Seguretat en bases de dades Codi:  M1.705    :  6
Consulta de les dades generals   Descripció   Continguts   Consulta dels recursos d'aprenentatge de què disposa l'assignatura   Informacions sobre l'avaluació a la UOC   Consulta del model d'avaluació  
ATENCIÓ: Aquest és el pla docent de l'assignatura per al primer semestre del curs 2020-2021. Us servirà per planificar la matrícula (consulteu si l'assignatura s'ofereix aquest semestre a l'espai del Campus Més UOC / La Universitat / Plans d'estudis). Un cop comenci la docència, heu de consultar-lo a l'aula. (El pla docent pot estar subjecte a canvis.)

En aquesta assignatura veurem exemples d'alguns dels mètodes més habituals per atacar formularis d'aplicatius web que interactuen amb alguna base de dades.

Addicionalment, es van a analitzar algunes de les bases de dades més utilitzades en l'actualitat i els principals conceptes que s'han de considerar per fortificarles adequadament.

Amunt

 

1. Introducció

 

2. Atacs a aplicacions Web

  • Cross site scripting (XSS) 
  • Cross site request forgery 
  • Clickjacking 
  • LDAP Injection Injection 
  • Blind LDAP Injection 
  • XPath 
  • Path Disclosure 
  • Remote File Inclusion 
  • Local File Inclusion 
  • Webtrojans 

 

 

3. Atacs a BBDD, SQL injection

  • Entorn d'explotació de l'atac
  • Eina Priamos
  • El paràmetre vulnerable
  • Com s'ataquen aquest tipus de vulnerabilitats?
  • Mètodes d'automatització
  • Eines
  • Protecció contra Blind SQL Injection
  • Time-Based Blind SQL Injection
  • Consultes pesants
  • Remote File Downloading
  • Booleanització de dades
  • Metodologia de treball
  • Microsoft SQL Server 2000 i 2005 mitjançant fonts de dades infreqüents
  • Microsoft SQL Server 2000 mitjançant opcions de càrrega massiva
  • Microsoft SQL Server 2005 i 2008 mitjançant opcions de càrrega massiva
  • Remote File Downloading a MySQL
  • Remote File Downloading en Oracle Database
  • Identificació mitjançant funcions
  • Objectius principals per a cada base de dades
  • IDS Evasion

 

 

4. Auditoria i desenvolupament segur

  • OWASP
  • Escàner de vulnerabilitats de caixa negra
  • Auditoria de codi font
  • Eines de filtratge: Web Application Firewalls

Amunt

Amunt

La Normativa acadèmica de la UOC disposa que el procés d'avaluació es fonamenta en el treball personal de l'estudiant i pressuposa l'autenticitat de l'autoria i l'originalitat dels exercicis fets.

La manca d'originalitat en l'autoria o el mal ús de les condicions en què es fa l'avaluació de l'assignatura és una infracció que pot tenir conseqüències acadèmiques greus.

Es qualificarà l'estudiant amb un suspens (D/0) si es detecta manca d'originalitat en l'autoria d'alguna activitat avaluable (pràctica, prova d'avaluació contínua (PAC) o final (PAF), o la que es defineixi al pla docent), sigui perquè ha utilitzat material o dispositius no autoritzats, sigui perquè ha copiat textualment d'internet, o ha copiat d'apunts, de materials, de manuals o d'articles (sense la citació corresponent), d'altres estudiants, o per qualsevol altra conducta irregular.

La qualificació de suspens (D/0) en les qualificacions finals d'avaluació contínua pot comportar l'obligació de fer l'examen presencial per a superar l'assignatura (si hi ha examen i si superar-lo és suficient per a superar l'assignatura segons indiqui el pla docent).

Quan aquesta mala conducta es produeixi durant la realització de les proves d'avaluació finals presencials, l'estudiant pot ser expulsat de l'aula, i l'examinador farà constar tots els elements i la informació relatius al cas.

D'altra banda, aquesta conducta pot donar lloc a la incoació d'un procediment disciplinari i l'aplicació, si escau, de la sanció que correspongui.

La UOC habilitarà els mecanismes que consideri oportuns per a vetllar per la qualitat de les seves titulacions i garantir l'excel·lència i la qualitat del seu model educatiu.

Amunt

La fórmula d'acreditació de l'assignatura és la següent: (AC + Pr) o EX Vir.

 
 

Amunt