñoz


    Presidente de la Computer Society IEEE Loja
    cpmunoz@utpl.edu.ec

    Alfredo David Torres


    Profesional en formación: Sistemas Informáticos y
    computación UTPL
    adtorres@utpl.edu.ec

    Myriam Elizabeth Sarango


    Profesional en formación: Sistemas Informáticos y
    computación UTPL
    mesarango1@utpl.edu.ec

    Wilmer Fabricio Montaño


    Profesional en formación: Sistemas Informáticos y
    computación UTPL
    wfmontano@utpl.edu.ec

    También podría gustarte