Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
1. Introducción
2. Cuentas de usuario
3. Roles y privilegios
4. DB2 SQL
5. Vías de acceso
6. Inyección de SQL
7. Registro
8. Sistema operativo
1. Introducción
Ejemplo:
CALL QSYS.QCMDEXC('CALL PGM (MYLIB/MYPGM)',
0000000022.00000)
DB2 para Unix/Windows
1. Introducción
2. Cuentas de usuario
3. Roles y privilegios
4. DB2 SQL
5. Vías de acceso
6. Inyección de SQL
7. Registro
8. Sistema operativo
2. Cuentas de usuario
1. Introducción
2. Cuentas de usuario
3. Roles y privilegios
4. DB2 SQL
5. Vías de acceso
6. Inyección de SQL
7. Registro
8. Sistema operativo
3. Roles y privilegios
Ejemplo:
GRANT SELECT ON EMPLOYEE TO USER DEMO
GRANT SELECT ON EMPLOYEE TO GROUP DEMO
Ejemplos:
SELECT * FROM SYSCAT.DBAUTH WHERE GRANTEE = 'PUBLIC'
SELECT * FROM SYSCAT.TABAUTH WHERE GRANTEE =
'PUBLIC'
Tablas de privilegios
Para ellos vamos a configurar la base de datos para que impida el acceso
a los usuarios del grupo “PUBLIC”, es decir todos aquellos que no han
sido explícitamente autorizados.
revoke connect,createtab,bindadd,implict_schema on database from public
1. Introducción
2. Cuentas de usuario
3. Roles y privilegios
4. DB2 SQL
5. Vías de acceso
6. Inyección de SQL
7. Registro
8. Sistema operativo
4. DB2 SQL
Permite subSELECT.
No permite subquery (excepto select).
Permite UNION.
No permite mas de una sentencia SQL por línea.
Los mensajes de error no muestran información detallada (en
algunas configuraciones si).
No permite SELECT sin FROM.
Cuenta con Procedimientos Almacenados y con Funciones
definidas por el usuario.
Fin de sentencia con "--".
No permite valor de campo NULL en UNIONes.
Concatenación con “||”.
Operaciones básicas
integer numérico - 1
1. Introducción
2. Cuentas de usuario
3. Roles y privilegios
4. DB2 SQL
5. Vías de acceso
6. Inyección de SQL
7. Registro
8. Sistema operativo
5. Vías de acceso
VBS/ASP:
<%
Set conn=server.createobject("ADODB.connection")
conn.open "DRIVER=IBM DB2 ODBC DRIVER; DBALIAS=SAMPLE; UID=db2admin; PWD=db2admin"
…
JAVA/JSP:
try {
String dbURL="jdbc:db2://server:50000/books:user=db2admin;password=db2admin";
String dbDriver = "com.ibm.db2.jcc.DB2BaseDataSource";
…
Inyección de SQL
1. Introducción
2. Cuentas de usuario
3. Roles y privilegios
4. DB2 SQL
5. Vías de acceso
6. Inyección de SQL
7. Registro
8. Sistema operativo
6. Inyección de SQL
1. Introducción
2. Cuentas de usuario
3. Roles y privilegios
4. DB2 SQL
5. Vías de acceso
6. Inyección de SQL
7. Registro
8. Sistema operativo
7. Registro
1. Introducción
2. Cuentas de usuario
3. Roles y privilegios
4. DB2 SQL
5. Vías de acceso
6. Inyección de SQL
7. Registro
8. Sistema operativo
8. Acceso al Sistema operativo
En Unix:
create function linfunc(varchar(200)) returns integer language C
parameter style sql external name '/lib/libc.so.6!system'
select linfunc('ls > /tmp/(test.txt') from sysibm.sysdummy1
Cambio de contraseña