Profesional Reporte

Nombre: Heberto Rodrguez Garca Nombre del curso: Desarrollo de aplicaciones II Mdulo: Fecha: 27 de Septiembre del 2013 Bibliografa:

Matrcula: 20123TI055 Nombre del profesor: MC. Adrian Cruz Hernandez Actividad: Proyecto con structs2

Objetivo: Poder implementar unas aplicaciones web, que solicite ingresar usuario y contrasea, una ventana de login, y al momento de entrar al sistema este imprima los valores (nombre, apellidos, edad) del usuario que ser el administrador, y cuando el usuario ingrese mal los datos, muestra un cuadro de texto que indique que el usuario o contrasea son incorrectos.

Desarrollo de 1.- Abrimos el proyecto 2.- .Para realizar la inyeccin de cdigo, se ejecuta primero el proyecto el proyecto. 3.- ingresamos a la parte de login y colocamos la siguiente lnea en la direccin $us=$_POST['usuario']; $pass=$_POST['pass']; $sql="SELECT * FROM usuarios WHERE user = '$us' AND password='$pass'"; Devolvera un numero. 4.- Una vez que nos devuelva un nmero, ahora sustituimos ese nmero y pones el siguiente codigo en lap agina.

Profesional Reporte

1+UNION+ALL+SELECT+0,1,TABLE_NAME,3,4+FROM+INFORMATION_SC HEMA.TABLES

1. 5.- Y esto nos devuelve columnas. Utilizaremos el nombre de la columna que sea a mas obvia para la base de datos. Y el valor que escogimos, ese nombre lo pasamos en cdigo ascii 2. 6.- ya lo que hacemos es borrar table_name y poner: group_concat(column_name) Y al ultimo borramos tables y ponemos esto: 7.- ya lo que hacemos es borrar table_name y poner: group_concat(column_name) Y al ultimo borramos tables y ponemos esto: columns+where+table_name=char() 3. DENTRO DE LOS PARENTESIS PONEMOS LOS NUMERO EN COMILLAS columns+where+table_name=char(117,115,117,097,114,105,111,115)-Y NOS QUEDARIA HACI: 4. 1+UNION+ALL+SELECT+0,1,GROUP_CONCAT(COLUMN_NAME),3,4 +FROM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAM E=CHAR(117,115,117,097,114,105,111,115)--

4.-

Este

es

el

tipico

sistema

de

verificacion

de

contraseas..

utiliza la instruccion mysql_fetch_array(funcion de mysql, que devuelve falso si no hay ningun resultado 5.- Escribimos la instruccin acontinuacion mostrada y esta como resultado devolver un true SELECT * FROM usuarios WHERE user = '$us' AND password='$pass'

6-.Continuamos con la instalacin, siguiente y aceptamos los trminos.

Profesional Reporte

7-. Luego saldr una advertencia, los siguientes plugin no estn firmados pero debemos continuar. 8.- Una vez realizado todos los pasos ya se puede utilizar el plugin instalado. 9.- De esta manera despus es posible que arroje los datos de la tabla 10.- Como ultimo paso teniendo la contrasea ya podemos acceder a la pgina ;11.-Se aplica estio a la pagina, primero creamos una carpeta donde se guardaran todos los estilos, y dentro de la carpeta creamos un nuevo archivo de texto. 12.- Implementamos los estilos que queremos nos invitan. 13.-Despues en los archivos jsp agregamos su identificador nico y con el cual haremos referencia en el archivo css 14.- Y en cada archivo jsp agregamos el tag para hacer referencia a la clase donde se tienen los estilos de la pgina. 15.- Una vez implementado las hojas de estilos en cada jsp del programa, el sistema cumple con el punto de dar formato a una pagina.

Resultados: Al haber implementado la pgina sin aplicarle seguridad a la base de datos, era posible realizar inyeccin de cdigo y este afecta a la base de datos, porque tanto puede obtener informacin personas, como eliminar la base o la estructura Conclusin: Cuando se desarroll el proyecto, se fue descubriendo como es mas fcil ir construyendo la pgina sin tener que estar realizando el mapeo del sitio. Por eso es necesario que cuando se implemente una aplicacin web, se especifique en el programa que no acepte caracteres especiales, como sentencia que son utilizadas en sql, para que posteriormente se pueda evitar la inyeccin de cdigo en el software-