Seguretat en bases de dades Codi:  M1.705    :  6
Consulta de les dades generals   Descripció   Continguts   Consulta dels recursos d'aprenentatge de què disposa l'assignatura   Informacions sobre l'avaluació a la UOC   Consulta del model d'avaluació  
ATENCIÓ: Aquesta informació recull els apartats del pla docent de l'assignatura durant el darrer semestre amb docència. En iniciar el període de matrícula, podràs consultar el calendari i model d'avaluació per al següent semestre a Tràmits / Matrícula / Horaris de les proves d'avaluació final.

En aquesta assignatura veurem exemples d'alguns dels mètodes més habituals per atacar formularis d'aplicatius web que interactuen amb alguna base de dades.

Addicionalment, es van a analitzar algunes de les bases de dades més utilitzades en l'actualitat i els principals conceptes que s'han de considerar per fortificarles adequadament.

Amunt

 

1. Introducció

 

2. Atacs a aplicacions Web

  • Cross site scripting (XSS) 
  • Cross site request forgery 
  • Clickjacking 
  • LDAP Injection Injection 
  • Blind LDAP Injection 
  • XPath 
  • Path Disclosure 
  • Remote File Inclusion 
  • Local File Inclusion 
  • Webtrojans 

 

 

3. Atacs a BBDD, SQL injection

  • Entorn d'explotació de l'atac
  • Eina Priamos
  • El paràmetre vulnerable
  • Com s'ataquen aquest tipus de vulnerabilitats?
  • Mètodes d'automatització
  • Eines
  • Protecció contra Blind SQL Injection
  • Time-Based Blind SQL Injection
  • Consultes pesants
  • Remote File Downloading
  • Booleanització de dades
  • Metodologia de treball
  • Microsoft SQL Server 2000 i 2005 mitjançant fonts de dades infreqüents
  • Microsoft SQL Server 2000 mitjançant opcions de càrrega massiva
  • Microsoft SQL Server 2005 i 2008 mitjançant opcions de càrrega massiva
  • Remote File Downloading a MySQL
  • Remote File Downloading en Oracle Database
  • Identificació mitjançant funcions
  • Objectius principals per a cada base de dades
  • IDS Evasion

 

 

4. Auditoria i desenvolupament segur

  • OWASP
  • Escàner de vulnerabilitats de caixa negra
  • Auditoria de codi font
  • Eines de filtratge: Web Application Firewalls

Amunt

Amunt

La Normativa acadèmica de la UOC disposa que el procés d'avaluació es fonamenta en el treball personal de l'estudiant i pressuposa l'autenticitat de l'autoria i l'originalitat dels exercicis fets.

La manca d'originalitat en l'autoria o el mal ús de les condicions en què es fa l'avaluació de l'assignatura és una infracció que pot tenir conseqüències acadèmiques greus.

L'estudiant serà qualificat amb un suspens (D/0) si es detecta manca d'originalitat en l'autoria d'alguna activitat avaluable (pràctica, prova d'avaluació contínua (PAC) o final (PAF), o la que es defineixi al pla docent), sigui perquè ha utilitzat material o dispositius no autoritzats, sigui perquè ha copiat textualment d'internet, o ha copiat d'apunts, de materials, de manuals o d'articles (sense la citació corresponent), d'altres estudiants, o per qualsevol altra conducta irregular.

La qualificació de suspens (D/0) en les qualificacions finals d'avaluació contínua pot comportar l'obligació de fer l'examen presencial per a superar l'assignatura (si hi ha examen i si superar-lo és suficient per a superar l'assignatura segons indiqui el pla docent).

Quan aquesta mala conducta es produeixi durant la realització de les proves d'avaluació finals presencials, l'estudiant pot ser expulsat de l'aula, i l'examinador farà constar tots els elements i la informació relatius al cas.

D'altra banda, aquesta conducta pot donar lloc a la incoació d'un procediment disciplinari i l'aplicació, si escau, de la sanció que correspongui.

La UOC habilitarà els mecanismes que consideri oportuns per a vetllar per la qualitat de les seves titulacions i garantir l'excel·lència i la qualitat del seu model educatiu.

Amunt

La fórmula d'acreditació de l'assignatura és la següent: (AC + Pr) o EX Vir.

 
 

Amunt